Inyecciones Batch

Iniciado por 0x0309, 8 Agosto 2009, 14:57 PM

0 Miembros y 1 Visitante están viendo este tema.

0x0309

@echo off

Inyecciones batch

Las inyecciones batch son variables que contienen carácteres especiales y/o texto con significado para cmd.exe y que al ser expandidas de manera simple transforma la línea de comandos.

Por qué les interesa a algunas personas
Porque creen que esto es una materia del "lenguaje archivos por lotes".

Valor práctico de evitarlas
Se trata el contenido de las variables como texto, y se obtienen los resultados esperados.

Problema de seguridad
Pueden ser un problema de seguridad si no se las conoce, y se utiliza un archivo por lotes como autenticador de usuarios en una conexión remota en modo terminal, aunque esto es poco común que se realice, y en mi opinión alejado de la realidad.

Tipos de expansiones de variables
En cmd.exe existen dos tipos de expansiones de variables oficiales, existe una tercera, la del comando set /a:
-Expansión simple: es la más común y utilizada. Se utiliza el carácter de porcentaje a cada lado del nombre de la variable para obtener su contenido. Esta expansión es realizada cuando se lee un comando. Por ejemplo, si dentro de un bloque if creamos una variable que no existía antes, asignándole un valor, y la expandimos de manera simple dentro del mismo bloque, la expansión expandirá vacío porque la expansión se realizó cuando se leyó el bloque del comando if y la variable no contenía nada. Con esta expansión el texto del contenido de la variable puede considerarse como parte de la línea de comandos, y no como solamente texto.

-Expansión retardada: no es tan utilizada. Se utiliza el carácter exclamación final. Con esta expansión el texto del contenido de la variable es considerado en la mayoría de los casos como solamente texto por lo que en salvo casos especiales no modifica la línea de comandos. Esta expansión es realizada cuando se ejecuta el comando por lo que se obtiene el valor actual de una variable en todo momento. Puede utilizarse en conjunto con la expansión simple para obtener el contenido del contenido de una variable. Ejemplo, si tengo una variable llamada valorUno que contiene valorDos, y quiero obtener el valor de valorDos a través de valorUno se puede hacer: !%valorUno%!

Casos improbables, rídiculos, quizás realizados alguna vez.

--------------------------------------------------------------
Caso 1.
conexión con netcat

Equipo servidor:
ip:192.168.0.103
comando para escuchar conexiones:
nc.exe -L -d -e seguridad.bat -p 123

Equipo cliente:
comando para conectarse:
nc.exe -vv 192.168.0.103 123

seguridad.bat:
@echo off
set /p password=Ingrese password:
if not "%password%"=="mouse" (exit)
cmd


Si presionamos enter, el archivo por lotes finaliza, y la conexión también.
computador [192.168.0.103] 123 (?) open
Ingrese password:
sent 1, rcvd 17: NOTSOCK


Si nos volvemos a conectar, y escribimos cualquier palabra por ejemplo:12345 como esta no es la palabra mouse que se asignó como password el archivo por lotes finaliza.

computador [192.168.0.103] 123 (?) open
Ingrese password:12345
sent 6, rcvd 17: NOTSOCK


Ahora, veremos una inyección para este caso:

"=="" rem
computador [192.168.0.103] 123 (?) open
Ingrese password:"=="" rem
Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Usuario>


¿Qué sucedió?
Como se realizó una expansión simple el texto se mezcló con la línea de comandos y la alteró de esta forma:
if not ""=="" rem"=="mouse" (exit)
cmd


En la primera línea se forma una valor lógico verdadero con not ""=="" y por ello se comenta el resto de la línea con el comando rem, y se continúa hacia abajo, y se ejecuta cmd.

De esta forma se obtiene acceso a la shell remota sin conocer la password.

--------------------------------------------------------------

Caso 2:
Chat de dos administradores de una escuela mediante servidor telnet.
Este caso tan imaginativo lo expongo simplemente para mostrar el código del chat que se me ocurrió xD, y para dejar claro que las batch injections son un riesgo de seguridad en casos inimaginables.

