Command Injection acu

[PurpleDrunk666]

Всем пис.
по сабжу
не разу не сталкивался с этим ,а тут
окунь выдал Command Injection - query параметр
по ссылке видно что в апи идет все
что можно сделать подскажите, возможно ли как либо после манипуляций вытащить бд?

 

[etc/passwd]

Можно. Самое просто cat /home/user/site/config.php (путь везде разный)
получаешь логин и пасс от бд.
Переходишь site/phpmyadmin , авторизуешся и сливаешь.
Это в идеале.

 

[PurpleDrunk666]

так гайс, а по командам можно чуть туториал
либо как вариант могу дать человеку с репой уязву, потом по отработке бд отблагодарю