Command injection
Command injection je tip napada u kojem napadač izvršava proizvoljne naredbe na host operacijskom sustavu kroz neku ranjivu aplikaciju. Ranjivost se obično očituje u nedostatku validacije korisničkog unosa. Nesigurni se podatci najčešće prenose putem formi i kolačića. Ovo je jedan od opasnijih napada jer napadaču omogućuje eskalaciju ovlasti čak do te mjere da može brisati datoteke na računalu za koje ne bi trebao bi znati da postoje. Uz to, naredba se može izvesti na sistemskoj ljusci, što znači da napadač ima mogućnost utjecati na cijeli operacijski sustav.
Uzmimo za primjer naredbu cat (concatenate) u Linuxu koja služi kako bi korisnik mogao vidjeti sadržaj neke datoteke u čitljivom formatu:
int main(char* argc, char** argv) {
char cmd[CMD_MAX] = "/usr/bin/cat ";
strcat(cmd, argv[1]);
system(cmd);
}
Ključna stvar koju treba primijetiti je da korisnik nema mogućnost uređivanja te datoteke, već ju samo može čitati. Funkcija kao argument prima naziv datoteke, primjerice: cat filename.txt. Međutim, korisnik bi mogao unijeti nešto drugačiji upit, primjerice:
cat ;rm -rf /
Rm je funkcija za brisanje (remove), -r je opcija koja označava rekurzivno brisanje, odnosno brisanje svih poddirektorija, a –f znači force, dakle korisnika se ne traži dopuštenje za brisanje svake datoteke. / je oznaka za home direktorij u Linux sustavima. Ovo je primjer command injectiona jer je u naredbu za čitanje datoteke ubačena naredba rm -rf. Poziv funkcije system() neće uspjeti jer je argument ; neispravan. No, budući da je ; znak koji odjeljuje naredbe (u Unix sustavima), “rm -rf /” se izvodi kao zasebna naredba i briše sve datoteke i direktorije iz home direktorija nekog sustava. Već se na ovome primjeru vidi potencijal za eskalaciju ovlasti u command injection napadu. Korisnik je umjesto čitanja datoteke dobio mogućnost brisanja ostalih datoteka na tom računalu koje nisu ni izravno povezane s datotekom koju je čitao.
Drugi je primjer internetska trgovina koja ima tražilicu proizvoda i prima parametre preko URL-a. Primjerice, upit
https://insecure-webshop.com/stockStatus?productID=381&storeID=29
pretražuje postoji li proizvod s id-jem 381 u trgovini s id-jem 29. Sustav zatim parsira upit tako što izvuče productID i storeID te izvede naredbu koja može izgledati ovako:
stockreport.pl 381 29
Međutim, napadač bi mogao unijeti sljedeće:
https://insecure-website.com/stockStatus?productID= & echo aiwefwlguh &storeID=29
Dakle, umjesto productID parametra unio je & echo aiwefwlguh.Nakon parsiranja izvršava se :
stockreport.pl & echo aiwefwlguh & 29
Prvi se izvodi stockreport.pl koji nema argumente, dakle unos je neispravan. Nakon njega postoji još jedna naredba (echo aiwefwlguh) koja se nesmetano izvede, iako u sustavu nije predviđena. U ovome slučaju nije bila maliciozna naredba, ali služi za demonstraciju mogućnosti ubacivanja naredbe koja bi mogla napraviti štetu na sustavu. Zatim ide znak & koji služi za razvdajanje parametara u URL-u te ostaje “29” što sustav pokušava pročitati kao naredbu, ali ne postoji pa se ni ne izvede.
Command injection moguć je i u naredbama koje ne zahtjevaju unos korisnika ako napadač manipulira varijablama okruženja. Primjerice, napadač može promijeniti varijablu APPHOME koja u ovome primjeru određuje lokaciju gdje će se aplikacija instalirati:
char* home=getenv("APPHOME");
char* cmd=(char*)malloc(strlen(home)+strlen(INITCMD));
if (cmd) {
strcpy(cmd,home);
strcat(cmd,INITCMD);
execl(cmd, NULL);
}
Skripta dohvaća varijablu okruženja APPHOME (varijabla home) i lokaciju radni direktorij (varijabla cmd). Ako naredba postoji, varijabla okruženja se kopira na to mjesto. Ranjivost se krije u tome što nema nikakve provjere APPHOME varijable. To znači da, ako napadač promijeni varijablu APPHOME na neku putanju koja sadrži malicioznu verziju inicijalizacijske skripte (INITCMD), ona će se izvršiti zajedno s kodom koji bi inače trebao.
