Google Cloud Shell - 命令注入
什么是 Google Cloud Shell?
Cloud Shell是一个在线开发和操作环境,可以通过浏览器在任何地方访问。您可以使用它的在线终端来管理资源,该终端预装了一些实用工具,比如gcloud命令行工具、kubectl等等。您还可以使用在线Cloud Shell Editor开发、构建、调试和部署基于云的应用程序。
调查 Google Cloud Shell
首先,我总是检查我的目标的网页存档页面以找到一些有趣的 URL。网址不多,但我可以找到一些参数来挖掘。其中之一是project参数。此参数的值会更改我们在 Cloud Shell 中的项目。简单来说,如果我们访问https://shell.cloud.google.com/?project=test,我们的项目名称会test在 Cloud Shell 终端中更改为 。我在这个参数中尝试了很多东西,但找不到任何东西。在使用这个参数时,我注意到还有一个名为 的参数show,它改变了 Cloud Shell 终端。默认情况下,Cloud Shell 与show=ide,terminal. 那个终端看起来像这样:
我将该参数更改为show=ide,我得到了这个终端:
在此终端中,我尝试了与在第一个终端中测试的相同的东西。我输入asd'了项目参数,并在终端中看到了一些非常令人兴奋的东西。
你看见我看到的了吗?终端运行了一个 Python 脚本,其中包含project参数的值,没有任何编码。我得到了这个错误:
File "<stdin>", line 9
if 'asd'':
^
SyntaxError: EOL while scanning string literal
我的值中的撇号导致了 Python 代码中的错误。我很快将我的值更改为asd':#以修复该语法错误。但是,我遇到了另一个错误:
File "<stdin>", line 10
config.set('core', 'project', 'asd':#')
^
SyntaxError: invalid syntax
所以,我的价值也反映到了另一行代码。我知道第一个位置是if 'value':,另一个是config.set('core', 'project', 'value')。第一个以 结尾,':另一个以 结尾')。如果我们检查Python 中的多行语法,我们可以创建带有三个撇号的多行文本。
第一个代码部分有一个撇号,最后一个代码部分有一个撇号。所以,我只是在 print 函数中添加了两个撇号,并使内置代码虚拟化。我将项目值更改为asd':print(''并且 Python 代码运行时没有任何语法错误!我修复了 Python 代码的语法,然后我可以在if语句之后执行任何 Python 代码。正确的?是的!
我将我的项目价值更改为asd':import os;os.system("cat /etc/passwd");print(''并得到了这个:
Bingo,在 Cloud Shell 中获得了命令注入!我还能够毫无问题地获得远程外壳。这是演示攻击的视频。
时间线
2022 年 1 月 28 日 06:40 PM:将报告发送到 Google VRP。
2022 年 1 月 28 日 07:00 PM:收到Nice Catch!消息。作为 P1 接受的报告。
2022 年 2 月 15 日下午 8:55:$$$ 
2022 年 6 月 1 日下午 02:42:已修复。(之前可能已修复,但我在 6 月 1 日注意到)
感谢 Google VRP 团队在 20 分钟内对报告进行分类。这太疯狂了!另外,感谢 Numan Türle 启发我研究 Cloud Shell。
免费知识星球
原文始发于微信公众号(威胁猎人):Google Cloud Shell - 命令注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论