注入进阶之OS命令行注入

  1.os命令注入介绍

   OS指令执行是为了通过网络接口在web服务器执行OS命令的一种技术。如果应用程序使用外部输入的字符串或受外部影响的字符串组装命令，并且没有经过正确的过滤，就可能导致OS命令的注入攻击。

  2.类型

第一种类型是，应用程序执行一个自己控制的固定程序，通过用户输入的参数来执行命令。这时，可以通过参数的分隔符，在参数中注入命令，来执行攻击者想要运行的命令。

第二种类型是，应用程序将输入的整个字符串作为一个命令，应用程序只是做个中转，将命令传给操作系统执行，例如，通过exec来执行命令，这时可以通过命令分隔符注入命令。

  下面通过几个栗子让大家更好的理解下命令注入：

  1.通过参数注入

 下面是一段php代码，php提供了3个可以执行外部命令的函数：system( )，esec( ),passthru( )，同时php还提供了popen通过打开一个进程管道来执行给定的命令，但必须有权限才可以，下面的栗子是以system为例：

$username = $_POST[“user”];

$command = ‘ls -l /home/’.$username;

System($command);

如果用户名没有做输入验证，那么便可以搞点事情，比如输入的$username如下：

；rm -rf /

那么，$command的结果如下：

ls -l /home/;rm -rf /

由于分号在linux和unix系统下是命令的分隔符，系统首先会执行ls命令，然后执行rm命令，然后悲剧发生了，你的整个系统文件都会被删除了。

  另外，还有一个需要注意的地方就是，由两个反引号括起来作为一个表达式（’command‘和$(command)的含义相同），这个表达式的值就是这个命令执行的结果，下面举个栗子：

$test=’/bin/ls -l’;

echo ‘hello world’

‘.$test.’

?>

页面将显示/bin/ls -l的执行结果。

2.命令分隔符注入命令

  Java代码也提供一些接口，如Runtime.getRuntime().exec(“command”),System.exec(“command”),调用这两个命令，可以执行一些体统命令。下面给一段代码：

Public static void main(String command){

Runtime run = Runtime.getRuntime();

try{

Process process = run.exec(“cmd.exe /k start  ”+ command);

InputStream in = process.getInputStream();

While (in.read() != -1){

System.out.println(in.read());

}

in.close();

process.waitFor();

} catch (Exception e){

e.printStackTrace();

}

}

  在运行这些接口的时候也应该注意，如果command参数没有处理好，也很容易导致命令行注入。来个栗子：

如果执行的command命令如下：

echo “hello world”

如果输入的是：

echo “hello world”| dir

dir命令就会执行，并且会显示当前的目录结构。一般系统的命令分隔符有“；”，“&”，“&&”，“|”，“||”。

 

  通过以上栗子可以总结出，命令行注入可以使得没有授权的代码或者命令得到执行，比如，exit，restart，读文件和目录，读取应用数据，修改应用数据，修改应用数据，甚至于隐藏一些非法操作。

  当然我们也可以通过输入检查来避免命令行注入，对于“；”，重定向“>” / “<”以及空格这些有特殊的字符进行过滤。但是，使用黑名单往往也难以解决问题，因为还是可能有某些特殊字符还是会遗漏。即使没有遗漏，那么当我们需要输入这些特殊字符时，又该怎么处理呢？这里给出的解决方法就是“包围”+”转义”。当然，系统不同，包围和转义的规则也不一样。

   在Linux/UNIX中，可将给定的字符串用单引号括起来，为什么用单引号？因为在shell代码的转义字符中单引号是硬转义，会使单引号中所有shell的特殊字符失去原来的意义。

   在windows中，可以将给定的字符用双引号括起来，|，^,&等都是特殊字符。转义规则为：^^代表^,^|代表|，^”代表”，^&代表&。

   虽然通过转义的处理，可以预防命令行的注入的问题，但是，难免在编程中引入错误，导致问题的引入，因此需要注意以下几点，即使存在命令行注入，也要将损失降低到最低。

   1.不仅要在客户端过滤，也要在服务器端进行过滤。

   2.要用最小权限去运行程序，不要给予程序多余的权限，最好只允许在特定的路径下运行，可以通过明确的路径运行命令。

  3.在程序执行错误时不要显示与内部相关联的细节。

  4.如果只允许运行有限的命令，使用白名单方式过滤。

  5.对于需要运行命令的请求，尽可能减少外部数据的输入，比如，能传参数的就不要传命令行；web应用程 序，如果可以将一些数据保存在会话，就不要发给客户端。

  6.如果存在下载文件，可以分配文件一个id号，通过id号来访问，而不通过文件名访问。如果允许输入文件名，就需要严格检查文件名的合法性，避免可能的命令注入。