Shikata Ga Nai

Private? There is no such things.

bWAPPでA9-PHP CGI Remote Code Execution

Hello there, ('ω')ノ

 

意外とやっていないメニューが盛りだくさんで。

 

f:id:ThisIsOne:20201102163953p:plain

 

adminをクリックすると。

PHPのバージョンと使用しているCGIが確認できて。

 

f:id:ThisIsOne:20201102161159p:plain

 

exploitをクリックすると。

5.3.12以前のPHPおよび5.4.2以前の5.4.xのsapi/cgi/cgi_main.cは。

CGIスクリプト(別名php-cgi)として構成されている場合。

=(等符号)文字がないクエリ文字列を適切に処理しないとか。

 

f:id:ThisIsOne:20201102161236p:plain

 

というわけで、php-cgiコマンドのオプションは以下のとおりで。

 

f:id:ThisIsOne:20201102153531p:plain

 

下記のオプションをつかってソースコードを確認できて。

http://10.4.128.32/bWAPP/admin/?-s

 

f:id:ThisIsOne:20201102153937p:plain

 

さらには、下記のオプションでpasswdファイルを覗こうとすると。

http://10.4.128.32/bWAPP/admin/?-d auto_prepend_file=/etc/passwd

 

f:id:ThisIsOne:20201102154930p:plain

 

というわけで、下記のようにエンコードして実行してみると。

http://10.4.128.32/bWAPP/admin/?-d+auto_prepend_file%3D%2Fetc%2Fpasswd

 

f:id:ThisIsOne:20201102154854p:plain

 

次にせっかく、CVE-IDがわかっているので、下記で検索して。

 

f:id:ThisIsOne:20201102163359p:plain

 

下記をクリックすると脆弱性名がわかって。

PHP 5.3.12/5.4.2 - CGI Argument Injection (Metasploit)

 

f:id:ThisIsOne:20201102163516p:plain

 

RAPID7のサイトで、下記の脆弱性名を検索すると。

CGI Argument Injection

 

f:id:ThisIsOne:20201102163115p:plain

 

エクスプロイトする手順が書いてあるので。

 

f:id:ThisIsOne:20201102163306p:plain

 

Kali Linuxで、bWAPPへpingの確認から。

そしてmsfconsoleを起動して。

 

f:id:ThisIsOne:20201102160635p:plain

 

エクスプロイトを検索して、選んで。

 

f:id:ThisIsOne:20201102160732p:plain


必要なオプションを設定してからエクスプロイトを実行すると。

passwdファイルを確認することができた。

 

f:id:ThisIsOne:20201102161106p:plain

 

Best regards, (^^ゞ