Exfiltração de Dados via Saídas Exclusivamente Numéricas

07 de maio de 2026

Resumo

Quando vulnerabilidades de injeção de código retornam apenas números decimais válidos, sem reflexão, tráfego externo ou temporização, atacantes podem exfiltrar dados alfanuméricos. Isso é feito codificando as saídas de comandos como inteiros em base-36, utilizando funções como int(command_output, 36) em Python ou base_convert() em PHP, após a remoção de caracteres não alfanuméricos por meio de funções de tradução de strings. A limitação de 4.300 dígitos inteiros do Python permite a exfiltração de até 2.762 caracteres alfanuméricos (mais de 2KB) em uma única operação.

Em sistemas de 64 bits, como JavaScript e PHP, há uma limitação de aproximadamente 12 caracteres por conversão. No entanto, as funções BC Math do PHP possibilitam a divisão do payload em blocos e sua concatenação para lidar com volumes maiores de dados. A codificação Base27 pode, em ambientes restritos de 64 bits, comprimir um caractere adicional ao deslocar o alfabeto para a esquerda e excluir caracteres numéricos, sacrificando densidade de informação por uma maior capacidade de saída.

Fontes

blog.ikaes.defonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 07 de maio de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?