实验室：具有输出重定向的OS命令盲注

题目

本实验室的 反馈功能 中存在操作系统命令盲注漏洞。

应用程序执行 包含用户提供的详细信息的 shell 命令，命令的输出不会在响应中返回。但是，可以使用输出重定向 来捕获命令的输出。在以下位置有一个可写的文件夹：

/var/www/images/

应用程序从此位置 提供产品目录的图像。可以将注入命令的输出 给重定向到此文件夹中的文件里，然后加载图像 URL 检索该文件的内容。

若要解决实验室问题，请执行whoami命令并检索其输出。

实验室-从业者

具有输出重定向的OS命令盲注 >>

- name: 实验室-从业者
  desc: 具有输出重定向的OS命令盲注 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/os-command-injection/lab-blind-output-redirection
  bgColor: '#001350'
  textColor: '#4cc1ff'

实操

根据题意，可得实验目标：

• 在 反馈功能 中，尝试利用 OS命令盲注漏洞，通过输出重定向来捕获命令的输出。
• 将命令的输出 给重定向到对应目录下的文件中，然后通过 URL 加载该文件。

点击 “Access the lab” 进入实验室。

实验室首页如下，在右上角可以看到一个 “Submit feedback” ，点击它进入反馈页面。

反馈页面如下，填写相应信息，启用浏览器代理 并提交反馈。

查看 BurpSuite 数据包情况。

首先需要验证漏洞点，使用ping命令对本地环回地址执行 20 次 ping 操作，对命令进行 URL 编码。

# 编码前
& ping -c 20 127.0.0.1 &

# 编码后
%26%20%70%69%6e%67%20%2d%63%20%32%30%20%31%32%37%2e%30%2e%30%2e%31%20%26

将命令注入email参数，应用程序延迟了 6 秒多钟（不是固定的时间，有时慢有时快），说明注入的命令成功执行。

根据题目中的提示，执行whoami命令，将其输出 重定向到/var/www/images/目录下的w.txt文件中。

# 编码前
& whoami > /var/www/images/w.txt &

# 编码后
%26%20%77%68%6f%61%6d%69%20%3e%20%2f%76%61%72%2f%77%77%77%2f%69%6d%61%67%65%73%2f%77%2e%74%78%74%20%26

将命令注入email参数，应用程序返回了错误信息，说明注入的命令成功执行。

下一步要寻找/var/www/images目录在 Web 站点上的路径。

在新建标签页中 打开任意一张图像。

该 URL 并不是直接访问文件，而是以传参的形式 间接访问。

尝试将filename参数修改为w.txt，页面中返回了当前用户的名称。

实验完成。

以下是附加内容。

在寻找图像路径的过程中，我找到了网站 LOGO 的 URL 路径，并尝试访问 w.txt 文件，然后......

被骗了（好吧，是我sb）。