@echo offEspero que os gustara este GRAN manual de 0x0309!
Inyecciones batch
Las inyecciones batch son variables que contienen carácteres especiales y/o texto con significado para cmd.exe y que al ser expandidas de manera simple transforma la línea de comandos.
Por qué les interesa a algunas personas
Porque creen que esto es una materia del "lenguaje archivos por lotes".
Valor práctico de evitarlas
Se trata el contenido de las variables como texto, y se obtienen los resultados esperados.
Problema de seguridad
Pueden ser un problema de seguridad si no se las conoce, y se utiliza un archivo por lotes como autenticador de usuarios en una conección remota en modo terminal, aunque esto es poco común que se realice, y en mi opinión alejado de la realidad.
Tipos de expansiones de variables
En cmd.exe existen dos tipos de expansiones de variables oficiales, existe una tercera, la del comando set /a:
-Expansión simple: es la más común y utilizada. Se utiliza el carácter de porcentaje a cada lado del nombre de la variable para obtener su contenido. Esta expansión es realizada cuando se lee un comando. Por ejemplo, si dentro de un bloque if creamos una variable que no existía antes, asignándole un valor, y la expandimos de manera simple dentro del mismo bloque, la expansión expandirá vacío porque la expansión se realizó cuando se leyó el bloque del comando if y la variable no contenía nada. Con esta expansión el texto del contenido de la variable puede considerarse como parte de la línea de comandos, y no como solamente texto.
-Expansión retardada: no es tan utilizada. Se utiliza el carácter exclamación final. Con esta expansión el texto del contenido de la variable es considerado en la mayoría de los casos como solamente texto por lo que en salvo casos especiales no modifica la línea de comandos. Esta expansión es realizada cuando se ejecuta el comando por lo que se obtiene el valor actual de una variable en todo momento. Puede utilizarse en conjunto con la expansión simple para obtener el contenido del contenido de una variable. Ejemplo, si tengo una variable llamada valorUno que contiene valorDos, y quiero obtener el valor de valorDos a través de valorUno se puede hacer: !%valorUno%!
Casos improbables, rídiculos, quizás realizados alguna vez.
--------------------------------------------------------------
Caso 1.
Conección con netcat
Equipo servidor:
ip:192.168.0.103
comando para escuchar conecciones:
nc.exe -L -d -e seguridad.bat -p 123
Equipo cliente:
comando para conectarse:
nc.exe -vv 192.168.0.103 123
seguridad.bat:Código:@echo off
set /p password=Ingrese password:
if not "%password%"=="mouse" (exit)
cmd
Si presionamos enter, el archivo por lotes finaliza, y la conección también.Código:computador [192.168.0.103] 123 (?) open
Ingrese password:
sent 1, rcvd 17: NOTSOCK
Si nos volvemos a conectar, y escribimos cualquier palabra por ejemplo:12345 como esta no es la palabra mouse que se asignó como password el archivo por lotes finaliza.Código:computador [192.168.0.103] 123 (?) open
Ingrese password:12345
sent 6, rcvd 17: NOTSOCK
Ahora, veremos una inyección para este caso:Código:"=="" remCódigo:computador [192.168.0.103] 123 (?) open
Ingrese password:"=="" rem
Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Usuario>
¿Qué sucedió?
Como se realizó una expansión simple el texto se mezcló con la línea de comandos y la alteró de esta forma:Código:if not ""=="" rem"=="mouse" (exit)
cmd
En la primera línea se forma una valor lógico verdadero con not ""=="" y por ello se comenta el resto de la línea con el comando rem, y se continúa hacia abajo, y se ejecuta cmd.
De esta forma se obtiene acceso a la shell remota sin conocer la password.
--------------------------------------------------------------
Caso 2:
Chat de dos administradores de una escuela mediante servidor telnet.
Este caso tan imaginativo lo expongo simplemente para mostrar el código del chat que se me ocurrió xD, y para dejar claro que las batch injections son un riesgo de seguridad en casos inimaginables.
Se encuentra configurado el servidor telnet de windows, y existen dos cuentas en el sistema con privilegios de administrador.
cuenta 1: rockox
password de cuenta 1: batch
cuenta 2: smart
password de cuenta 2 : qwerty
Bien, el servidor telnet de windows ejecuta luego de autenticar a los usuarios:Código:(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\)%SYSTEMROOT%\System32\cmd.exe /q /k C:\WINDOWS\system32\login.cmd
Y se ha modificado login.cmd con el siguiente contenido:Código:@echo off
cls
echo.Bienvenido al chat.
echo.Usuarios conectados:
for /f "skip=4 tokens=3" %%a in ('tlntadmn -s') do echo.-%%a
echo.
echo.Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.
pause >nul
cls
:ini
(set msg=)
set /p msg=
if defined msg (
set /a nroUsuarios=0
for /f "skip=4 tokens=1,3" %%a in (
'tlntadmn -s ^| findstr /v "\<-"') do ( if /i "%%b" neq "%username%" ( tlntadmn -m %%a "%msg%" > nul
)
)
)
goto ini
Luego se conectan a la hora de costumbre:Código:telnet.exe -l rockox 192.168.0.103Código:telnet.exe -l smart 192.168.0.103Código:Cliente Telnet de Microsoft
El carácter de escape es "CTRL+}"
Va a enviar información sobre su contraseña a un equipo remoto en la zona Inter
et. Es posible que esto no sea seguro. Desea enviarla de todas maneras(s/n): s
Welcome to Microsoft Telnet Service
password:
Cada uno escribe su password y se conectan.
