[红日安全]代码审计Day5 - escapeshellarg与escapeshellcmd使用不当

最新推荐文章于 2023-01-09 15:02:59 发布
最新推荐文章于 2023-01-09 15:02:59 发布
阅读量753 收藏 1
点赞数
分类专栏: 红日安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongrisec/article/details/105224663
版权
本文详细分析了PHP代码审计中遇到的escapeshellarg()和escapeshellcmd()函数使用不当导致的安全问题,通过实例展示了如何利用这些漏洞进行命令执行。文中以PHPMailer的CVE-2016-10033和CVE-2016-10045为例,解释了漏洞原理和利用方法,并给出了修复建议。
摘要由CSDN通过智能技术生成

点击订阅我们    和红日一起成长 让安全如此精彩  

红日安全出品|转载请注明来源

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)

本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。

前言

大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第5篇 代码审计文章:

Day 5 - postcard

题目叫做明信片,代码如下:

漏洞解析 :

这道题其实是考察由 php 内置函数 mail 所引发的命令执行漏洞。我们先看看 php 自带的 mail 函数的用法: 

bool mail (    string $to ,    string $subject ,    string $message [,    string $additional_headers [,    string $additional_parameters ]])

其参数含义分别表示如下:

  • to,指定邮件接收者,即接收人

  • subject,邮件的标题

  • message,邮件的正文内容

  • additional_headers,指定邮件发送时其他的额外头部,如发送者From,抄送CC,隐藏抄送BCC

  • additional_parameters,指定传递给发送程序sendmail的额外参数。

在Linux系统上, php 的 mail 函数在底层中已经写好了,默认调用 Linux 的 sendmail 程序发送邮件。而在额外参数( additional_parameters )中, sendmail 主要支持的选项有以下三种:

  • -O option = value

    QueueDirectory = queuedir 选择队列消息

  • -X logfile

    这个参数可以指定一个目录来记录发送邮件时的详细日志情况。

  • -f from email

    这个参数可以让我们指定我们发送邮件的邮箱地址。

举个简单例子方便理解:

上面这个样例中,我们使用 -X 参数指定日志文件,最终会在 /var/www/html/rce.php 中写入如下数据: 

17220 <<< To: Alice@example.com 17220 <<< Subject: Hello Alice! 17220 <<< X-PHP-Originating-Script: 0:test.php 17220 <<< CC: somebodyelse@example.com 17220 <<< 17220 <<< <?php phpinfo(); ?> 17220 <<< [EOF]

当然这题如果只是这一个问题的话,会显的太简单了,我们继续往下看,在 第3行 有这样一串代码 




                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  hongrisec
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
BUUCTF 2018 Online Tool(escapeshellargescapeshellcmd

				
			

			

				

					weixin_45577185的博客
				

				

					07-24
					
					172
					
				

			

		

		

			
				
答案博客
参考博客
百度来了一篇文章:
https://paper.seebug.org/164/
这两个函数按代码里那样的顺序使用,是会产生漏洞的,如果是反过来就不会。
escapeshellargescapeshellarg() 将给字符串增加一个 单引号 并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 命令执行函数,并且还是确保安全的。shell 命令执行函数包含 exec(), system() 执行运算符 (反引号)。
escapeshellcmd:
e

			
		

	



                

              
                



	

		

			

				
					
PHP escapeshellarg()+escapeshellcmd()绕过

					
最新发布

				
			

			

				

					rev1ve的博客
				

				

					12-08
					
					2866
					
				

			

		

		

			
				
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。

			
		

	



                


  
              

                


	

		

			

				
					
escapeshellarg  escapeshellcmd漏洞

				
			

			

				

					a3320315的博客
				

				

					01-31
					
					1402
					
				

			

		

		

			
				
[BUUCTF 2018]Online
[BUUCTF 2018]Online
谈escapeshellarg绕过与参数注入漏洞
命令参数注入



			
		

	





	

		

			

				
					
day5-escapeshellargescapeshellcmd使用不当

				
			

			

				

					qq_45951598的博客
				

				

					01-09
					
					2307
					
				

			

		

		

			
				
文章目录Day 5 - postcardescapeshellcmd()函数escapeshellarg()函数小案列总结:
Day 5 - postcard
escapeshellcmd()函数

escapeshellarg()函数
escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

小案列
可见两个函数配合使用就会导致多个参数的注入。

1、传入的参数是:172.17.0.2’ -v -d a=1


2、经过escapeshellarg处理后变成了’172.17.

