Título: Inyecciones Batch Publicado por: 0x0309 en 8 Agosto 2009, 14:57 pm @echo off
Inyecciones batch Las inyecciones batch son variables que contienen carácteres especiales y/o texto con significado para cmd.exe y que al ser expandidas de manera simple transforma la línea de comandos. Por qué les interesa a algunas personas Porque creen que esto es una materia del "lenguaje archivos por lotes". Valor práctico de evitarlas Se trata el contenido de las variables como texto, y se obtienen los resultados esperados. Problema de seguridad Pueden ser un problema de seguridad si no se las conoce, y se utiliza un archivo por lotes como autenticador de usuarios en una conexión remota en modo terminal, aunque esto es poco común que se realice, y en mi opinión alejado de la realidad. Tipos de expansiones de variables En cmd.exe existen dos tipos de expansiones de variables oficiales, existe una tercera, la del comando set /a: -Expansión simple: es la más común y utilizada. Se utiliza el carácter de porcentaje a cada lado del nombre de la variable para obtener su contenido. Esta expansión es realizada cuando se lee un comando. Por ejemplo, si dentro de un bloque if creamos una variable que no existía antes, asignándole un valor, y la expandimos de manera simple dentro del mismo bloque, la expansión expandirá vacío porque la expansión se realizó cuando se leyó el bloque del comando if y la variable no contenía nada. Con esta expansión el texto del contenido de la variable puede considerarse como parte de la línea de comandos, y no como solamente texto. -Expansión retardada: no es tan utilizada. Se utiliza el carácter exclamación final. Con esta expansión el texto del contenido de la variable es considerado en la mayoría de los casos como solamente texto por lo que en salvo casos especiales no modifica la línea de comandos. Esta expansión es realizada cuando se ejecuta el comando por lo que se obtiene el valor actual de una variable en todo momento. Puede utilizarse en conjunto con la expansión simple para obtener el contenido del contenido de una variable. Ejemplo, si tengo una variable llamada valorUno que contiene valorDos, y quiero obtener el valor de valorDos a través de valorUno se puede hacer: !%valorUno%! Casos improbables, rídiculos, quizás realizados alguna vez. -------------------------------------------------------------- Caso 1. conexión con netcat Equipo servidor: ip:192.168.0.103 comando para escuchar conexiones: nc.exe -L -d -e seguridad.bat -p 123 Equipo cliente: comando para conectarse: nc.exe -vv 192.168.0.103 123 seguridad.bat: Código: @echo off Si presionamos enter, el archivo por lotes finaliza, y la conexión también. Código: computador [192.168.0.103] 123 (?) open Si nos volvemos a conectar, y escribimos cualquier palabra por ejemplo:12345 como esta no es la palabra mouse que se asignó como password el archivo por lotes finaliza. Código: computador [192.168.0.103] 123 (?) open Ahora, veremos una inyección para este caso: Código: "=="" rem Código: computador [192.168.0.103] 123 (?) open ¿Qué sucedió? Como se realizó una expansión simple el texto se mezcló con la línea de comandos y la alteró de esta forma: Código: if not ""=="" rem"=="mouse" (exit) En la primera línea se forma una valor lógico verdadero con not ""=="" y por ello se comenta el resto de la línea con el comando rem, y se continúa hacia abajo, y se ejecuta cmd. De esta forma se obtiene acceso a la shell remota sin conocer la password. -------------------------------------------------------------- Caso 2: Chat de dos administradores de una escuela mediante servidor telnet. Este caso tan imaginativo lo expongo simplemente para mostrar el código del chat que se me ocurrió xD, y para dejar claro que las batch injections son un riesgo de seguridad en casos inimaginables. Se encuentra configurado el servidor telnet de windows, y existen dos cuentas en el sistema con privilegios de administrador. cuenta 1: rockox password de cuenta 1: batch cuenta 2: smart password de cuenta 2 : qwerty Bien, el servidor telnet de windows ejecuta luego de autenticar a los usuarios: Código: %SYSTEMROOT%\System32\cmd.exe /q /k C:\WINDOWS\system32\login.cmd