Дайте пожалуйста совет как искать command injections, на что обратить внимание во время тестирования, или просто проходится по каждому параметру?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
cmd inj
- Автор темы hk111
- Дата начала
ищи строки похожие на комманды терминала(cat,ls ...)
look for anything that uses the underlying OS, see if it calls methods to interact with it, for example on python: os.popen()
Нужно подумать, где могут быть именно те "конечные точки".... в которых разработчик от того, чтобы прибегнуть к какому-то модулю, закостылил через cmd
И там уже пытаться выполнить команду, но не советовал бы использовать классическую echo, так как скорее всего вывод будет закрыт, и тогда придёт на помощь впс и команда пинг на свою впс
И там уже пытаться выполнить команду, но не советовал бы использовать классическую echo, так как скорее всего вывод будет закрыт, и тогда придёт на помощь впс и команда пинг на свою впс
Согласен с колегами выше. А после, как найдешь потенциальную точку для CMDi, можешь попробовать техники отсюда.
PayloadsAllTheThings/Command Injection at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - PayloadsAllTheThings/Command Injection at master · swisskyrepo/PayloadsAllTheThings
github.com
Легче всего искать по анализу сорцов, банально дернуть все сниппеты с exec/system, в зависимости от языка, и смотреть, что туда заходит, как фильтруется итд.
Без сорцов, при внешнем тестировании, стоит понимать логику выполнения ПО в бекенде, где софт соприкасается с системой(например бэкап или мониторинг нагрузки/сети). К сожалению, это все находиться, в основном, в админках. Но вектор атак в них и так намного шире, ибо там и аплоады и прочее.
Тупо фаззить get/post и получить легкий результат не выйдет, это не скули.
for example, look at this code from threads/81686/post-568265
it's calling
response = os.system("ping -c 1 " + ip)it's calling
"ping -c 1 " + ip. If it didn't check for a valid ip you can set it to "1.1.1.1 | cat /etc/passwd" and it would combine the two commands like this "ping -c 1 " + "1.1.1.1 | cat /etc/passwd"
Тестирование блэкбокс? Ну да, в таком случае либо фаззинг с подставлением значений в различные парметры либо анализ логики.
С вайтбоксом всё понятно - grep.
Выше всё верно было написано.
Почему тебя интереует именно cmd inj? Это далеко не самый частый баг, который можно встретить. Обычно я находил или в админках (уже за авторизацией), или на квестах. А так чтобы чисто на сайте - сто лет не видал. Разве что через eval вызвать system, но это уже из категории code exec / object injection.
С вайтбоксом всё понятно - grep.
Выше всё верно было написано.
Почему тебя интереует именно cmd inj? Это далеко не самый частый баг, который можно встретить. Обычно я находил или в админках (уже за авторизацией), или на квестах. А так чтобы чисто на сайте - сто лет не видал. Разве что через eval вызвать system, но это уже из категории code exec / object injection.
- Автор темы
- Добавить закладку
- #9
Да
Только начинаю, поэтому прохожусь по овасп 10. По каждому типу уязвимости ищу детали и решаю стф. На реальных сайтах чаще всего xss и sql попадаются я так понимаю?
Ну они просто более всего распространены и взаимосвязанные. Там где есть xss - очень часто влетает и sql, ибо нету фильтрации на входные параметры. Если тебя интересует чисто покрутить code exec, то нужно смотреть в сторону маршрутизаторов/роутеров и прочего, там вероятность зацепиться за них намного больше чем на цмсках.
И очень четко подметил BLUA. Большинство будет в блайнде, потому если интересует автоскан - есть смысл вешать какой-то приемник с логом на впску и слать туда дефолтные curl/wget/ping для отлова. А дальше уже выходить на какой-то MSF реверс, с учетом архитектуры.
Самое быстрое и простое решение - загнать в автоматический сканер уязвимостей (Owasp ZAP, BurpSuite, ...)
можно вообще ни чему не учиться, просто закидывать всё в сканер и ждать зарплату.
Но админы тоже знают, что ты будешь закидывать их сайт в сканер, и сканеры с кряками могут тоже скачать и проверить свой сайт.
Но вот незадача, что если вывод CMDi не будет виден на сайте. Что тогда в данной ситуации будет делать сканер? Скажет что сайт неуязвим для этого ?
Видишь суслика ? А он есть !
Как сказано выше - это самое простое и быстрое решение. Конечно можно и разъебаться с CMDi, но это время. Тут же вопрос в скорости и относительном качестве.