Se encuentra configurado el servidor telnet de windows, y existen dos cuentas en el sistema con privilegios de administrador.
cuenta 1: rockox
password de cuenta 1: batch

cuenta 2: smart
password de cuenta 2 : qwerty

Bien, el servidor telnet de windows ejecuta luego de autenticar a los usuarios:
%SYSTEMROOT%\System32\cmd.exe /q /k C:\WINDOWS\system32\login.cmd
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\)

Y se ha modificado login.cmd con el siguiente contenido:

@echo off
cls
echo.Bienvenido al chat.
echo.Usuarios conectados:
for /f "skip=4 tokens=3" %%a in ('tlntadmn -s') do echo.-%%a
echo.
echo.Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.
pause >nul
cls
:ini
(set msg=)
set /p msg=
if defined msg (
set /a nroUsuarios=0
for /f "skip=4 tokens=1,3" %%a in (
'tlntadmn -s ^| findstr /v "\<-"') do (
if /i "%%b" neq "%username%" (
tlntadmn -m %%a "%msg%" > nul
)
)
)
goto ini



Luego se conectan a la hora de costumbre:

telnet.exe -l rockox 192.168.0.103
telnet.exe -l smart 192.168.0.103

Cliente Telnet de Microsoft

El carácter de escape es "CTRL+}"

Va a enviar información sobre su contraseña a un equipo remoto en la zona Inter
et. Es posible que esto no sea seguro. Desea enviarla de todas maneras(s/n): s

Welcome to Microsoft Telnet Service

password:



Cada uno escribe su password y se conectan.

Al primero se le muestra:

Bienvenido al chat.
Usuarios conectados:
-rockox

Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.


Y al segundo se le muestra:

Bienvenido al chat.
Usuarios conectados:
-rockox
-smart

Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.


el primero escribe:
hola

y al segundo se le muestra:
mensaje del rockox desde SERVIDOR el 08-08-2009 6:45:43
hola


y la conversación funciona bien, sin embargo, un alumno estuvo escaneando la red y obtuvo la password de ambos.
Cuando nadie estaba conectado, ingresó al chat, como solo había un usuario conectado, los mensajes no llegaban a ninguna parte porque:
esta línea:
if /i "%%b" neq "%username%" (
indica que solo se envié el mensaje cuando haya otro usuario conectado. Así es que se conectó con el otro usuario también.
Ahora escribió lo siguiente:
")


y obtuvo:

")
No se esperaba " > nul en este momento.

C:\WINDOWS\system32>



En realidad en esta parte:
tlntadmn -m %%a "%msg%" > nul

lo que hizo fue lo siguiente:
tlntadmn -m %%a "")" > nul

Se puso un cierre de paréntesis, sin haber puesto uno inicial antes, por lo que ante el error de sintaxis, el archivo por lotes finalizó, y se quedó en modo interactivo, debido a que windows ejecuta con el servidor telnet cmd con el parámetro /K.
Esto muestra que un error de sintaxis también puede considerarse batch injection. En este caso, la conexión no se pierde, por el parámetro /K.

--------------------------------------------------------------

Cómo evitar las batch injections

Usando expansión retardada. Los códigos quedan sin batch injections de la siguiente manera. Simplemente reemplazo los signos de porcentajes por los signos de exclamación, y añado al comienzo setlocal enableextensions enabledelayedexpansion.
enableextensions se agrega de todas maneras, pues hay comandos que solo se ejecutan con esta opción activada, como por ejemplo: goto :eof set /p exit /b
y si se ejecuta cmd /e:off se produce error de sintaxis.


seguridad.bat:
@echo off
setlocal enableextensions enabledelayedexpansion
set /p password=Ingrese password:
if not "!password!"=="mouse" (exit)
cmd


login.cmd:
@echo off
setlocal enableextensions enabledelayedexpansion
cls
echo.Bienvenido al chat.
echo.Usuarios conectados:
for /f "skip=4 tokens=3" %%a in ('tlntadmn -s') do echo.-%%a
echo.
echo.Presione cualquier tecla para limpiar la pantalla y comenzar a comunicarse.
pause >nul
cls
:ini
(set msg=)
set /p msg=
if defined msg (
set /a nroUsuarios=0
for /f "skip=4 tokens=1,3" %%a in (
'tlntadmn -s ^| findstr /v "\<-"') do (
if /i "%%b" neq "!username!" (
tlntadmn -m %%a "!msg!" > nul
)
)
)
goto ini



Casos especiales dónde se produce batch injection con expansión retardada.

comando echo on
set var=on
echo !var!
rem este comando activará el eco.

Para evitar esto utilice como primer separador del comando echo el carácter punto (.) dejándolo así:
echo.!var!


expansión del comando set /a
el comando set /a con las extensions habilitadas expande el contenido de una variable solo proporcionando el nombre.

@echo off
setlocal enabledelayedexpansion
:ini
(set p=)
(set g=)
set /p p=Password:
set /a "g=!p:~0,6!+123" >nul 2>&1
if not "!p!"=="!g!" (echo Mal.&goto:ini)
if errorlevel 9009 goto ini
echo Bien.
pause
goto :eof



Este código admite como solución (la coma es un separador dentro del comando set /a permitiendo realizar varios cálculos en una sola línea de izquierda a derecha):
123,p=
0,p=g,
0,p=0,
g,p=g,



Ejemplo explicativo
@echo off
setlocal enableextensions enabledelayedexpansion
set numero=-2
set valor=numero
set /a suma=1+2+!valor!
echo.suma=!suma!
pause


Esto produce como resultado en la variable suma:1 porque la expansión retardada expande valor como numero, y set /a realiza otra expansión expandiendo numero con su valor -2

Ahora si el código hubiese sido así:
Ejemplo
@echo off
setlocal enableextensions enabledelayedexpansion
set numero=-2
set valor=numero
set /a suma=1+2+valor
echo.suma=!suma!
pause


El resultado en la variable suma es 3 porque set /a expande la variable valor y esta no contiene ningún número por lo que se interpreta como 0.


