利用目录遍历攻击执行命令

Question

有没有办法使用目录遍历攻击来执行命令？

例如，我像这样访问服务器的 etc/passwd 文件

http://server.com/..%01/..%01/..%01//etc/passwd

有没有办法改为运行命令？就像......

http://server.com/..%01/..%01/..%01//ls

并得到输出？

需要澄清的是，我在我们公司的服务器中发现了该漏洞。我希望通过证明它可以让攻击者完全访问系统来提高风险级别（或对我来说是加分）

Answer 1

Linux 上的 Chroot 很容易被破坏（与 FreeBSD 不同）。更好的解决方案是打开 SELinux 并在 SELinux 沙箱中运行 Apache：

run_init /etc/init.d/httpd restart

确保已安装 mod_security 并正确配置。

Answer 2

如果由于服务器上未正确配置文档根或目录访问权限而导致您能够查看 /etc/passwd，则此漏洞的存在并不自动意味着您可以执行以下命令你的选择。

另一方面，如果由于 Web 应用程序在 popen、exec、system、shell_exec 或未经充分清理的变体等调用中使用用户输入（文件名）而能够查看 /etc/passwd 中的条目，那么您可能会能够执行任意命令。

Answer 3

除非网络服务器是由不知道自己在做什么的人完全可怕地编程的，否则尝试使用它访问 ls （假设它甚至有效）将导致您看到 的内容ls 二进制文件，仅此而已。

这可能不是很有用。

Answer 4

是的，如果应用程序真的很糟糕（就安全性而言），则有可能（第一个问题）。

http://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution

Answer 5

编辑#2：我已经删除了我的评论，因为它们被认为是讽刺和直率的。好吧，现在更多信息来自 gAMBOOKa，Apache 与 Fedora - 您应该将其放入问题中 - 我建议：

• 发布到 Apache 论坛，突出显示您正在运行最新版本的 Apache 并在 Fedora 上运行并提交漏洞利用给他们。
• 再次发帖到 Fedora 论坛，强调您正在运行最新版本的 Apache 并向他们提交漏洞利用程序。
• 应该注意的是，在发布到这两个站点的论坛时，请包含 httpd.conf。
• 为了最大限度地减少对 passwd 文件的访问，请考虑在沙箱/chroot 环境中运行 Apache，其中任何其他文件（例如 passwd）在沙箱/chroot 环境之外都不可见...您是否有一个备用盒子来进行试验，甚至最好使用 VMWARE 来模拟与 Apache/Fedora 使用的相同环境 - 尝试使其成为相同的环境，并使 httpd 服务器在 VMWare 中运行，并远程访问虚拟机以检查漏洞利用是否仍然可见。然后 chroot/sandbox 并再次重新运行该漏洞...
• 记录重现它的步骤并包含建议，直到找到修复程序，同时如果对在沙箱/chrooted 环境中运行的 Web 服务器影响最小- 推动他们这样做...

希望这有帮助，
此致，
汤姆.

Answer 6

如果您已经可以查看etc/passwd，那么服务器的配置一定很差......
如果你真的想执行命令，那么你需要知道服务器中运行的php脚本是否有system()命令，以便你可以通过url传递命令。
例如： url?command=ls
尝试查看 .htaccess 文件....它可能会成功..