记一次远程命令执行漏洞的挖掘过程

2018 年 10 月 28 日 FreeBuf

最近为甲方做渗透测试发现了一个远程命令执行漏洞,可以通过恶意参数传递执行bash命令,本文回顾一下漏洞的挖掘过程。

发现

1、通过nessus扫描器的Sitemap模块,发现了可疑目录:

2、根据sitemap的目录信息,打开URL:http://x.x.x.x:28076/file/,发现存在未授权访问漏洞:

3、逐个查看里面的文件,找到了一些比较有意思的JSP:

4、蒙了一下dirFiles.jsp的 参数,使用”path”作为参数名可列出目录、文件信息,URL:http://x.x.x.x:28076/file/dirFiles.jsp?path=。

5、同样的方法,发现show.jsp存在任意文件读取漏洞,URL:http://x.x.x.x:28076/file/show.jsp?path=/etc/passwd。

6、结合上面的目录信息和任意文件读取漏洞,对JSP文件简单审计一下,发现logContentNewest.jsp会调用一个bash脚本,便猜想能否使用它构造命令执行:

测试

logContentNewest.jsp正常执行是这样的,可自定义path参数的值,如/etc/passwd,来查找这个文件里面的内容:

分析logContentNewest.jsp和 被调用的sh脚本,得知path参数最终会传入sh脚本的FILE_PATH变量,然后调用下面的判断逻辑。从下面代码我们可以看到,函数的功能是判断FILE_PATH变量的值是否存在,而这个变量的值目前是可控的。

最初想通过添加双引号闭合if条件判断参数注入命令,没有成功。

payload:/etc/passwd" ];ls;then echo 1;fi;if [ -e "123.txt

从上图可以看到,payload的双引号不见了,在自己的Linux测试一下,发现bash在这种情况下会过滤双引号,因此排除了存在过滤双引号的可能。

经过多次测试,最终可用反引号“或者$()进行命令执行,如`ifconfig`:

payload:"`ifconfig`"

命令结果的回显是因为判断不存在FILA_PATH文件名的文件后,会把变量值返回

echo "the file($FILE_PATH) dose not exist!"

结果显示不完整,只能看到返回的第一行的结果,没关系,可以简单优化一下:

payload:"`ifconfig |xargs`"

拓展知识:xargs可以将stdin中以空格或换行符进行分隔的数据,形成以空格分隔的参数(arguments),传递给其他命令。因为以空格作为分隔符,所以有一些文件名或者其他意义的名词内含有空格的时候,xargs可能会误判。简单来说,xargs是给其他命令传递参数的一个过滤器,是构建单行命令的重要组件之一。 但是这里仅仅只是通过xargs的特性让它把多行内容转换成一行来更好地显示结果,当然也可以使用其他方法来实现:

在看看nmap内网扫描的结果,同样的漏洞组件在内网中还发现了很多…

小结

漏洞是由于程序调用bash脚本传参时没有做过滤,通过$(cmd)这样的方式来执行命令并将结果存入变量中,在脚本判断文件不存在时会返回文件名,造成了回显。

漏洞修复方法:

严格控制文件名参数值,先判断文件名或文件路径是否合法可修复漏洞。

*本文作者:r0yanx,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

登录查看更多
0

相关内容

JSP(全称 Java Server Pages)是由 Sun Microsystems 公司倡导和许多公司参与共同创建的一种使软件开发者可以响应客户端请求,而动态生成 HTML、XML 或其他格式文档的 Web 网页的技术标准。
【ICML2020】用于强化学习的对比无监督表示嵌入
专知会员服务
27+阅读 · 2020年7月6日
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
已删除
将门创投
18+阅读 · 2019年2月18日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
R工程化—Rest API 之plumber包
R语言中文社区
11+阅读 · 2018年12月25日
浅谈浏览器 http 的缓存机制
前端大全
6+阅读 · 2018年1月21日
Neural Module Networks for Reasoning over Text
Arxiv
9+阅读 · 2019年12月10日
Meta-Learning to Cluster
Arxiv
17+阅读 · 2019年10月30日
Factor Graph Attention
Arxiv
6+阅读 · 2019年4月11日
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
Arxiv
10+阅读 · 2018年2月4日
VIP会员
相关VIP内容
【ICML2020】用于强化学习的对比无监督表示嵌入
专知会员服务
27+阅读 · 2020年7月6日
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
相关资讯
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
已删除
将门创投
18+阅读 · 2019年2月18日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
R工程化—Rest API 之plumber包
R语言中文社区
11+阅读 · 2018年12月25日
浅谈浏览器 http 的缓存机制
前端大全
6+阅读 · 2018年1月21日
相关论文
Top
微信扫码咨询专知VIP会员