Terminal Escape Injection

0x00简介:

作为程序猿与网络攻城狮,我们几乎每天都要处理各种脚本,PoC代码,漏洞利用EXP等,但是你们可知里面代码的详细。再没有认真审核代码的情况下去执行的话,有可能一不小心就成了别人的肉鸡.

(滴滴滴,有主机上线请注意!)

自计算机诞生以来,终端就一直伴随着我们.有许多不同的终端模拟器.并且每个模拟器都可以在常见的ANSI / VT之上具有特定的 转义 序列。

当这些转义序列被恶意使用(出于恶意目的)时,称为终端转义注入.

(效果图)

其中涉及到了转义序列

0x01:什么是转义序列？

终端转义序列:

是打印的特殊字符序列(与其他任何文本一样).但是,如果终端理解了序列,它将不会显示字符序列,而是会执行一些操作.

转义序列可以执行各种操作.除了更改文本的颜色,之外,他们还可以:

• 将光标向任意方向或任意位置移动
• 删除或删除任意文本
• 执行各种屏幕操作
• 甚至可以重新映射键盘上的按键！

简而言之,转义序列会不利地改变我们在终端上看到事物的方式.

这可能会带来严重的后果

0x02:影响

如果您是以root权限,运行了恶意脚本,那么恭喜你,那么你凉了.

当你运行了脚本以后,攻击者有可能的行为如下:

• 在系统上安装后门(RAT)
• 在我们的系统上植入恶意软件或rootkit
• 捕获按键并记录我们的屏幕
• 几乎可以想象得到的一切

0x03:利用点

除了将它植入各种脚本之外,还可以将它们成功写入:

• 配置文件–可能具有相同的影响（ACE）
• 日志文件–作为检测绕过工作的一部分

0x04:防范方法

一、UNIX / Linux

1、在基于UNIX的系统上,请注意输出原始数据的实用程序.这包括：

• cat, head, tail, more
• curl, wget
• diff

重要的时候请注意仔细检查它们输出

2、使用cat -v显示不可打印的字符或使用less命令.

例子:

我们绝不应该仅通过使用curl / wget并将其管道化到shell中来从互联网安装脚本或者程序

我们应该始终使用cat -v或使用less命令来检查它,以查看是否发生了一些不一致的结果.

由此,我们看到了"恶意"代码

3、我们还可以使用文本编辑器,例如nano,pico,vim,emacs或我们喜欢的任何其他编辑器.

二、Windown

1、在命令提示符中,我们可以使用more命令代替type命令.more命令将显示转义序列:

命令提示符中的更多命令可缓解转义注入

但是它在PowerShell中不起作用.

2、在PowerShell中,似乎没有办法通过使用某些参数或某些其他函数而不是使用get-content命令来清理转义序列.

提出以下一些笨拙和复杂的解决方案,以揭示隐藏的终端注入：

解决方案1:

gc <file> -encoding Byte | % { [char]$_+" " | write-host -nonewline }

解决方案2:

gc <file> -encoding Byte | % { if ( $_ -lt 32 -or $_ -gt 126 ) { [char]$_+" " } else { [char]$_ } } | write-host -nonewline

PowerShell片段揭示了逃逸注入攻击

它们都可以运行,并且将揭示隐藏的逃生注入.

3、Windows上最好的解决方案是始终使用文本编辑器,例如记事本或写字板.不要依赖控制台实用程序.

0x05:演示

Shell脚本转义注入

echo -e '#!/bin/sh\n\necho "evil!"\nexit 0\n\033[2Aecho "Hello World!"\n' > script.sh
chmod a+x script.sh

然后,生成的script.sh将继续运行(已通过测试)

• Linux(gnome-terminal,xterm,aterm)
• Mac OS(Terminal 2.0,iTerm2)
• Cygwin(Windows)

Python脚本转义注入

echo -e '#!/usr/bin/python\n\nprint "evil!";\nexit(0);\n#\033[2A\033[1Dprint "Hello World!";\n' > script.py
chmod a+x script.py

然后，生成的script.py将继续运行(已通过测试):

• Linux(gnome-terminal,xterm,aterm)
• Mac OS(Terminal 2.0,iTerm2)
• Cygwin(Windows)

批处理(命令提示符)转义注入

echo -e '@echo off\n\r\n\recho evil!\r\n::\033[2D  \033[A\033[2Decho Hello World!' > script.bat

然后,生成的script.bat将执行

• Windows 10 PowerShell
• Windows 10 CMD

PS1 (PowerShell)逃逸注入

echo -e 'write-host "evil!"\r\n#\033[A\033[2Dwrite-host "Hello World!"' > script.ps1

然后，生成的script.ps1执行

• Windows 10 PowerShell
• Windows 10命令提示符

原作者说win10的CMD与powershell可以复现成功,我自己复现成功不了,这里就留给小伙伴们你们自己去复现一下咯.

文章源自:

https://www.infosecmatter.com/terminal-escape-injection/