			
		

	



		

			
		



	

		

			

				
					
浅谈CTF中escapeshellarg的利用

				
			

			

				

					读万卷书,行万里路。
				

				

					08-09
					
					5552
					
				

			

		

		

			
				
浅谈 escapeshellarg 的利用
文章目录浅谈 escapeshellarg 的利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结
0 前言
escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellargescapeshellcmd 相似,主要看是否有引号)
在 CTF 可能被用于:

参数注入(开发人员错误的使用 escapeshellarg 函数)
逃逸字符(该函数非二进制安全)

1 

			
		

	





	

		

			

				
					
[BUUCTF 2018]Online Tool(escapeshellarg+escapeshellcmd使用不当导致rce)

				
			

			

				

					qq_44657899的博客
				

				

					08-13
					
					412
					
				

			

		

		

			
				
参考谈escapeshellarg绕过与参数注入漏洞
函数作用
escapeshellarg()	给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号

escapeshellcmd() 	反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 
					' 和 " 仅在不配对儿的时候被转义。

1、首先给用户输入的字符加单引号不一定能防止命令执行,可以看到我们-c 2被加上单引号后依旧被执行了
ping '-c 2' 127.0

			
		

	





	

		

			

				
					
PHP代码审计Day5-8练习题

				
			

			

				

					酉酉的博客
				

				

					10-27
					
					1648
					
				

			

		

		

			
				
文章目录前言Day5escapeshellargescapeshellcmd使用不当解题第一部分payload:第二部分payloadDay6 - 正则使用不当导致的路径穿越问题解题payloadDay7 - parse_str函数缺陷解题Day8 - preg_replace函数之命令执行解题
前言

改自先知社区-红日安全-

Day5escapeshellargescapes...

			
		

	





	

		

			

				
					
【基础篇】第07篇:PHP代码审计笔记--命令执行漏洞1

				
			

			

				

					08-03
				

			

		

		

			
				
为了防止命令执行漏洞,文章推荐使用PHP内置的安全函数,如`escapeshellarg()`和`escapeshellcmd()`。前者用于将字符串包裹在单引号中并转义已存在的单引号,确保字符串安全地传递给shell函数;后者则对可能导致...

			
		

	





	

		

			

				
					
2018最新代码审计教程笔记-代码审计入门

				
			

			

				

					DYBOY-程序开发&网络安全
				

				

					12-29
					
					7115
					
				

			

		

		

			
				
由于之前的学习不是非常的系统,故此重新整理学习“代码审计”,博客也更新相关内容。
 
0x01:调试函数
echo (print): 这是最简单的输出数据调试方法,一般用来输出变量值,或者你不确定程序执行 到了哪个分支的情况下是用。
print_r、var_dump(var_export)、debug_zval_dump
这个主要是用来输出变量数据值,特别是数组和对象数据,一般我们在查看

			
		

	





	

		

			

				
					
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞

				
			

			

				

					东隅的博客
				

				

					09-12
					
					795
					
				

			

		

		

			
				
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞

			
		

	





	

		

			

				
					
[原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellargescapeshellcmd使用不当导致rce)...

				
			

			

				

					笑花大王
				

				

					03-13
					
					299
					
				

			

		

		

			
				
简介
原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40)
考察知识点:escapeshellargescapeshellcmd使用不当导致rce
线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题
过程
简单审计
...

