根据时延的盲道研讨:受限环境下的内容回传信道

访客5年前黑客资讯769

在一次缝隙赏金活动中,挖到个指令注入的洞,我先以时延作为证明向厂商提交该缝隙,厂商以国内 *** 环境差为由(确实得翻墙)拒收,几回交流,奉告若我能取回指定文件 secret.txt 才认可。方针是个受限环境:制止出口流量、NAT 映射至公网、无页面回显、无法猜想 web 目录,换言之,没有出口流量无法反弹 shell、NAT 阻隔也就不能树立正向 shell、页面无输出想看到指令成果不可能、找不到 web 目即使成功创立 webshell 没有容器能解析。我怎么才干检查 secret.txt,顺畅拿到赏金呢?(嗯,金额是灵敏信息嘛 5C7ZR2FOWDS35FZANBQXEZDTMVSWIIHFSCL67PE74W7IRZN7VPS25A7FWCDOLJEN422LX354QEFA====)
0×00 浅入深出
讨论技术问题,我习气拿我们都能拜访得到的环境作为比如,这样,一方面,你能通过操作来验证我的主意是否正确,另一方面,实践也能触发你对同个问题的不同考虑。因为保密协议的原因,我无法对前面说到的实在事例作更多的细节描述,十分困难找到了一个环境相似的 wargame,与你共享。
http://natas9.natas.labs.overthewire.org,账号 natas9:W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl,供给源码,你得主意检查 /etc/natas_webpass/natas10 的内容:

指令注入,我习气上先摸清服务端有哪些约束条件,是否约束内容长度、是否过滤特别字符、是否过滤体系指令、白名单仍是黑名单、是否要闭合单/双引号、操作体系类别,这些信息关于结构载荷至关重要。页面右下角给出了源码,难度降低了不少,但摸清约束条件,是你在其他黑盒测验场景中值得优先考虑的。ok,现在检查源码:

从代码可知,服务端未作任何歹意输入检查,直接将输入 $key 作为 grep -i $key dictionary.txt 的指令行参数传递给 passthru() 函数履行体系指令。
明显,未过滤最基本的指令替换符 $(),那么,提交 $(sleep 4),若应对推迟 4s 则可承认缝隙存在。(封闭进犯端 *** 带宽占用高的使用,防止影响成果)我先提交一般字符串 xxxx,应对为:

页面无实践内容输出,耗时约 0.3s。接下来提交 xxxx%24%28sleep+4%29,应对如下:

耗时约 4.3s,那么,可承认该接口存在指令注入缝隙。其间,两点留意:一是,载荷直接写在 burp 阻拦的数据包中,没有通过浏览器 URL 编码,所以你得手动将字母和数字之外的字符按 URL 编码(burp 的 decoder 模块);二是,进犯载荷尽量包括从前相同的一般字符串,防止引起计时差错。
要使用缝隙获取 /etc/natas_webpass/natas10 内容,当时的代码环境为 grep -i $key dictionary.txt,首要出现的思路是,注入指令分隔符以完毕 grep -i,注入检查 natas10 内容的指令,注释掉余下的 dictionary.txt,这样,原始指令行被分隔成语法正确的三部份。指令分隔符用 ;,注释符号用 #。所以,结构如下载荷(黄色高亮)作为参数 key 的输入:

提交后可成功检查 natas10 内容 nOpp1igQAkUzaI1GUUjzn1bFVj7xCNzu:

恰当添加难度,假定服务端过滤了一切指令分隔符(;|& 以及回车符),能否打破?简略考虑后想到一种 *** ,代码环境中有 grep,它只需匹配上一个字符即可输出该字符所内行,那么,找个存在于 flag 中的恣意字符,grep 就能输出完好的 flag。所以,结构如下载荷:

碰碰命运,看下 a 是否在 flag 中:

命运不错,相同成功拿到 flag。
再添加下难度,如果无页面回显,还有 *** 拿到 flag 么?
0×01 老姿态玩不转
针对无页面回显的场景,我常用获取内容的 *** 有如下几种:之一种,写入或下载 webshell;第二种,用 nc、bash、python 或其他脚本语言反弹 shell;第三种,用 curl、wget 拜访我自己的 VPS,将内容放入 URL 的途径中,检查 *** 拜访日志即可获取内容,这也是你喜欢的盲注。
之一种,写 webshell。先用 touch foo 承认 web 目录有无写权限:

检查文件列表:

[1] [2] [3] [4]  黑客接单网

相关文章

为什么干流网站无法捕获 XSS 缝隙?

 二十多年来,跨站脚本(简称 XSS)缝隙一直是干流网站的心头之痛。为什么过了这么久,这些网站仍是对此类缝隙束手无策呢? 关于最近 eBay 网站曝出的跨站脚本缝隙,你有什么主意?为什么会呈现这样的漏...

运用Python检测并绕过Web应用程序防火墙

Web运用防火墙一般会被布置在Web客户端与Web服务器之间,以过滤来自服务器的歹意流量。而作为一名浸透测验人员,想要更好的打破方针体系,就有必要要了解方针体系的WAF规矩。现在,许多WAF都是根据签...

24小时黑客在线接单交易平台 真正的黑客先做事后付款

有些人用电脑远程管理软件盗取别人的在线接单电话! 黑客在线接单电话 目前,有一千多人在利用“黑客”读取网民的宽带账号和密码,在电信增值服务网站“互联网星空”上购买游戏点卡片、Q币等商品,然后低价出售牟...

使用“进程注入”完成无文件复生 WebShell

上周末,一个好兄弟找我说一个很重要的方针shell丢了,这个shell之前是经过一个S2代码履行的缝隙拿到的,现在缝隙还在,不过web目录悉数不可写,问我有没有办法搞个webshell持续做内网。正好...

30秒攻破恣意密码保护的PC:深化了解5美元黑客神器PoisonTap

近来,闻名硬件黑客Samy Kamkar运用5美元设备打造的黑客东西PoisonTap,只需30秒,就可以攻破设置有恣意暗码的电脑体系,并完成长时间后门装置。PoisonTap不是暴力破解暗码,而是...

把PHP LFI缝隙变为Webshell的形式

存眷PHP缝隙的同伙必定知道LFI+phpinfo可以搞出一个webshell。 LFI这个条件还算异常,但phpinfo这个照样比较难凑的,所以有点鸡肋。接下来,我共享一个……异常鸡肋的思绪……人人...