Također, napadač bi mogao izvesti ovu naredbu za promjenu lozinke:
system("cd /var/yp && make &> /dev/null");
Naredba mijenja radni direktorij u /var/yp i tamo poziva make. Ona je sama po sebi sigurna jer nema korisničkog unosa, što znači da ju ni napadač ne može izmijeniti. Međutim, budući da nije zadana apsolutna putanja do make filea, ako napadač promijeni $PATH varijablu okruženja, može na tu putanju unijeti malicioznu verziju make binarne datoteke.
Ukratko, command injection napad može se izvesti u naredbama koja nemaju dobro provedenu validaciju korisničkog unosa. Kako bi se izbjegao, aplikacija ne bi trebala ignorirati svaki unos koji djeluje neispravno, već bi trebala pogledati postoji li nešto u toj naredbi što bi moglo potencijalno biti command injection napad.
PRIMJER Zadatak s Hacknite platforme - Linux ROT13
Ivica obožava raditi s Linuxom, i pokušava koristiti Linux naredbe gdje god može. Budući da mu je trebao ROT13 kalkulator za CTF natjecanje, odlučio je napraviti web stranicu na kojoj se nalazi ROT13 kalkulator napravljen uz pomoć Linux naredbi. Flag je u formatu CTF2021[brojevi]. http://chal.platforma.hacknite.hr:10013
Odlaskom na početnu stranicu i pritiskom na “ROT13” dolazimo na ovo sučelje:
Vidimo prostor za korisnički unos i idemo ispitati je li ono ranjivo. Ako upišemo u kućicu '; cat ../flag;' (s navodnicima), dobili smo rješenje:
Sustav očekuje tekst koji će kodirati Cezarovom šifrom. Budući da smo mi unijeli oznaku kraja naredbe (;), ta je naredba neispravna, ali nije nikako definirano da se nakon toga ne smije definirati neka druga naredba. Mi smo dodali naredbu cat …/flag i, iako je prva naredba možda bacila grešku, druga je izvedena. Navodnici su važni jer imamo razmake između riječi.
Primijetimo da smo istu stvar mogli postići da smo u URL dodali rot13.php?tekst='%3B+cat+..%2Fflag%3B'.
Objasnimo točno zašto ovo funkcionira. Najčešće se korisnički zahtjevi šalju tzv. POST zahtjevom. On se često na neki način kodira i nadodaje na trenutni URL. U ovom slučaju koristi se ASCII kodiranje, no postoje još neke metode. Nije presudno da korisnik zaista upiše podatak u polje koje je predviđeno za to budući da bi se njegov unos ionako prenio u URL i nakon toga dalje obradio. Tekst “; cat /flag;” kad se kodira u URL na kraju ispadne upravo %3B+cat+..%2Fflag%3B jer:
Oznaka %3B označava ;
+ označava razmak.
%2F je oznaka za /.
PRIMJER Zadatak s Hacknite platforme - Linux naredbe
Kroz učenje razvoja web stranica Ivica sve više uči i o Linuxu. Kako bi uspješno zapamtio sve što je naučio o Linux naredbama te ujedno vježbao izradu web stranica, napravio je interaktivnu web stranicu koja demonstrira što rade različite Linux naredbe. Možeš li pogledati web stranicu koju je Ivica napravio i provjeriti ima li Ivica još što za naučiti? Flag je u formatu CTF2020[brojevi]. http://chal.platforma.hacknite.hr:11005
Rješenje je slično prethodnom, samo što nemamo prostor za korisnički unos, već unosimo naredbu u URL. Pri tome moramo paziti na kodiranje znakova. U ovom se slučaju koristi klasično URL kodiranje. Oznaka %20 označava razmak. Ako želimo izvesti naredbu preko URL-a, moramo zadati naredbu (parametar cmd) i argumente (parametar arg). Zadat ćemo neku nepostojeću naredbu koja će baciti grešku (npr. neki broj), a cijelu malicioznu naredbu stavit ćemo argument. Isto kao i prije, krenut ćemo oznakom kraja naredbe (;) i nakon toga upisati cat naredbu datoteke koju želimo pročitati. Budući da stranice predefinirano povlače datoteke s putanje /var/www, pretpostavit ćemo da postoji datoteka “flag” na toj putanju i na trenutni URL u tražilici dodati sljedeće:
http://.../linux.php?cmd=3&arg=;%20cat%20/var/www/flag
To je ujedno i naše rješenje.
