Es el parámetro $_GET["IP"] dentro del archivo .php el que se supone que solo acepta una ip, pero le puedes adjuntar comandos.
Modifica el código que ejecuta comandos para que deje de hacerlo. Parsear la ip es difícil porque puede que necesites IPv6 y en ese formato puedes meter comandos válidos.

 No sé si te dejará loggearte con curl. Imagino que no, porque necesitaras ejecutar javascript.


Tendrás que autamizar tareas en un navegador. Hay varias api o extensiones como selenium e imacros.

Molaría si podais darle difusión. Hay grupos de hacking español de más de 1000 usuarios. Muchos usuarios del foro activos con los que hablo frecuentemente no tenían ni la menor idea sobre el grupo de telegram

No puedes.

O metes ambos en el mismo archivo sin el object o haces una petición GET al .svg y lo incluyes en el documento.

El hecho de pagar no lo hace más seguro. Probablemente al contrario xD

 Probé la api se termux con el comando termux-tts-speak "test" y nada

 Igual cookies zombies, fingerprint basado en webgl y canvas, rango ISP...

Controlar node.js desde un navegador.

Cómo funciona?
Guardas el código node.js como servidor.js en el equipo a ser controlado. Cambia la ip por la tuya actual.
Guardas el código navegador como cliente.html. Cambia la ip por la ip actual del equipo corriendo el servidor.
Ejecuta el código node.js con el comando node servidor.js
Abre el client.html en el equipo que va a controlar el servidor. Escribe @seguido del comando en el priner campo y dale al botón Enter.

Cómo y para qué lo uso yo?
Activo la zona wi-fi en un Android con termux.
Me conecto al wi-fi con otro Android incompatible con Termux.
Controlo el smartphone con node.js y lo uso de servidor para desarrollo, usar bots, herramientas de hacking...

Algo más?
Puedes controlar el node escribiendo directamente sobre la barra de direcciones comandos simples sin espacios ni otros caracteres que tu navegador codifique.
CÓDIGO VULNERABLE A CSRF Y MITM entre otros.


Código navegador:

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>R.Control</title>
<style>
textarea {
 height: 30em;
 width: 20em;
  display: block;
}
</style>
</head>
<body>
<input type="text" id="comando">
<button type="button" id="bEnter">Enter</button>
<textarea id="res"></textarea>
<script>
document.querySelector("#bEnter").onclick=function() {
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://192.168.5.1:8080/?comando=" + document.querySelector("#comando").value , true);
xhr.send();
 xhr.onreadystatechange = function() {
 
  if (xhr.readyState == 4) {
 
    if (xhr.status == 0 || xhr.status == 200) {
 
    try {
 alert(xhr.getAllResponseHeaders());
 
      document.querySelector("#res").value = xhr.responseText;
      }catch(err){alert(err)}
    }
  }
}
}
</script>
</body>
</html>

Código node.js

const { http } = require("http");
const { fs } = require("fs");
const { url } = require("url");
const { exec } = require("child_process");
 
const PUERTO = 8080;
const IP = "192.168.5.1";
 
http.createServer( function (request, response) {  
 
   var pathname = url.parse(request.url).pathname;
   var q = url.parse(request.url, true);
   var comando = q.query.comando;
   var output = "";
   console.log("Request for " + pathname + " received.");
   if(comando !== undefined) {
     console.log("Comando " + comando);
     if(comando.substr(0,1) == "@") {
       exec(comando.substr(1), (error, stdout, stderr) => {
	if(error) {
          console.log("Error: " + error.message);
	} if(stderr) {
          console.log("Error: " + stderr);
	  return;
	} 
	console.log("Output: " + stdout); 
	output += stdout;
 
response.setHeader("Access-Control-Allow-Origin", "*");
response.writeHead(200, {'Content-Type': 'text/html'});
response.write(output);
response.end();
 
       });
     }
   } 
}).listen(PUERTO, IP);
 
console.log("Server listening at " + IP + ":" + PUERTO);

Crea una máquina virtual.

Google te trackea fácil, normalmente con borrar cookies, caché y cambiar la ip basta. No uses vpns ni proxies que te van a robar las cuentas si no lo han hecho ya.

Puedes pasarla en un rar/zip?


Si la pasas por whatsapp/telegram te comprimen y extraen info de la imagen asique pasa la original comprimida en zip/rar


Para ver el hex usa HxD en windows o xxd en linux.
Herramientas de radare2 pueden servirte. Prueba rabin2 -zzzz tuImagen.jpg