Al primero se le muestra:Código:Bienvenido al chat.
Usuarios conectados:
-rockox
Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.
Y al segundo se le muestra:Código:Bienvenido al chat.
Usuarios conectados:
-rockox
-smart
Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.
el primero escribe:Código:hola
y al segundo se le muestra:Código:mensaje del rockox desde SERVIDOR el 08-08-2009 6:45:43
hola
y la conversación funciona bien, sin embargo, un alumno estuvo escaneando la red y obtuvo la password de ambos.
Cuando nadie estaba conectado, ingresó al chat, como solo había un usuario conectado, los mensajes no llegaban a ninguna parte porque:
esta línea:Código:indica que solo se envié el mensaje cuando haya otro usuario conectado. Así es que se conectó con el otro usuario también.if /i "%%b" neq "%username%" (
Ahora escribió lo siguiente:Código:")
y obtuvo:Código:")
No se esperaba " > nul en este momento.
C:\WINDOWS\system32>
En realidad en esta parte:Código:tlntadmn -m %%a "%msg%" > nul
lo que hizo fue lo siguiente:Código:tlntadmn -m %%a "")" > nul
Se puso un cierre de paréntesis, sin haber puesto uno inicial antes, por lo que ante el error de sintaxis, el archivo por lotes finalizó, y se quedó en modo interactivo, debido a que windows ejecuta con el servidor telnet cmd con el parámetro /K.
Esto muestra que un error de sintaxis también puede considerarse batch injection. En este caso, la conección no se pierde, por el parámetro /K.
--------------------------------------------------------------
Cómo evitar las batch injections
Usando expansión retardada. Los códigos quedan sin batch injections de la siguiente manera. Simplemente reemplazo los signos de porcentajes por los signos de exclamación, y añado al comienzo setlocal enableextensions enabledelayedexpansion.
enableextensions se agrega de todas maneras, pues hay comandos que solo se ejecutan con esta opción activada, como por ejemplo: goto :eof set /p exit /b
y si se ejecuta cmd /e:off se produce error de sintaxis.
seguridad.bat:Código:@echo off
setlocal enableextensions enabledelayedexpansion
set /p password=Ingrese password:
if not "!password!"=="mouse" (exit)
cmd
login.cmd:Código:@echo off
setlocal enableextensions enabledelayedexpansion
cls
echo.Bienvenido al chat.
echo.Usuarios conectados:
for /f "skip=4 tokens=3" %%a in ('tlntadmn -s') do echo.-%%a
echo.
echo.Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.
pause >nul
cls
:ini
(set msg=)
set /p msg=
if defined msg (
set /a nroUsuarios=0
for /f "skip=4 tokens=1,3" %%a in (
'tlntadmn -s ^| findstr /v "\<-"') do ( if /i "%%b" neq "!username!" ( tlntadmn -m %%a "!msg!" > nul
)
)
)
goto ini
Casos especiales dónde se produce batch injection con expansión retardada.
comando echo onCódigo:Para evitar esto utilice como primer separador del comando echo el carácter punto (.) dejándolo así:set var=on
echo !var!
rem este comando activará el eco.Código:echo.!var!
expansión del comando set /a
el comando set /a con las extensions habilitadas expande el contenido de una variable solo proporcionando el nombre.Código:@echo off
setlocal enabledelayedexpansion
:ini
(set p=)
(set g=)
set /p p=Password:
set /a "g=!p:~0,6!+123" >nul 2>&1
if not "!p!"=="!g!" (echo Mal.&goto:ini)
if errorlevel 9009 goto ini
echo Bien.
pause
goto :eof
Este código admite como solución (la coma es un separador dentro del comando set /a permitiendo realizar varios cálculos en una sola línea de izquierda a derecha):Código:123,p=
0,p=g,
0,p=0,
g,p=g,
Ejemplo explicativoCódigo:@echo off
setlocal enableextensions enabledelayedexpansion
set numero=-2
set valor=numero
set /a suma=1+2+!valor!
echo.suma=!suma!
pause
Esto produce como resultado en la variable suma:1 porque la expansión retardada expande valor como numero, y set /a realiza otra expansión expandiendo numero con su valor -2
Ahora si el código hubiese sido así:
EjemploCódigo:@echo off
setlocal enableextensions enabledelayedexpansion
set numero=-2
set valor=numero
set /a suma=1+2+valor
echo.suma=!suma!
pause
El resultado en la variable suma es 3 porque set /a expande la variable valor y esta no contiene ningún número por lo que se interpreta como 0.
