Injection de commandes à l’aveugle avec délai temporel

Blind OS command injection with output redirection

Lab: Blind OS command injection with time delays | Web Security AcademyWebSecAcademy

Ce laboratoire présente une vulnérabilité d’injection de commandes système dans la fonctionnalité de feedback. L’application exécute une commande shell construite à partir des données fournies par l’utilisateur. La sortie de cette commande n’apparaît pas dans la réponse HTTP, ce qui en fait une injection à l’aveugle. L’objectif est d’exploiter cette faille pour provoquer un retard de 10 secondes.

Analyse du formulaire

La page Submit feedback envoie les données suivantes :

csrf=3dBtfZovWVNJXDv2aXCkmfAOSH9tQt7h&name=hello&email=hello%40gmail.com&subject=hello&message=hello1234

Comme plusieurs champs sont transmis, l’injection consiste à ajouter un point-virgule avant et après la commande, afin qu’elle soit interprétée séparément par le shell.

Exemple de charge utile pour générer un délai :

;sleep 10;

Champ injectable

Le champ email réagit à l’injection : la réponse prend effectivement 10 secondes, preuve que la commande est exécutée.

Exemple de requête modifiée :

csrf=3dBtfZovWVNJXDv2aXCkmfAOSH9tQt7h&name=hello&email=hello%40gmail.com;sleep 10 ;&subject=hello&message=hello1234

Mis à jour il y a 2 jours

Ce contenu vous a-t-il été utile ?