[Day21] Remote Code Execution

前言

你知道Remote Code Execution很严重，但你知道有哪些可以触发RCE吗?

正文

概念

只要能够Remote Code Execution，通常会被评断为高危漏洞，这是因为攻击者可以藉此在Server上远程执行，当然RCE并非只能透过Web才能够触发，但本篇只专注在Web Application上。

其中一个造成RCE的类型就是动态的程序码执行，这也是大多数触发RCE的方法。动态程序码执行的意思是 - 程序码会从某些地方(例如使用者输入)获取参数并执行它。从攻击者的角度来说，只要你的Web Application存在与使用者互动的地方，就都有可能是一个进入点，这包含一般常见的网站提供的栏位、GET/POST Request中的各种栏位，如Headers,request body等等。

透过撰写能够与Web Application/Web Server沟通的程序码，使应用程序执行这些恶意程序码，获得Initial access。

这种方式可能是直接、间接甚至是组合的。

直接

这种方式最好理解，例如Command Injection:

ping.php

<?php

$cmd = "ping ".$GET['ip'];
$result = exec($cmd);

这边的command是由两个部分组成，ping和url参数ip。
这就代表将会被执行的命令其实完全取决於用户input。
可以想像假设攻击者发出一个请求:

http://example.com/?ip=127.0.0.1;cat%20%2Fetc%2Fpasswd

就会将Linux Server上的/etc/passwd print出来，也就理所当然可以将它替换成Reverse Shell取得Server的权限。

我也曾经看过一个案例是，利用touch指令，建立一个特殊档案名称的file name，使网站应用程序在读取filename时，也执行了後面的程序码，将当下目录档案资讯的result，在网站页面中呈现

或像是透过之前[Day16]的Arbitrary File Upload上传Web Shell，再进行RCE。

间接/组合

一个简单的例子是从SQL Injection升级到RCE，例如下面这个payload:
SELECT "<?php system($REQUEST['cmd']);?>" INTO OUTFILE "/var/www/html/xxx.php"

就是利用SQL中的一些特殊功能，写入一个Web Shell到Web Server上，造成RCE，或是使用LOAD_FILE去读取特定系统的文件等等，达成部分的程序码执行。

另一个例子就是insecure Deserialization，不安全的反序列化也有可能做到RCE。

Case Study

• Potential pre-auth RCE on Twitter VPN

• RCE on build server via misconfigured pip install

• WordPress Privilege Escalation via REST API to Administrator leads to RCE

• Exposed Kubernetes API - RCE/Exposed Creds

• Paypal RCE via npm misconfig -- installing internal libraries from the public registry

• RCE on TikTok Ads Portal

• Remote Code Execution via voice packets