[BASH] Cambiar password de usuario desde cgi apache en PC

sodark 25 ene 2015 23:19 *

MegaAdicto!!!

1.525 mensajes
desde ene 2009

Editado 1 vez. Última: 27/01/2015 - 13:11:31 por sodark.

Hola a todos, estoy intentando cambiar la password de un usuario de linux desde una web.

Apache tiene habilitado los cgi para archivos .sh

El codigo

tmpLogin="usertest";
tmpPass1="mipasswordnueva"

`echo -e "${tmpPass1}\n${tmpPass1}" | sudo passwd $tmpLogin`

Me da un error, os copio el link a Stack Overflow

http://stackoverflow.com/questions/2813 ... rom-apache

Zokormazo 26 ene 2015 17:05

we are sardinillas

7.680 mensajes
desde ene 2013
en ~/

el usuaro httpd (o quien corra apache), no tiene permisos en /etc/sudoers para ejecutar sudo sin clave.

Ahora, no es para nada buena idea esto desde el punto de vista de la seguridad eh. Y parsea el GET/POST que te llegue del user, porque como te llegue un kk | sudo rm -rf / a tmpLogin y lo pases tal cual al codigo...

sodark 26 ene 2015 19:06

MegaAdicto!!!

1.525 mensajes
desde ene 2009

Página web de sodark

Hola, gracias por contestar.

El usuario apache tiene permisos sudoers (se puede ver en enlace de stackoverflow).

Respecto a lo de parsear, es la intencion, pero como de momento me fallaba esto, pues estoy mas enfocado en ello.

Zokormazo 27 ene 2015 09:13

we are sardinillas

7.680 mensajes
desde ene 2013
en ~/

El link da un 404 xD

sodark 27 ene 2015 13:11 *

MegaAdicto!!!

1.525 mensajes
desde ene 2009

Página web de sodark

Editado 1 vez. Última: 27/01/2015 - 13:23:41 por sodark.

Actualizado!

Zokormazo escribió:El link da un 404 xD

Zokormazo 27 ene 2015 13:26

we are sardinillas

7.680 mensajes
desde ene 2013
en ~/

Por probar, puedes probar a cambiarle la shell al usuario de apache por bash en vez de noshell. Pero es una horrible idea por parte de la seguridad xD