Evitar errores de sintaxis
Para evaluar si el contenido de una variable está vacía es a mí gusto mucho más práctico y mejor hacer:Código:rem este comando requiere las extensiones habilitadasif defined variable
que:Código:if "!variable!"==""
Evitar resultados inesperados
En comparaciones númericas con el comando if la única forma de realizarlas correctamente es NO encerrándolas entre comillas, de lo contrario son consideradas como texto, y si se quiere comparar igualdad se debe usar EQU en vez de == porque == es para texto. Tanto equ, neq leq lss geq gtr requieren las extensiones habilitadas.
No hacer:Código:Si hacer:if "5"=="5" (...)Código:rem esto incluso nos permite prescindir de la base (decimal, octal, hexadecimal). Ejemplo:if 5 equ 5 (...)Código:if 10 equ 0xA (...)
Hacer un filtro
Para hacer un filtro se requiere ir recorriendo cada carácter, siempre usando expansión retardada, y evalúando si es o no el carácter que queremos.
Ejemplo:
ejemplo de uso la función cleanCódigo:@ECHO OFF
SETLOCAL ENABLEEXTENSIONS ENABLEDELAYEDEXPANSION
SET /A "I=3"
SET "PWL=ByeWorld"
SET "P=PWL"
:START
@ECHO OFF
CLS
echo.*===============================================================
echo.Bienvenido a Telnet Server de Microsoft.
echo.*===============================================================
IF !I! LEQ 0 EXIT
SET /A "I-=1"
SET "INPUT="
SET /P "INPUT=Password:"
CALL :CLEAN INPUT
@FOR /F %%_ IN ("!P!") DO @IF NOT "!INPUT!"=="!%%_!" (
GOTO :START
)
ECHO.BIENVENIDO.
PAUSE
EXIT /B
:CLEAN
::deja solo caracteres dentro del rango a-z 0-9 y espacio en el contenido de las variables.
::version 2.0
::Recibe un parametro con el nombre de la variable que se quiere filtrar su contenido
::autores: Matt Alvariz , Carlos
@SETLOCAL ENABLEEXTENSIONS ENABLEDELAYEDEXPANSION
@SET "V=%*"
@SET "S=!%V%!"
@IF NOT DEFINED S EXIT /B 1
@SET "V="
:LOOP
@FOR %%* IN (
" " 0 1 2 3 4 5 6 7 8 9 A B C D E F G
H I J K L M N O P Q R S T U V W X Y Z
) DO @IF /I "!S:~0,1!" EQU "%%~*" SET "V=!V!!S:~0,1!"
@SET "S=!S:~1!"
@IF DEFINED S GOTO :LOOP
@(ENDLOCAL & SET %*=%V%)
@SETLOCAL ENABLEEXTENSIONS
@EXIT /B 0
Evitar interpretar texto dentro del comando set.
Cuando recibimos argumentos a una función, para expandirlos usamos %1 %2 %3 %* y no podemos hacer: !1 !2 !*
Por eso si queremos hacer esta asignación sin interpretarlo, sino considerarlo como texto, debemos encerrar el set entre paréntesis o entre comillas de esta
forma:Código:oset "valor=%1"Código:(set valor=%1)
o si expandimos de manera simple dentro de una expansión retardada:Código:oset "valor=!%contenido%!"Código:(set valor=!%contenido%!)
Se requiere tener las extensions activadas para usar la forma de las comillas, en cambio para los paréntesis no, pero los paréntesis a veces dan problemas dentro de otros paréntesis, como los bloques de código de un comando for.
Cómo transformar expresiones lógicas con expansiones simples de variables y crear otro comando.Código:set /p num=Ingrese numero:
if not defined num (set num=0)
if %num%==10 (echo.si) else (
echo .no
)
batch injection:Código:not a
rem cuando no se puede comentar, pues se llega a una línea hacia abajo de error.Código:set /p in=Ingrese passw:
if not "mipass"=="%in%" (
echo.mal
) else (
echo.bien
)
batch injection:Código:_" if "1"=="0
rem al revés:Código:batch injection:set /p in=Ingrese passw:
if not "%in%"=="mipass" (
echo.mal
) else (
echo.bien
)Código:1"=="0" if "_
carácteres usados juntos o separados para provocar error de sintaxis:Código:(
)
alt+255
espacio
^
una,dos o tres comillas
Otros textos:Código:&cmd^
Eso es todo, y espero que ya no se pierda más el tiempo con este tema.
Saludos,
xassiz
0 comentarios:
Publicar un comentario