Y se ha modificado login.cmd con el siguiente contenido: Código: @echo off Luego se conectan a la hora de costumbre: Código: telnet.exe -l rockox 192.168.0.103 Código: telnet.exe -l smart 192.168.0.103 Código: Cliente Telnet de Microsoft Cada uno escribe su password y se conectan. Al primero se le muestra: Código: Bienvenido al chat. Y al segundo se le muestra: Código: Bienvenido al chat. el primero escribe: Código: hola y al segundo se le muestra: Código: mensaje del rockox desde SERVIDOR el 08-08-2009 6:45:43 y la conversación funciona bien, sin embargo, un alumno estuvo escaneando la red y obtuvo la password de ambos. Cuando nadie estaba conectado, ingresó al chat, como solo había un usuario conectado, los mensajes no llegaban a ninguna parte porque: esta línea: Código: if /i "%%b" neq "%username%" ( Ahora escribió lo siguiente: Código: ") y obtuvo: Código: ") En realidad en esta parte: Código: tlntadmn -m %%a "%msg%" > nul lo que hizo fue lo siguiente: Código: tlntadmn -m %%a "")" > nul Se puso un cierre de paréntesis, sin haber puesto uno inicial antes, por lo que ante el error de sintaxis, el archivo por lotes finalizó, y se quedó en modo interactivo, debido a que windows ejecuta con el servidor telnet cmd con el parámetro /K. Esto muestra que un error de sintaxis también puede considerarse batch injection. En este caso, la conexión no se pierde, por el parámetro /K. -------------------------------------------------------------- Cómo evitar las batch injections Usando expansión retardada. Los códigos quedan sin batch injections de la siguiente manera. Simplemente reemplazo los signos de porcentajes por los signos de exclamación, y añado al comienzo setlocal enableextensions enabledelayedexpansion. enableextensions se agrega de todas maneras, pues hay comandos que solo se ejecutan con esta opción activada, como por ejemplo: goto :eof set /p exit /b y si se ejecuta cmd /e:off se produce error de sintaxis. seguridad.bat: Código: @echo off login.cmd: Código: @echo off Casos especiales dónde se produce batch injection con expansión retardada. comando echo on Código: set var=on Código: echo.!var! expansión del comando set /a el comando set /a con las extensions habilitadas expande el contenido de una variable solo proporcionando el nombre. Código: @echo off Este código admite como solución (la coma es un separador dentro del comando set /a permitiendo realizar varios cálculos en una sola línea de izquierda a derecha): Código: 123,p= Ejemplo explicativo Código: @echo off Esto produce como resultado en la variable suma:1 porque la expansión retardada expande valor como numero, y set /a realiza otra expansión expandiendo numero con su valor -2 Ahora si el código hubiese sido así: Ejemplo Código: @echo off El resultado en la variable suma es 3 porque set /a expande la variable valor y esta no contiene ningún número por lo que se interpreta como 0. Evitar errores de sintaxis Para evaluar si el contenido de una variable está vacía es a mí gusto mucho más práctico y mejor hacer: Código: if defined variable que: Código: if "!variable!"=="" Evitar resultados inesperados En comparaciones númericas con el comando if la única forma de realizarlas correctamente es NO encerrándolas entre comillas, de lo contrario son consideradas como texto, y si se quiere comparar igualdad se debe usar EQU en vez de == porque == es para texto. Tanto equ, neq leq lss geq gtr requieren las extensiones habilitadas. No hacer: Código: if "5"=="5" (...) Código: if 5 equ 5 (...) Código: if 10 equ 0xA (...) Hacer un filtro Para hacer un filtro se requiere ir recorriendo cada carácter, siempre usando expansión retardada, y evalúando si es o no el carácter que queremos. Ejemplo: ejemplo de uso la función clean Código: @ECHO OFF Evitar interpretar texto dentro del comando set. Cuando recibimos argumentos a una función, para expandirlos usamos %1 %2 %3 %* y no podemos hacer: !1 !2 !* Por eso si queremos hacer esta asignación sin interpretarlo, sino considerarlo como texto, debemos encerrar el set entre paréntesis o entre comillas de esta forma: Código: set "valor=%1" Código: (set valor=%1) o si expandimos de manera simple dentro de una expansión retardada: Código: set "valor=!