命令\代码执行漏洞与反序列化

最新推荐文章于 2024-10-05 20:03:07 发布
最新推荐文章于 2024-10-05 20:03:07 发布
阅读量577 收藏 11
点赞数 15
文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WLWB9277/article/details/141224615
版权

一、命令与代码执行原理

网站在开发时对外部输入的参数未经严格过滤,并使用危险函数导致引入的参数被当作命令或代码执行。

二、系统命令与代码执行的函数

系统命令执行函数:

  • assert()
  • system()
  • passthru()
  • exec()
  • pcntl_exec()
  • shell_exec()
  • popen()
  • proc_open()
  • ``(反单引号)

代码执行函数:

  • eval()
  • assert()
  • call_user_func()
  • base64_decode()
  • gzinflate()
  • gzuncompress()
  • gzdecode()
  • str_rot()

三、命令执行测试方法

拼接命令:&  &&  |  || ;

例:ping 127.0.0.1 & ver

代码层面:

<?php
if(isset($_POST['submit']) && $_POST['ipaddress']!=null){   // 检查是否提交了表单且 'ipaddress' 参数不为空
    $ip=$_POST['ipaddress'];  // 将 'ipaddress' 参数的值赋给变量 $ip


    if(stristr(php_uname('s'), 'windows')){  // 判断操作系统是否为 Windows
       
        $result.=shell_exec('ping '.$ip);  // 在 Windows 系统下执行的 ping 命令
    }else {
        $result.=shell_exec('ping -c 4 '.$ip);  // 在非 Windows 系统下执行指定次数的 ping 命令
    }

}
?>

例:开发使用eval()函数

代码层面:

<?php
if(isset($_POST['submit']) && $_POST['txt']!= null){ // 检查是否提交了表单且文本输入不为空
    if(@!eval($_POST['txt'])){  // 尝试执行用户输入的代码,若执行失败
        $html.="<p>你喜欢的字符还挺奇怪的!</p>"; // 输出提示信息
    }
} 
?>

四、命令执行漏洞经常存在的地方

  • 路由器、防火墙、自动化运维平台等一些硬件设备界面,它们通常在网络调试中会留有网络测试窗口。
  • 中间件、系统框架等已知漏洞,在百度上都可以搜到以往的命令执行漏洞。
  • 只要带参数的地方都可能出现命令执行漏洞。

五、struts2框架命令执行漏洞复现

1、怎么判断网站是否为struts2框架?

参考:红队第2篇:区分Spring与Struts2框架的几种新方法-腾讯云开发者社区-腾讯云 (tencent.com)

扩展名判断:.action  .do

报错判断:访问不存在的资源报错判断

抓包判断

2、struts全版本漏洞检测工具探测

工具链接:百度网盘 请输入提取码

六、反序列化漏洞

反序列化漏洞就是将一个对象转化为可以传输的字符串形式(将恶意代码构建的对象转化为字符串的形式),利用反序列化的函数(serialize()  序列化函数)(unserialize()  反序列化函数),转化为原有的对象形式进行注入攻击。

1、序列化漏洞的利用条件

序列化和反序列化的内容是用户可以控制,且后台不正当的使用了PHP中的魔法函数就会导致安全问题

  •         序列化内容用户可有控制
  •         后台使用了不正当的PHP魔法函数

2、常见的魔法函数

  • __construct()当一个对象创建时被调用
  • __destruct()当一个对象销毁时被调用
  • __sleep() 在对象在被序列化之前运行
  • __toString()当一个对象被当作一个字符串使用
  • __wakeup将在序列化之后立即被调用

9277ll
关注
Fastjson 反序列化任意代码执行漏洞修复
bigwood99的博客
07-11 1270
腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。 安全报告漏洞信息如下: CVE编号 pcmgr-345005 披露时间 2022-05-23 漏洞描述:
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2379
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
PHP反序列化命令执行及防范
金色%夕阳的博客
05-08 1176
PHP反序列化命令执行 1、 序列化与反序列化原理 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。依照序列化格式重新获取字节的结果时,可以利用它来产生与原始对象相同语义的副本。序列化是一种将对象的状态信息转换为可以存储或传输的形式的过程(转化为信息流)。在序列化期间,对象将其当前状态写入到临时或持久性存储区以后,可以通过从存储区中读取或反序列化对象
命令执行反序列化漏洞
gududeajun的博客
12-11 2827
命令代码执行漏洞 1、远程系统命令执行:一般出现这种漏洞,是因为应用系统在设计上需要给用户提供指定的远程命令接口,比如我们常用的防火墙、路由器、入侵检测等设备的web管理页面上一般给用户提供一个ping操作的web界面;用户从web界面输入目标ip,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。而设计者在完成该功能时,没有做严格的安全控制,那么攻击者就可以通过该接口提交“意想不到”的命令,从而让后台执行,从而控制整个后台服务器。 现在很多的甲方企业都开始实施自动化运维,大量的系统操作
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
易编橙 · 终身成长社群,相遇已是上上签!
11-16 1082
fastjson 阿里巴巴开发的一个JSON解析库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
基础知识|反序列化命令执行漏洞
weixin_42282189的博客
11-04 3021
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Fastjson反序列化远程代码执行漏洞
qq_37634156的博客
06-08 1856
Fastjson
命令执行反序列化
songbai220
12-10 784
命令执行反序列化 原理 设计者在编写代码时没有做严格的安全控制,导致攻击者通过接口或相关参数提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器 。 &、|、“ 空格”等组合连接实现 只要带参数的地方都可能出现命令执行漏洞 路由器、防火墙、自动化运维平台、入侵检测等web管理页面 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 assert system ``(反单引号) exec shell_exec pcntl_exec pass
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
0x05部分,攻击者设置了一个监听器等待反序列化数据的触发,通过向服务器发送特定的数据包,触发反序列化过程,进而执行预设的命令(如curl命令),获取flag。 总结来说,这个主题涵盖了Web安全中的关键概念,包括...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2021
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-29 1329
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
No.2 笔记 | 网络安全攻防:PC、CS工具与移动应用分析
最新发布
l1x1n0的博客
10-05 1222
Cobalt Strike是一款基于Java的高级渗透测试工具,支持多人协同操作。它被称为"线上多人运动平台",功能强大且灵活。通过学习PC端和移动端的恶意程序利用技术,以及Cobalt Strike这一强大的渗透测试工具,我们不仅掌握了一些网络攻击的基本原理和技术,更重要的是提高了自身的网络安全意识。然而,我们必须时刻牢记,这些知识的学习目的是为了更好地理解和防御网络攻击,而非从事任何非法活动。作为负责任的网络公民,我们有义务遵守相关法律法规,保护自己和他人的网络安全
Web安全 - 重放攻击(Replay Attack)
小工匠
10-01 1431
重放攻击(Replay Attack)是一种网络攻击方式,攻击者通过截取并重复发送已经捕获的合法通信数据包,企图在受害者不知情的情况下冒充合法用户进行操作。这种攻击常见于不安全的网络协议中,攻击者无需破解通信内容,只需重发合法的消息即可造成安全威胁。重放攻击的潜在危害包括:未授权的交易执行、非法获取资源、数据泄露以及系统篡改等。随着网络系统的日益复杂,重放攻击仍然是一个常见的威胁,尤其是在不具备防御机制的旧协议或自定义通信方案中。使用缓存减少存储开销。利用异步处理避免阻塞主线程。
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值