Plusieurs fois lors d’un pentest, j’ai dû scripter pour me faciliter la vie ou tester rapidement une idée ou un vecteur d’attaque. Récemment, je suis tombé sur un vecteur d’injection de commandes intéressant sur une application Web d’un client. Il y avait une page, fonctionnant en Java, qui me permettait de taper des commandes arbitraires dans un formulaire et de les exécuter. Bien que les webshells fournis par les développeurs soient toujours agréables, il y avait quelques reserves. La page attendait une sortie formatée en liste de répertoires, qui était analysée et reformatée. Si la sortie ne correspondait pas à cette analyse, pas de sortie pour moi. De plus, il n’y avait pas de solution. Tous les ports TCP / UDP, y compris DNS, étaient bloqués en sortie.

J’étais toujours en mesure de tirer parti de l’injection de commandes pour compromettre non seulement le serveur, mais l’ensemble de l’infrastructure sur laquelle il fonctionnait. Une fois la poussière retombée, le rapport critique a été fait et la vulnérabilité a été corrigée, j’ai pensé que le chemin d’attaque était amusant, et j’ai décidé de partager ma démarche.