App - Script
App - Script : Bash - quoted expression injection
Salut tout le monde, je suis actuellement bloqué à ce challenge et j’aimerais avoir un peu d’aide si possible. Le script est relativement simple à comprendre. Par contre, je ne comprends totalement l’objectif du premier if ("if [ ! -v "$1" ] ; then"). D’après la documentation, "-v" renvoie true si une variable s’est vue assigner une valeur. Le " !" permet d’inverser la logique, et si je comprends bien, le script s’arrête si le premier argument ($1) n’a pas de valeur assignée ? Lorsque je teste sur mon ordi, j’ai l’impression qu’importe ce que je mets en premier argument, le script s’arrête à ce if :( Merci d’avance !
App - Script : Bash - quoted expression injection
Merci pour ta réponse :) J’ai essayé et du coup je vois que le premier if est passé lorsque la variable est set. Donc par exemple si je créé une variable et que je la passe en argument avec le wrapper alors ça marche. En revanche, j’ai l’impression que les doubles quotes empêchent toute injection... J’ai plus vraiment d’idées j’avoue :l
App - Script : Bash - quoted expression injection
« pareil. aucune injection possible . Pourriez vous donner une piste de recherche ? »
Si, il y a une injection possible sinon il n’y aurait plus de challs 🙂 mais moins facile a trouver c’est vrai.
piste : qu’est ce qui n’est pas quoté avec des double quote
App - Script : Bash - quoted expression injection
J’avoue que je galère vraiment, surtout vu du fait que le wrapper ne transmet pas l’environnement
Au travers de la doc sur les conditionnal expressions, le -v se valide uniquement si la variable bash est définie
https://www.gnu.org/software/bash/manual/html_node/Bash-Conditional-Expressions.html
Vu que l’environnement est complètement détruit, il ne reste que 2 variables env + le variables par défaut de bash :
https://tldp.org/LDP/abs/html/internalvariables.html
j’ai essayé chez moi l’ensemble des bahs internal variables, sans résultat .
Suis-je sur la bonne voie ou carrément en dehors ?
App - Script : Bash - quoted expression injection
Merci Booster et EITouco pour vos réflexions.
Je bloque aussi, [EDIT Grillette : Je penses que ça spoil, l’important c’est que tu ai pu voir ça en privé :)]
Je suis donc à court de pistes.
N’hésitez pas à supprimer mon post si j’en dis trop. Désolé si c’est le cas, je débute.
App - Script : Bash - quoted expression injection
bonjour
est ce que c’est lié a # !/usr/bin/env bash ?
est ce qu’il serait possible d’avoir un lien ou une piste ?
App - Script : Bash - quoted expression injection
« Je voulais dire : dans le script, je ne vois rien de pas quoté ... »
je comprends pas ta logique, une piste c’est de regarder ce qui ne va pas être quoté malgré les doubles quote
et tu réponds
"je ne vois rien de pas quoté"
???