Evitar errores de sintaxis
Para evaluar si el contenido de una variable está vacía es a mí gusto mucho más práctico y mejor hacer:
if defined variable
rem este comando requiere las extensiones habilitadas

que:

if "!variable!"==""

Evitar resultados inesperados
En comparaciones númericas con el comando if la única forma de realizarlas correctamente es NO encerrándolas entre comillas, de lo contrario son consideradas como texto, y si se quiere comparar igualdad se debe usar EQU en vez de == porque == es para texto. Tanto equ, neq leq lss geq gtr requieren las extensiones habilitadas.
No hacer:
if "5"=="5" (...)
Si hacer:
if 5 equ 5 (...)
rem esto incluso nos permite prescindir de la base (decimal, octal, hexadecimal). Ejemplo:
if 10 equ 0xA (...)

Hacer un filtro
Para hacer un filtro se requiere ir recorriendo cada carácter, siempre usando expansión retardada, y evalúando si es o no el carácter que queremos.

Ejemplo:
ejemplo de uso la función clean

@ECHO OFF
SETLOCAL ENABLEEXTENSIONS ENABLEDELAYEDEXPANSION

SET /A "I=3"
SET "PWL=ByeWorld"
SET "P=PWL"

:START
@ECHO OFF
CLS
echo.*===============================================================
echo.Bienvenido a Telnet Server de Microsoft.
echo.*===============================================================
IF !I! LEQ 0 EXIT
SET /A "I-=1"
SET "INPUT="
SET /P "INPUT=Password:"
CALL :CLEAN INPUT
@FOR /F %%_ IN ("!P!") DO @IF NOT "!INPUT!"=="!%%_!" (
GOTO :START
)

ECHO.BIENVENIDO.
PAUSE
EXIT /B


:CLEAN
::deja solo caracteres dentro del rango a-z 0-9 y espacio en el contenido de las variables.
::version 2.0
::Recibe un parametro con el nombre de la variable que se quiere filtrar su contenido
::autores: Matt Alvariz , Carlos
@SETLOCAL ENABLEEXTENSIONS ENABLEDELAYEDEXPANSION
@SET "V=%*"
@SET "S=!%V%!"
@IF NOT DEFINED S EXIT /B 1
@SET "V="
:LOOP
@FOR %%* IN (
" " 0 1 2 3 4 5 6 7 8 9 A B C D E F G
H I J K L M N O P Q R S T U V W X Y Z
) DO @IF /I "!S:~0,1!" EQU "%%~*" SET "V=!V!!S:~0,1!"
@SET "S=!S:~1!"
@IF DEFINED S GOTO :LOOP
@(ENDLOCAL & SET %*=%V%)
@SETLOCAL ENABLEEXTENSIONS
@EXIT /B 0


Evitar interpretar texto dentro del comando set.

Cuando recibimos argumentos a una función, para expandirlos usamos %1 %2 %3 %* y no podemos hacer: !1 !2 !*
Por eso si queremos hacer esta asignación sin interpretarlo, sino considerarlo como texto, debemos encerrar el set entre paréntesis o entre comillas de esta

forma:

set "valor=%1"
o
(set valor=%1)

o si expandimos de manera simple dentro de una expansión retardada:

set "valor=!%contenido%!"
o
(set valor=!%contenido%!)

Se requiere tener las extensions activadas para usar la forma de las comillas, en cambio para los paréntesis no, pero los paréntesis a veces dan problemas dentro de otros paréntesis, como los bloques de código de un comando for.



Cómo transformar expresiones lógicas con expansiones simples de variables y crear otro comando.

set /p num=Ingrese numero:
if not defined num (set num=0)
if %num%==10 (echo.si) else (
echo .no
)


batch injection:
not a

rem cuando no se puede comentar, pues se llega a una línea hacia abajo de error.
set /p in=Ingrese passw:
if not "mipass"=="%in%" (
echo.mal
) else (
echo.bien
)


batch injection:
_" if "1"=="0

rem al revés:
set /p in=Ingrese passw:
if not "%in%"=="mipass" (
echo.mal
) else (
echo.bien
)

batch injection:
1"=="0" if "_

carácteres usados juntos o separados para provocar error de sintaxis:
(
)
alt+255
espacio
^
una,dos o tres comillas


