从 Javascript 和 HTML 运行 Unix 命令

Question

我想使用 javascript 技术从网页运行 Lynis（预装在 Kali Linux 中的审计工具），但我不知道如何使用 Javascript 中的 bash 命令执行本地程序，有人可以帮助我吗？

总之，大致思路如下：

1. 访问者（假设访问者在安装了 Lynis 的计算机上使用 Kali Linux）进入我的网页 www.example.com/example.html

2. 访问者下载页面内容，通过按钮或类似的东西，我们可以执行 shell 命令并在访问者的计算机上运行 Lynis 软件。 （例如“# sudo lynis”）

3. 当 Lynis 完成执行时，生成的结果以某种方式与 javascript 代码交互，我们可以在网站上显示此信息。

（现在的重点是第1点和第2点）

提前致谢。

附：如果这是不可能的......有没有办法在不使用 javascript 的情况下做到这一点？

Answer 1

JavaScript 代码很容易被用户注入和更改，因为它是一种客户端语言。这意味着它在他们的浏览器上存储和执行，既不加密也不编译，因此可以在闲暇时查看和编辑。这意味着简单地让 JavaScript 能够执行服务器端的 shell 命令将是一个巨大的安全漏洞。

话虽如此，您可以创建一个 PHP 脚本来执行您可以使用 JavaScript 调用的 shell 命令。同样，请记住，这会打开一个巨大的安全漏洞。

JavaScript：

function exec(command) {

    var form = document.createElement("form");
    form.setAttribute("action","exec.php");
    form.setAttribute("method","post");
    form.setAttribute("display","none");

    var input = document.createElement("input");
    input.setAttribute("type","text");
    input.setAttribute("name","command");
    input.value = command;
    form.appendChild(input);

    var submit = document.createElement("input");
    submit.setAttribute("type","submit");
    form.appendChild(submit);

    document.body.appendChild(form);
    submit.click();
    document.body.removeChild(form);
}

PHP：

if (isset($_POST["command"])) 
    shell_exec($_POST["command"]);  
print "<script>history.go(-1)</script>"  

PHP 位于一个名为“exec.php”的文件中，而 JavaScript 可以放在您希望它使用的任何网页中。

然后，您只需使用“exec”函数即可通过 JavaScript 在您的计算机上执行 shell 命令。比如“exec('gedit')”会在我的电脑上打开gedit。

如果您使用此功能，任何登录您网站的用户都可以键入该命令并在您的计算机上执行命令。

Answer 2

这是不可能的，否则这将是有史以来最大的安全漏洞。