			
		

	





	

		

			

				
					
红日代码审计day5 ctf

				
			

			

				

					weixin_44897902的博客
				

				

					02-02
					
					353
					
				

			

		

		

			
				
<?php
highlight_file('index.php');
function waf($a){
    foreach($a as $key => $value){
        if(preg_match('/flag/i',$key)){//遍历所有键,不能出现flag字样
            exit('are you a hacker');
        }
...

			
		

	





	

		

			

				
					
PHP - 函数绕过 - escapeshell[arg|cmd]()

				
			

			

				

					3569
				

				

					11-30
					
					2988
					
				

			

		

		

			
				
https://www.anquanke.com/post/id/107336

发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。

escapeshellarg


1.确保用户只传递一个参数给命令
2.用户不能指定更多的参数一个
3.用户不能执行不同的命令


escapeshellcmd


1.确保用户只执行一个命令
2.用户可以指定不限数量的参数
3.用户不能执行不同的...

			
		

	





	

		

			

				
					
『PHP内核』PHP 7 escapeshellarg底层探究

				
			

			

				

					Ho1aAs‘s Blog
				

				

					10-22
					
					863
					
				

			

		

		

			
				
文章目录escapeshellarg描述歧义静态调试PHP_FUNCTION(escapeshellarg)PHPAPI zend_string *php_escape_shell_arg(char *str)添加前面的引号跳过多字节字符PHP历史漏洞:GBK宽字节注入转义添加后面的引号检查结果有效性返回动态调试完
escapeshellarg描述
escapeshellarg把字符串转义为安全shell参数
escapeshellarg(string $arg): string


Linux:对传入的

			
		

	





	

		

			

				
					
escapeshellarg()只是用来转义shell命令的部分参数

				
			

			

				

					weixin_30739595的博客
				

				

					03-22
					
					530
					
				

			

		

		

			
				
escapeshellarg()的说明是这里  原来以为这个函数可以用来把一整条shell命令转义像这样:  $sh = 'mysql -uroot -proot -Dtest < /var/www/test.com/sql/user (1).sql';
shell_exec(escapeshellarg($sh));



一试就出错了。。。。



仔细看了...

			
		

	





	

		

			

				
					
PHP 中命令行调用 escapeshellarg 函数中文问题

				
			

			

				

					ModStartCMS的博客
				

				

					01-09
					
					294
					
				

			

		

		

			
				
这是因为 escapeshellarg 函数默认使用的是 ASCII 字符集,对于非 ASCII 字符,它会将其视为无效字符,并将其过滤掉。在这个例子中,$input 是一个用户输入的字符串,你可以使用 escapeshellarg 将它转义为安全shell 参数。escapeshellarg 是 PHP 中的一个函数,它可以将字符串转义为安全shell 参数。在 PHP 中,你可以使用 escapeshellarg 函数来保证传递给 shell 命令的参数是安全的。这样可以避免命令注入攻击。

			
		

	





	

		

			

				
					
php 中 escapeshellarg 中文被过滤

				
			

			

				

					ricky1217的专栏
				

				

					11-04
					
					3864
					
				

			

		

		

			
				
同样的代码,发现通过 localhost/index.php 访问,和在 shell 中通过 php ./index.php 运行結果却不一样。


在程序中需要通过 shell_exec 来执行一个 linux 程序,而它的输入来自 echo ,即:

shell_exec('echo '.escapeshellarg($str).' | some_cmd 2>&1');
而这个 $

			
		

	





	

		

			

				
					
escapeshellargescapeshellcmd使用不当

				
			

			

				

					qq_37466661的博客
				

				

					08-20
					
					249
					
				

			

		

		

			
				
php代码审计 escapeshellargescapeshellcmd使用不当

			
		

	





	

		

			

				
					
DVWA高难度PHP代码审计分析:安全漏洞与修复

				
			

			

				

					
				

			

		

		

			
				
1. **使用安全函数**:代替 `shell_exec`,应使用更安全的函数,如 `escapeshellarg` 或 `escapeshellcmd` 来对用户输入进行转义。 2. **白名单验证**:仅允许特定格式的IP地址,例如使用正则表达式进行验证。 3. **...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值