Использование атаки через каталог для выполнения команд

Question

Есть ли способ выполнения команд с использованием атак через каталог?

Например, я получаю доступ к файлу etc/passwd сервера, как это

http://server.com/..%01/..%01/..%01//etc/passwd

Есть ли способ выполнить команду вместо этого? Как ...

http://server.com/..%01/..%01/..%01//ls

..... и получить вывод?

Чтобы было ясно, я нашел vuln на сервере нашей компании. Я пытаюсь повысить уровень риска (или бонусные баллы для меня), доказав, что он может дать злоумышленнику полный доступ к системе

Answer 1

Chroot в Linux легко ломается (в отличие от FreeBSD).Лучшее решение - включить SELinux и запустить Apache в изолированной программной среде SELinux:

run_init /etc/init.d/httpd restart

Убедитесь, что у вас установлена ​​и правильно настроена mod_security.

Answer 2

Если вы можете просмотреть / etc / passwd в результате корня документа или доступа к каталогу, неправильно настроенному на сервере, то наличие этой уязвимости не автоматически означает, что вы можете выполнить Команды на ваш выбор.

С другой стороны, если вы можете просматривать записи из / etc / passwd в результате веб-приложения, используя пользовательский ввод (имя файла) в вызовах, таких как popen, exec, system, shell_exec или варианты, без соответствующей очистки, то Вы можете выполнять произвольные команды.

Answer 3

Если вы уже можете просматривать etc / passwd, значит, сервер плохо настроен ... если вы действительно хотите выполнять команды, то вам нужно знать, какой скрипт php работает на сервере, есть ли какая-либо команда system (), чтобы вы могли передавать команды через URL-адрес .. Например: url? command = ls попробуйте просмотреть файлы .htaccess .... это может помочь ...

Answer 4

Да, это возможно (первый вопрос), если приложение действительно очень плохое (с точки зрения безопасности).

http://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution

Answer 5

Редактировать # 2: Я отредактировал свои комментарии, так как они были саркастическими и тупыми. Хорошо, теперь, когда от gAMBOOKa появилась дополнительная информация об Apache с Fedora, которую вы должны были поставить под вопрос, я бы предложил:

• Публикуйте на форуме Apache, подчеркивая, что вы используете последнюю версию Apache и работаете в Fedora, и отправляйте им эксплойт.
• Опубликуйте сообщение на форуме Fedora, снова подчеркнув, что вы используете последнюю версию Apache, и отправьте им эксплойт.
• Следует отметить, что при размещении сообщений на их форумах добавьте httpd.conf на оба сайта.
• Чтобы минимизировать доступ к файлам passwd, посмотрите, как работает Apache в среде с песочницей / chrooted, где любые другие файлы, такие как passwd, не видны за пределами среды с песочницей / chrooted ... у вас есть запасной ящик, чтобы поэкспериментировать с или, что еще лучше, используйте VMWARE для имитации идентичной среды, которую вы используете для Apache / Fedora, - попробуйте установить ее в среде IDENTICAL, и заставить сервер httpd работать в VMWare, а также удаленно получить доступ к виртуальной машине, чтобы проверить, сохраняется ли эксплойт видимый. Затем запустите chroot / sandbox и снова запустите эксплойт ...
• Документируйте пошаговое руководство по воспроизведению и включайте рекомендации до тех пор, пока не будет найдено исправление, в то время как, если веб-сервер работает в среде с изолированной программной средой / изолированной средой, оказывает минимальное влияние - нажмите их, чтобы сделать это ...

Надеюсь, это поможет, С наилучшими пожеланиями, Том.

Answer 6

Если веб-сервер совершенно ужасно не запрограммирован кем-то, не подозревая, что он делает, попытка доступа к ls с использованием этого (предположим, что это даже работает) приведет к тому, что вы увидите содержимое двоичного файла ls,и ничего больше.

Что, вероятно, не очень полезно.