Auswertung einer gesendetn URL von einem Rechner

[freak83]

Hallo Zusammen,

ich möchte gernen von meinem Homeserver eine URL an mein Debian Server senden. In dieser URL ist dann z.B. Hallo wie gehts in der URL als String.

Nun möchte ich gerne das der Text Hallo wie gehts aus der URL ausgeschnitten wird und dann ein shell kommando ausgeführt wird.

Ist sowas generell möglich?

[mistersixt]

Apache- oder Lighttpd Logfiles zeigen sowas an:

Code: Alles auswählen

[19/Nov/2013:10:05:33 +0100] "GET /Das-ist-nur-ein-test HTTP/1.1" 200 1774 "-" "Mozilla/5.1 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0"

Jetzt müsstest Du nur ein Logfile-Auswerterich haben, der das Logfile analysiert und beim Treffer eine Aktion ausführt. Ein fertiges Tool kenne ich jetzt nicht, ich würde mir selbst was basteln.

Gruss, mistersixt.

[spiralnebelverdreher]

Hallo Zusammen,

ich möchte gernen von meinem Homeserver eine URL an mein Debian Server senden. In dieser URL ist dann z.B. Hallo wie gehts in der URL als String.

Nun möchte ich gerne das der Text Hallo wie gehts aus der URL ausgeschnitten wird und dann ein shell kommando ausgeführt wird.

Ist sowas generell möglich?

Willkommen hier im Forum!

So was ist möglich und auch nicht ungefährlich. Du kannst ja mal nach Command Shell Injection im Internet suchen und wirst reichlich fündig werden.
https://www.golemtechnologies.com/artic ... -injection
https://www.owasp.org/index.php/Command_Injection

[uname]

Solltest du auf deinem Client auch Debian nutzen empfehle ich dir die Installation von dsniff und den Einsatz von "urlsnarf" aus dem Paket. Da kannst du ganz nett am Client mitlesen welche HTTP-Requests so übertragen werden. Kann evtl. bei der Fehlersuche helfen auch wenn es dein Problem nicht löst.

[spiralnebelverdreher]

Solltest du auf deinem Client auch Debian nutzen empfehle ich dir die Installation von dsniff und den Einsatz von "urlsnarf" aus dem Paket. Da kannst du ganz nett am Client mitlesen welche HTTP-Requests so übertragen werden. Kann evtl. bei der Fehlersuche helfen auch wenn es dein Problem nicht löst.

Es gibt für viele Browser Add-Ons oder auch eingebaute Tools, die abgesendete und empfange Pakete schön in ihre Einzelteile (Referer, User-Agent, Cookies mit Werten, ...) zerlegen und auch die zeitliche Abfolge darstellen. Für den Firefox nennt sich das Teil Firebug. Oftmals werden diese Tools durch Drücken der F12 Taste im Browser gestartet.

[shoening]

Hi,

ich glaube, was der freak83 sucht, nennt sich CGI.

Ciao
Stefan

[dirk11]

ich möchte gernen von meinem Homeserver eine URL an mein Debian Server senden. In dieser URL ist dann z.B. Hallo wie gehts in der URL als String.
Nun möchte ich gerne das der Text Hallo wie gehts aus der URL ausgeschnitten wird und dann ein shell kommando ausgeführt wird.

So was ist möglich und auch nicht ungefährlich. Du kannst ja mal nach Command Shell Injection im Internet suchen und wirst reichlich fündig werden.
https://www.golemtechnologies.com/artic ... -injection
https://www.owasp.org/index.php/Command_Injection

"Gefährlich" nur, wenn er den extrahierten String direkt als Kommando übergeben möchte. So wie ich ihn verstanden habe, will er aber nur den String auswerten und anhand des Ergebnis ein bestimmtes Kommando ausführen. Das sehe ich jetzt keine wirkliche "Gefahr" außer derjenigen, dass ein solcherart getriggertes Kommando natürlich von jedem angeregt werden kann, der den Trigger-String kennt.