Exfiltração de Dados via Saídas Exclusivamente Numéricas

Quando vulnerabilidades de injeção de código retornam apenas números decimais válidos, sem reflexão, tráfego externo ou temporização, atacantes podem exfiltrar dados alfanuméricos. Isso é feito codificando as saídas de comandos como inteiros em base-36, utilizando funções como int(command_output, 36) em Python ou base_convert() em PHP, após a remoção de caracteres não alfanuméricos por meio de funções de tradução de strings. A limitação de 4.300 dígitos inteiros do Python permite a exfiltração de até 2.762 caracteres alfanuméricos (mais de 2KB) em uma única operação.

Em sistemas de 64 bits, como JavaScript e PHP, há uma limitação de aproximadamente 12 caracteres por conversão. No entanto, as funções BC Math do PHP possibilitam a divisão do payload em blocos e sua concatenação para lidar com volumes maiores de dados. A codificação Base27 pode, em ambientes restritos de 64 bits, comprimir um caractere adicional ao deslocar o alfabeto para a esquerda e excluir caracteres numéricos, sacrificando densidade de informação por uma maior capacidade de saída.