Command injection
Command injection je tip napada u kojem napadač izvršava proizvoljne naredbe na host operacijskom sustavu kroz neku ranjivu aplikaciju. Ranjivost se obično očituje u nedostatku validacije korisničkog unosa. Nesigurni se podatci najčešće prenose putem formi i kolačića. Ovo je jedan od opasnijih napada jer napadaču omogućuje eskalaciju ovlasti čak do te mjere da može brisati datoteke na računalu za koje ne bi trebao bi znati da postoje. Uz to, naredba se može izvesti na sistemskoj ljusci, što znači da napadač ima mogućnost utjecati na cijeli operacijski sustav.
Uzmimo za primjer naredbu cat (concatenate) u Linuxu koja služi kako bi korisnik mogao vidjeti sadržaj neke datoteke u čitljivom formatu:
int main(char* argc, char** argv) {
char cmd[CMD_MAX] = "/usr/bin/cat ";
strcat(cmd, argv[1]);
system(cmd);
}
Ključna stvar koju treba primijetiti je da korisnik nema mogućnost uređivanja te datoteke, već ju samo može čitati. Funkcija kao argument prima naziv datoteke, primjerice: cat filename.txt Međutim, korisnik bi mogao unijeti nešto drugačiji upit, primjerice
cat ;rm -rf /
Rm je funkcija za brisanje (remove), -r je opcija koja označava rekurzivno brisanje, odnosno brisanje svih poddirektorija, a –f znači force, dakle korisnika se ne traži dopuštenje za brisanje svake datoteke. / je oznaka za home direktorij u Linux sustavima. Ovo je primjer command injectiona jer je u naredbu za čitanje datoteke ubačena naredba rm -rf. Poziv funkcije system() neće uspjeti jer je argument neispravan. No, budući da je ; znak koji odjeljuje naredbe (u Unix sustavima), “rm -rf /” se izvodi kao zasebna naredba i briše sve datoteke i direktorije iz home direktorija nekog sustava. Već se na ovome primjeru vidi potencijal za eskalaciju ovlasti u command injection napadu. Korisnik je umjesto čitanja datoteke dobio mogućnost brisanja ostalih datoteka na tom računalu koje nisu ni izravno povezane s datotekom koju je čitao.
Drugi je primjer internetska trgovina koja ima tražilicu proizvoda i prima parametre preko URL-a. Primjerice, upit
https://insecure-webshop.com/stockStatus?productID=381&storeID=29
pretražuje postoji li proizvod s id-jem 381 u trgovini s id-jem 29. Sustav zatim parsira upit tako što izvuče productID i storeID te izvede naredbu koja može izgledati ovako:
stockreport.pl 381 29
Međutim, napadač bi mogao unijeti sljedeće:
https://insecure-website.com/stockStatus?productID= & echo aiwefwlguh &storeID=29
Dakle, umjesto productID parametra unio je & echo aiwefwlguh.Nakon parsiranja izvršava se :
stockreport.pl & echo aiwefwlguh & 29
Prvi se izvodi stockreport.pl koji nema argumente, dakle unos je neispravan. Nakon njega postoji još jedna naredba (echo aiwefwlguh) koja se nesmetano izvede, iako u sustavu nije predviđena. U ovome slučaju nije bila maliciozna naredba, ali služi za demonstraciju mogućnosti ubacivanja naredbe koja bi mogla napraviti štetu na sustavu. Zatim ide znak & koji služi za razvdajanje parametara u URL-u te ostaje “29” što sustav pokušava pročitati kao naredbu, ali ne postoji pa se ni ne izvede.
Command injection moguć je i u naredbama koje ne zahtjevaju unos korisnika ako napadač manipulira varijablama okruženja. Primjerice, napadač može promijeniti varijablu APPHOME koja u ovome primjeru određuje lokaciju gdje će se aplikacija instalirati:
char* home=getenv("APPHOME");
char* cmd=(char*)malloc(strlen(home)+strlen(INITCMD));
if (cmd) {
strcpy(cmd,home);
strcat(cmd,INITCMD);
execl(cmd, NULL);
}
Skripta dohvaća varijablu okruženja APPHOME (varijabla home) i lokaciju radni direktorij (varijabla cmd). Ako naredba postoji, varijabla okruženja se kopira na to mjesto. Ranjivost se krije u tome što nema nikakve provjere APPHOME varijable. To znači da, ako napadač promijeni varijablu APPHOME na neku putanju koja sadrži malicioznu verziju inicijalizacijske skripte (INITCMD), ona će se izvršiti zajedno s kodom koji bi inače trebao.
Također, napadač bi mogao izvesti ovu naredbu za promjenu lozinke:
system("cd /var/yp && make &> /dev/null");
Naredba mijenja radni direktorij u /var/yap i tamo poziva make. Ona je sama po sebi sigurna jer nema korisničkog unosa, što znači da ju ni napadač ne može izmijeniti. Međutim, budući da nije zadana apsolutna putanja do make filea, ako napadač promijeni $PATH varijablu okruženja, može na tu putanju unijeti malicioznu verziju make binarne datoteke.
Ukratko, command injection napad može se izvesti u naredbama koja nemaju dobro provedenu validaciju korisničkog unosa. Kako bi se izbjegao, aplikacija ne bi trebala ignorirati svaki unos koji djeluje neispravno, već bi trebala pogledati postoji li nešto u toj naredbi što bi moglo potencijalno biti command injection napad.