Hola buenas, hoy voy a comentar una vulnerabilidad muy sencilla pero que provocan daños devastadores, hablo de cuando la funcionalidad implica usar un comando y este no esta debidamente verificado, en Mutillidae tenemos en Other Injections> Command Injection donde podemos practicar y observar esta vulnerabilidad.

La pagina nos ofrece una consulta de DNS, y nos pide un nombre de host como por ejemplo google.com, el resultado de un caso de uso esperado es algo como esto:

nslookup google.com

Que casualmente coincide con la respuesta de un nslookup de linux:

nslookup google.com

Sí aplicamos algo de programación en Bash o simplemente de uso de comandos en bash, podemos enlazar comandos con ; y && , que es prácticamente lo mismo que escribir el primer comando ENTER y luego el segundo comando.

Sabiendo esta posibilidad solo nos queda echarle un vistazo a ver que tiene Mutillidae en su carpetita =P:

nslookup google.com && pwd && ls

Esto mola eh? pero tiene sus limitaciones y las vamos a ver hasta que punto…

We are www-data

Pues parece ser que no tenemos poderes de supervaca (todavía..) pero al menos somos www-data y algo podremos hacer, dejo la imaginación desde un wget y una remote shell hasta la inclusión de lo que queráis, pero antes por que no echamos un vistazo al código PHP que hace posible esto? un cat dns-lookup.php debería bastar…

La pagina es un poco grande así que no voy a ponerla, pero aunque yo no tengo ni pajolera idea de PHP (de momento) reconozco el problema en la linea:

‘.shell_exec(“nslookup ” . $targethost).’

Espero que os haya gustado, hasta la próxima! =)

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s