Terminal Escape Injection

04/17 10:44
阅读数 0

0x00简介:

    作为程序猿网络攻城狮,我们几乎每天都要处理各种脚本,PoC代码,漏洞利用EXP等,但是你们可知里面代码的详细。再没有认真审核代码的情况下去执行的话,有可能一不小心就成了别人的肉鸡.

 (滴滴滴,有主机上线请注意!)

    自计算机诞生以来,终端就一直伴随着我们.有许多不同的终端模拟器.并且每个模拟器都可以在常见的ANSI / VT之上具有特定的 转义 序列。


当这些转义序列被恶意使用(出于恶意目的)时,称为终端转义注入.


(效果图)

其中涉及到了转义序列

0x01:什么是转义序列?

    终端转义序列:

    是打印的特殊字符序列(与其他任何文本一样).但是,如果终端理解了序列,它将不会显示字符序列,而是会执行一些操作.

    转义序列可以执行各种操作.除了更改文本的颜色,之外,他们还可以:

  • 将光标向任意方向或任意位置移动

  • 删除或删除任意文本

  • 执行各种屏幕操作

  • 甚至可以重新映射键盘上的按键!

简而言之,转义序列会不利地改变我们在终端上看到事物的方式.

这可能会带来严重的后果

0x02:影响

    如果您是以root权限,运行了恶意脚本,那么恭喜你,那么你凉了.

    当你运行了脚本以后,攻击者有可能的行为如下:

  • 在系统上安装后门(RAT)

  • 在我们的系统上植入恶意软件或rootkit

  • 捕获按键并记录我们的屏幕

  • 几乎可以想象得到的一切


0x03:利用点

    除了将它植入各种脚本之外,还可以将它们成功写入:

  • 配置文件–可能具有相同的影响(ACE)

  • 日志文件–作为检测绕过工作的一部分


0x04:防范方法

一、UNIX / Linux

1、在基于UNIX的系统上,请注意输出原始数据的实用程序.这包括:

  • cat, head, tail, more

  • curl, wget

  • diff

重要的时候请注意仔细检查它们输出

2、使用cat -v显示不可打印的字符或使用less命令.

    例子:

    我们绝不应该仅通过使用curl / wget并将其管道化到shell中来从互联网安装脚本或者程序

    我们应该始终使用cat -v或使用less命令来检查它,以查看是否发生了一些不一致的结果.

由此,我们看到了"恶意"代码

3、我们还可以使用文本编辑器,例如nano,pico,vim,emacs或我们喜欢的任何其他编辑器.

二、Windown

1、在命令提示符中,我们可以使用more命令代替type命令.more命令将显示转义序列:

命令提示符中的更多命令可缓解转义注入

但是它在PowerShell中不起作用.

2、在PowerShell中,似乎没有办法通过使用某些参数或某些其他函数而不是使用get-content命令来清理转义序列.

    提出以下一些笨拙和复杂的解决方案,以揭示隐藏的终端注入:

解决方案1:

gc <file> -encoding Byte | % { [char]$_+" " | write-host -nonewline }

解决方案2:

gc <file> -encoding Byte | % { if ( $_ -lt 32 -or $_ -gt 126 ) { [char]$_+" " } else { [char]$_ } } | write-host -nonewline

PowerShell片段揭示了逃逸注入攻击

它们都可以运行,并且将揭示隐藏的逃生注入.

3、Windows上最好的解决方案是始终使用文本编辑器,例如记事本或写字板.不要依赖控制台实用程序.


0x05:演示

Shell脚本转义注入

echo -e '#!/bin/sh\n\necho "evil!"\nexit 0\n\033[2Aecho "Hello World!"\n' > script.shchmod a+x script.sh

然后,生成的script.sh将继续运行(已通过测试)

  • Linux(gnome-terminal,xterm,aterm)

  • Mac OS(Terminal 2.0,iTerm2)

  • Cygwin(Windows)

Python脚本转义注入

echo -e '#!/usr/bin/python\n\nprint "evil!";\nexit(0);\n#\033[2A\033[1Dprint "Hello World!";\n' > script.pychmod a+x script.py

然后,生成的script.py将继续运行(已通过测试):

  • Linux(gnome-terminal,xterm,aterm)

  • Mac OS(Terminal 2.0,iTerm2)

  • Cygwin(Windows)

批处理(命令提示符)转义注入

echo -e '@echo off\n\r\n\recho evil!\r\n::\033[2D  \033[A\033[2Decho Hello World!' > script.bat

然后,生成的script.bat将执行

  • Windows 10 PowerShell

  • Windows 10  CMD


PS1 (PowerShell)逃逸注入

echo -e 'write-host "evil!"\r\n#\033[A\033[2Dwrite-host "Hello World!"' > script.ps1

然后,生成的script.ps1执行

  • Windows 10 PowerShell

  • Windows 10命令提示符


    原作者说win10的CMD与powershell可以复现成功,我自己复现成功不了,这里就留给小伙伴们你们自己去复现一下咯.


文章源自:

https://www.infosecmatter.com/terminal-escape-injection/

本文分享自微信公众号 - 洛米唯熊(luomiweixiong)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部