Otros textos:
&cmd^

Bugs de programación
Esto es una observación de cómo un bug del comando for /f permite ignorar parte de un código.
El bug del comando for /f y qué no está en la documentación oficial es que la opción eol siempre debe tener un valor, y si no se específica se asume por defecto el ';'.
El bug consiste en que no puede decirsele al for /f que no asuma ningún carácter como comentario porque siempre considera el siguiente carácter.
Ejemplo:
for /f "eol=" %%a in ("texto") do rem
aqui considera la comilla del cierre de opciones como carácter de comentario.

for /f "eol= tokens=1" %%a in ("texto") do rem
aqui se considera el espacio que separa la opción tokens como el carácter de comentario.

Por eso, si uno añade cualquier texto que comience con punto y coma, este se asume como comentario y el contenido de "do" no se ejecuta.

Ejemplo:
En este código para evitar hacer antes un if defined, se agrega al texto y a la clave el carácter '.'. Por eso "entrar" queda como "entrar." y esto es para que si la variable no está definida, %%a no esté vacío y se ignore la parte del "do".


@echo off
setlocal enabledelayedexpansion enableextensions
:ini
set /p p=Clave:
for /f %%a in ("!p!.") do if "%%a" neq "entrar." (
echo.Mal
goto ini
)
echo Bien.
pause
goto :eof



Parece funcionar bien, por ejemplo si presionamos enter, sin haber escrito nada, o escribimos un texto distinto de "entrar", se nos dice que está mal.
Pero si ingresamos un texto que comience con ; este se asumirá como comentario por la razón antes explicada.

batch injection para este caso especial:
;

Solución:
No usar for /f o usar el mismo carácter de eol como delimitador y usar todos los tokens. De esta forma se eliminan todos los carácteres iniciales del texto que coinciden con el carácter de la opción eol.


@echo off
setlocal enabledelayedexpansion enableextensions
:ini
set /p p=Clave:
if "!p!" neq "entrar" (
echo.Mal
goto ini
)
echo Bien.
pause
goto :eof



@echo off
setlocal enabledelayedexpansion enableextensions
:ini
set /p p=Clave:
for /f "tokens=* delims=; eol=;" %%a in ("!p!.") do if "%%a" neq "entrar." (
echo.Mal
goto ini
)
echo Bien.
pause
goto :eof


Ejemplo, puede ingresarse como password:
;;;entrar
y como los carácteres iniciales del eol son borrados, funciona, pero si se coloca:
;;;entrar;;
no funciona.


Expansión de !
Cuando tenemos la expansión retardada activada, dentro de un archivo por lotes estos son los resultados de la expansión:

! = vacío
!! = vacío
!algo! = expande el contenido de la variable algo, si no está definida está variable, se expande vacío.


Cómo escapar el carácter ! con expansión retardada.
Cuando tenemos expansión retardada puede ser necesario escapar el carácter ! para que éste no sea expandido como vacío.
Por ejemplo dentro del comando set /a existe el operador: ! que significa que el número que procede al operador, si es 0, es convertido a 1, y si el número es distinto de 0, es convertido a 0.

Ejemplo:

@echo off
setlocal enabledelayedexpansion enableextensions

set /a n=!0
set /a m=!-5
echo.n=%n%
echo.m=%m%

pause
goto :eof


Aquí se nos muestra:

n=0
m=-5


Esto es porque el carácter ! fue expandido a vacío.

Para escapar el carácter ! con expansión retardada activada se debe hacer así:

^^!


Por eso el código para que funcione correctamente se debe escribir así:


@echo off
setlocal enabledelayedexpansion enableextensions

set /a n=^^!0
set /a m=^^!-5
echo.n=%n%
echo.n=%m%

pause
goto :eof


Ahora, nos muestra los resultados correctos:

n=1
m=0


Eso es todo, y espero que ya no se pierda más el tiempo con este tema.

h0oke

Excelente! Me ha gustado mucho el chat entre los administradores.

Un saludo!

leogtz

Bastante completo, gracias por la información, en cuanto esté en Windows pruebo todo.
Código (perl) [Seleccionar]

(( 1 / 0 )) &> /dev/null || {
echo -e "stderrrrrrrrrrrrrrrrrrr";
}

http://leonardogtzr.wordpress.com/
leogutierrezramirez@gmail.com

Crazy.sx

Es un tema interesante, hace mucho que no veo Script Batch pero voy a volver a practicarlo, y es obvio que tendré en cuenta este tema. ;D

No recuerdo bien pero creo que Leo G me ayudó en ciertos códigos que hice para asegurarlos y evitar estas cosas...

Voy a revisar estos códigos, Saludos.
Destruir K. LOL

0x0309

agregué un poco más de información al final.