EDR環(huán)境產(chǎn)生漏洞的原因

本篇內容介紹了“EDR環(huán)境產(chǎn)生漏洞的原因”的有關(guān)知識，在實(shí)際案例的操作過(guò)程中，不少人都會(huì )遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學(xué)有所成！

搭建一個(gè)edr環(huán)境

https://XXX.com/tool/log/c.php?strip_slashes=system&host=id

https://XXX.com/tool/log/c.php?strip_slashes=system&host=whoami

將c.php文件拷貝到本地進(jìn)行分析，能看到此文件最初是用來(lái)查看ldb的日志的。但復現時(shí)發(fā)現此界面不需要登陸就可以訪(fǎng)問(wèn)，因此也存在未授權訪(fǎng)問(wèn)的危險。

首先查看輸出

$_REQUEST會(huì )將接入的參數保存成數組，然后將前臺獲取的參數傳入到了$show_form()

跟進(jìn)$show_form

$show_form是匿名函數，use是調用外部變量$strip_slashes、$show_input。

extract() 函數會(huì )從數組中將變量導入到當前的符號表。它會(huì )把數組變成變量，該函數使用數組鍵名作為變量名，使用數組鍵值作為變量值。

因此，extract()存在變量覆蓋問(wèn)題，上述poc就是利用了此處的變量覆蓋。

于是傳入的參數就變成了$strip_slashes=system、$host=id

在91行中使用了$strip_slashes($host)，結合poc，于是該處就變成了sysytem(id)執行了系統命令，產(chǎn)生了該漏洞。