从一道BUUCTF的SSRF题,聊聊Linux命令行那些“意想不到”的利用姿势(HITCON 2017实战复盘)
从BUUCTF SSRF题看Linux命令行的隐秘攻击面
在CTF竞赛和实际渗透测试中,SSRF(服务器端请求伪造)常被视作简单的内网探测工具,但2017年HITCON这道题却展示了它如何与Linux命令行特性结合,实现从信息泄露到远程代码执行的质变。本文将深入拆解这道经典题目背后的技术原理,揭示那些容易被忽视的命令行"魔法"。
1. 题目环境与代码审计的关键发现
当我们拿到这道BUUCTF题目时,首先映入眼帘的是一个看似简单的PHP文件操作功能。但仔细分析后会发现,代码中隐藏着几个关键危险点:
$data = shell_exec("GET " . escapeshellarg($_GET["url"])); @file_put_contents(basename($info["basename"]), $data);这段代码的核心问题在于:
- 使用了
shell_exec直接执行系统命令 - 虽然使用了
escapeshellarg进行过滤,但采用的GET命令本身存在特性 - 文件写入操作与命令执行结果直接关联
GET命令的隐秘特性:
- 这是Linux下的Perl脚本工具(通常位于
/usr/bin/GET) - 支持多种协议处理,包括
file:协议 - 能够与管道符等Shell特性结合使用
注意:现代Linux系统可能默认不安装GET工具,但在CTF环境中常作为考点特意保留
2. 从SSRF到RCE的漏洞链构建
常规SSRF利用通常止步于内网服务探测,但本题通过三个关键步骤实现了突破:
2.1 目录穿越与信息收集
初始利用url=./../../参数进行目录穿越:
GET ./../../../../../etc/passwd通过修改路径深度,逐步探测系统关键文件,发现/readflag二进制文件的存在。
2.2 协议处理器的巧妙利用
file:协议的处理成为突破点:
GET file:/readflag但直接这样执行只会读取文件内容,无法执行二进制。需要结合bash特性:
2.3 命令注入的终极突破
通过管道符和bash -c的组合实现RCE:
GET "file:bash -c /readflag|"这个payload的精妙之处在于:
- 管道符
|改变了命令执行上下文 bash -c创建了新的shell环境file:协议处理器将整个字符串作为命令执行
3. Linux命令行中的危险特性解析
这道题展示了Linux命令行中几个容易被忽视的危险特性:
3.1 非常用命令的潜在风险
| 命令 | 常规用途 | 安全隐患 |
|---|---|---|
| GET | HTTP请求工具 | 支持多协议,可执行本地文件 |
| bash -c | 执行字符串命令 | 绕过部分命令限制 |
| file: | 本地文件协议 | 可能触发命令执行 |
3.2 特殊字符的魔法效果
- 管道符(
|):改变命令执行流 - 重定向符(
>):可能用于文件覆盖 - 反引号(
`):命令替换的隐蔽方式
3.3 环境变量注入点
GET "file:${PATH} $(whoami)"这类利用方式在特定环境下可能泄露敏感信息或执行命令。
4. 防御方案与安全编码实践
针对这类漏洞链,建议采用分层防御策略:
输入过滤层:
- 禁用危险协议(如
file:) - 限制特殊字符(
|、$、反引号等) - 使用白名单校验URL参数
执行隔离层:
// 安全示例 $allowed_domains = ['example.com']; if (!in_array(parse_url($_GET['url'], PHP_URL_HOST), $allowed_domains)) { die('Invalid URL'); }系统加固层:
- 移除不必要的命令行工具(如GET)
- 配置PHP禁用危险函数:
disable_functions = shell_exec,system,passthru - 使用Docker等容器技术限制文件系统访问
5. 实战中的扩展利用思路
这种技术组合在真实渗透测试中可能有以下应用场景:
受限环境下的命令执行:
- 通过Web应用间接执行系统命令
- 绕过某些WAF对直接命令注入的检测
权限提升的跳板:
- 利用应用权限读取敏感文件
- 通过特殊命令特性突破沙箱限制
持久化后门:
- 写入计划任务或启动脚本
- 利用命令行特性维持访问
在最近的一次内部测试中,我们发现某系统虽然过滤了常见的;、&&等符号,但忽略了|与file:协议组合的利用方式,最终通过类似手法获得了系统权限。这提醒我们,安全防御必须考虑各种命令行特性的组合利用可能。