Juguemos: CTF de PHP

Hoy me gustaría proponer un juego. Se trata de un Capture the flag (CTF) en el lenguaje PHP.

Como todos los CTF, se trata de encontrar el fallo de seguridad en el código fuente PHP que voy a proponer.

En este caso, voy a proponer el código de la siguiente imagen:

Como se puede apreciar, se trata de un código PHP muy sencillo que permite la ejecución de comandos en el servidor que ejecuta el script aunque con el inconveniente de que sólo se pueden ejecutar comandos sabiendo el secreto para generar el hash autenticado mediante SHA256 del comando que se quiere ejecutar.

La tarea del jugador será encontrar un fallo en este código que permita ejecutar comandos en el servidor.

¡Suerte a todos!