命令执行（RCE）漏洞

弥补之途

已于 2022-07-30 20:13:21 修改

阅读量1.4k

点赞数 1

分类专栏： Web漏洞文章标签：服务器 web安全网络安全安全

于 2022-06-20 21:23:20 首次发布

本文链接：https://blog.csdn.net/F2444790591/article/details/125379585

版权

Web漏洞专栏收录该内容

10 篇文章 1 订阅

订阅专栏

RCE简介

        RCE（remote command/code execute）：远程命令/代码执行。

        命令执行漏洞：直接调用操作系统命令。

        代码执行漏洞：靠执行脚本代码调用操作系统命令。

        原因：在Web应用中有时候程序员为了考虑灵活性、简洁性，会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时，没有考虑用户是否能控制这个字符串，将造成代码执行漏洞。同样调用系统命令处理，将造成命令执行漏洞。

原理

攻击者在一些能够执行系统命令的位置，输入恶意的系统命令，服务器端没有针对执行函数做严格的过滤，导致服务器执行了该恶意的系统命令，从而对服务器产生了安全威胁。

命令执行和代码执行的区别：命令执行漏洞是直接调用操作系统命令，而代码执行漏洞则是靠执行脚本代码调用操作系统命令。

命令执行

系统命令执行函数

        System（）：system函数可以用来执行一个外部的应用程序并将相应的执行结果输出，函数原型如下： system(command,return_var) 其中，command是要执行的命令，return_var存放执行命令的执行后的状态值。

        Exec（）：exec函数可以用来执行一个外部的应用程序 exec (command, output, return_var) 其中，command是要执行的命令，output是获得执行命令输出的每一行字符串，return_var存放执行命令后的状态值。

        Passthru（）：passthru函数可以用来执行一个UNIX系统命令并显示原始的输出，当UNIX系统命令的输出是二进制的数据，并且需要直接返回值给浏览器时，需要使用passthru函数来替代system与exec函数。Passthru函数原型如下：passthru (command, return_var)

其中，command是要执行的命令，return_var存放执行命令后的状态值。
        Shell_exec（）：执行shell命令并返回输出的字符串，函数原型如下： shell_exec (command) 其中，command是要执行的命令。

        popen()         proc_open()         pcntl_exec()

利用管道符

Window系列
        " | ":直接执行后面的语句。例如：ping 127.0.0.1 | whoami。
        “ || ”：如果前面执行的语句执行出错，则执行后面的语句，前面的语句只能为假。例如：ping 127.0.0.1 || whoami
        " & " :如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。例如： ping 127.0.0.1 &whoami。
        “ && ”：如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句只能为真。例如：ping 127.0.0.1 && whoami。



Linux 系统
        “；”执行完前面的语句再执行后面的。例如: ping 127.0.0.1;whoami
        “ | ”：显示后面语句的执行结果。例如: ping 127.0.0.1 | whoami。
        “ || ”：当前面的语句执行出错时，执行后面的语句。例如： ping 1|| whoami。
        “ & ”：如果前面的语句执行为假则直接执行后面的语句。前面的语句可真可假。例如：ping 127.0.0.1 & whoami。
        “ && ”：如果前面的语句为假则直接出错，也不执行后面的，前面的语句只能为真。例如： ping 127.0.0.1 && whoami。

代码执行

脚本代码执行函数

         eval()：把字符串按照 PHP 代码来执行。如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false。

        assert()：普通调用

preg_replace() ：对一个字符串进行正则处理

call_user_func()        array_map()

绕过

绕过空格

        {cat,flag.txt}        cat${IFS}flag.txt        cat$IFS$9flag.txt

        cat<flag.txt         cat<>flag.txt ca\t fl\ag

通配符绕过

        ？？？在linux里面可以进行代替字母 /???/c?t flag.txt

        *在linux里面可以进行模糊匹配        cat flag.*         *进行模糊匹配php

        ?代表一个字符*代表一串字符

同功能语句替换

编码绕过

        base64、hex编码绕过、unicode编码

关键字符绕过

函数绕过
print_r(scandir(pos(localeconv()))) //当前目录

print_r(scandir(’/’)) //查看根目录文件

输出目录中倒数第二个文件内容：

print_r(next(array_reverse(scandir(pos(localeconv())))))
绕过长度限制

  >和>>两个符号的使用

        >命令会将原有文件内容覆盖，如果是存入不存在的文件名，那么就会新建文件再存入

  >>符号的作用是将字符串添加到文件内容末尾，不会覆盖原内容

防御

1、参数值尽量使用引号包括

2、尽量少用执行命令的函数或者直接禁用

3、在使用动态函数之前，确保使用的函数是指定的函数之一

4、在进入执行命令的函数/方法之前，对参数进行过滤，对敏感字符进行转义

5、能使用脚本解决的工作，不要调用其他程序处理。尽量少用执行命令的函数，并在disable_functions中禁用。