fscan -h参数会直接拼接到exec.Command中，导致参数存在命令注入

-h参数会直接拼接到exec.Command中，导致参数存在命令注入

Open kaikaix opened this issue 1 year ago • 8 comments

trafficstars

fscan -h '127.0.0.1 && ls > a.txt && ls' -ping 该命令中会让fscan启动ping命令，并且会拼接到exec.Command中 9dd2231698207bdead70ac0b8697446a

Nov 28 '23 05:11 kaikaix

当fscan有suid之类的权限，可能会造成提权

Nov 28 '23 05:11 kaikaix

我想问下利用场景呢，怎么就RCE了，能执行命令就是RCE么

Nov 28 '23 06:11 lz520520

建议提交到CVE🤣

Nov 28 '23 06:11 1rm

建议提交到CVE🤣

有这个打算😄

Nov 28 '23 06:11 kaikaix

有点意思。不过客户端软件对用户来说无危害。fscan一般也都是安全人员上传的，一般都没suid权限。至于cve，你能申请的话可以申请试试

Nov 28 '23 06:11 shadow1ng

我蛮好奇利用场景的，貌似都是用户自己主动执行的，就好像说bash -c "ls"，这种能算么

Nov 28 '23 07:11 lz520520

我蛮好奇利用场景的，貌似都是用户自己主动执行的，就好像说bash -c "ls"，这种能算么

只能说，如果有人的web服务有fscan这个功能点，并且-h后面的参数可控，就可以RCE，就算加了类似escapeshellarg，也可以RCE，或者有suid权限，所以比较鸡肋，混个CVE

Nov 28 '23 07:11 kaikaix

我蛮好奇利用场景的，貌似都是用户自己主动执行的，就好像说bash -c "ls"，这种能算么

只能说，如果有人的web服务有fscan这个功能点，并且-h后面的参数可控，就可以RCE，就算加了类似escapeshellarg，也可以RCE，或者有suid权限，所以比较鸡肋，混个CVE

非常有趣，让我想到之前写的文章: [AOH 001] 从execa到npm命令注入，npm命令也有类似的问题，并导致了vscode插件和gitlab存在RCE漏洞的情况，但nodejs官方并不认可是漏洞，而vscode和gitlab官方却认可了存在的漏洞，所以最好能结合实际的利用场景

Nov 29 '23 12:11 Xyberonz