批量利用未正确转义的字符串

Question

在 Windows 软件 X 中，您制定的每个链接都会自动转换为可点击的对象。

这里有趣且与安全相关的部分是，像“http://%COMPUTERNAME%.com/”这样的链接将打开标准浏览器，调用“http://NR57005-PC.com/”，这当然是由于所有环境变量都被转换，因此存在信息泄露漏洞。

现在我的问题是，这种行为是否会导致更严重的问题 - 例如代码执行漏洞，这将大大增加快速修复的重要性。

您对如何证明这不仅是一个披露问题而且是一个严重漏洞有什么建议吗？攻击者是否有可能注入批处理命令？

我已经尝试过管道、& 符号和引号，但到目前为止我还没有发现任何有趣的东西。

提前致谢，

帕特里克

编辑： 为了澄清，我的方法如下： 系统必须正在执行类似 firefox.exe "http://%COMPUTERNAME%.com/" 的命令，否则系统变量将不会被转换。 现在，因为我知道正在进行一些未经过滤的批处理调用，所以我认为可以转义参数字符串。例如，像 http://google.com/"&notepad&" 这样的链接可能会生成 firefox.exe "http//google.exe"。 com"¬epad&""，这将打开记事本 - 作为代码执行工作的概念证明。不幸的是，这次逃跑尝试并没有成功。因此我想知道是否还有其他技巧来获得 shell 访问权限或类似的。

Answer 1

• 您的攻击者必须注册并控制服务器NR57005-PC.com。为此，他必须事先掌握有关主机名的信息。

• 呈现的攻击面将取决于用于检索链接的用户代理，这将取决于您的批处理文件处理和/或系统上配置的默认浏览器。

• 假设使用 Internet Explorer，您的攻击面将比您预期的批处理文件有所减少，因为网站将不再位于本地计算机区域，而是位于Internet 区域。 像您正在考虑的狡猾技巧是行不通的。

• 您只能使用典型的 IE 漏洞来获得控制权。批处理文件为您提供了机会，而无需依赖用户来访问恶意网站。

我假设您是笔测试员/审计员，并且正在尝试验证结果。我建议

1 - 编写一个演示，但根据用户错误来运行可执行文件或类似文件。您可以声称用户不希望浏览器提供 exe，因此会更加信任，即使他不应该这样做。

2 - 认识到这不是一个严重漏洞并继续前进。攻击者可以通过精心设计的社会工程电子邮件更轻松地获得相同的访问/信任。