%contenido%!" Código: (set valor=!%contenido%!) Se requiere tener las extensions activadas para usar la forma de las comillas, en cambio para los paréntesis no, pero los paréntesis a veces dan problemas dentro de otros paréntesis, como los bloques de código de un comando for. Cómo transformar expresiones lógicas con expansiones simples de variables y crear otro comando. Código: set /p num=Ingrese numero: batch injection: Código: not a rem cuando no se puede comentar, pues se llega a una línea hacia abajo de error. Código: set /p in=Ingrese passw: batch injection: Código: _" if "1"=="0 rem al revés: Código: set /p in=Ingrese passw: Código: 1"=="0" if "_ carácteres usados juntos o separados para provocar error de sintaxis: Código: ( Otros textos: Código: &cmd^ Bugs de programación Esto es una observación de cómo un bug del comando for /f permite ignorar parte de un código. El bug del comando for /f y qué no está en la documentación oficial es que la opción eol siempre debe tener un valor, y si no se específica se asume por defecto el ';'. El bug consiste en que no puede decirsele al for /f que no asuma ningún carácter como comentario porque siempre considera el siguiente carácter. Ejemplo: Código: for /f "eol=" %%a in ("texto") do rem Código: for /f "eol= tokens=1" %%a in ("texto") do rem Por eso, si uno añade cualquier texto que comience con punto y coma, este se asume como comentario y el contenido de "do" no se ejecuta. Ejemplo: En este código para evitar hacer antes un if defined, se agrega al texto y a la clave el carácter '.'. Por eso "entrar" queda como "entrar." y esto es para que si la variable no está definida, %%a no esté vacío y se ignore la parte del "do". Código: @echo off Parece funcionar bien, por ejemplo si presionamos enter, sin haber escrito nada, o escribimos un texto distinto de "entrar", se nos dice que está mal. Pero si ingresamos un texto que comience con ; este se asumirá como comentario por la razón antes explicada. batch injection para este caso especial: Código: ; Solución: No usar for /f o usar el mismo carácter de eol como delimitador y usar todos los tokens. De esta forma se eliminan todos los carácteres iniciales del texto que coinciden con el carácter de la opción eol. Código: @echo off Código: @echo off Ejemplo, puede ingresarse como password: Código: ;;;entrar Código: ;;;entrar;; Expansión de ! Cuando tenemos la expansión retardada activada, dentro de un archivo por lotes estos son los resultados de la expansión: Código: ! = vacío Cómo escapar el carácter ! con expansión retardada. Cuando tenemos expansión retardada puede ser necesario escapar el carácter ! para que éste no sea expandido como vacío. Por ejemplo dentro del comando set /a existe el operador: ! que significa que el número que procede al operador, si es 0, es convertido a 1, y si el número es distinto de 0, es convertido a 0. Ejemplo: Código: @echo off Aquí se nos muestra: Código: n=0 Esto es porque el carácter ! fue expandido a vacío. Para escapar el carácter ! con expansión retardada activada se debe hacer así: Código: ^^! Por eso el código para que funcione correctamente se debe escribir así: Código: @echo off Ahora, nos muestra los resultados correctos: Código: n=1 Eso es todo, y espero que ya no se pierda más el tiempo con este tema. Título: Re: Inyecciones Batch Publicado por: h0oke en 8 Agosto 2009, 15:02 pm Excelente! Me ha gustado mucho el chat entre los administradores.
Un saludo! Título: Re: Inyecciones Batch Publicado por: leogtz en 8 Agosto 2009, 20:06 pm Bastante completo, gracias por la información, en cuanto esté en Windows pruebo todo.
Título: Re: Inyecciones Batch Publicado por: Crazy.sx en 8 Agosto 2009, 20:42 pm Es un tema interesante, hace mucho que no veo Script Batch pero voy a volver a practicarlo, y es obvio que tendré en cuenta este tema. ;D
No recuerdo bien pero creo que Leo G me ayudó en ciertos códigos que hice para asegurarlos y evitar estas cosas... Voy a revisar estos códigos, Saludos. Título: Re: Inyecciones Batch Publicado por: 0x0309 en 11 Agosto 2009, 20:15 pm agregué un poco más de información al final.
|