远程代码执行漏洞的利用与防御

已于 2022-12-14 20:00:22 修改
阅读量1.3k 收藏 1
点赞数 1
文章标签: 安全 web安全 网络
于 2022-12-14 19:58:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61714717/article/details/128320854
版权

什么是RCE漏洞

全称:remote command/code execute

分为远程命令执行和远程代码执行

1.命令执行漏洞: 直接调用操作系统命令

2.代码执行漏洞: 靠执行脚本代码调用操作系统命令

一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web 管理界面上一般会给用户提供一个 ping 操作的 web 界面,用户从web 界面输入目标 IP ,提交后,后台会对该 IP 地址进行一次 ping 测试,并返回测试结果。 而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“ 意想不到 的命令,从而让后台进行执行,从而控制整个后台服务器。

原理

在利用调用系统命令的执行函数,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行漏洞。

php为例

eval();assert();preg_replace();create_function();
array_map();call_user_func();call_user_func_array();
array_filter();uasort();proc_popen();passthru();
system();exec();shell_exec();pcntl_exec();popen();

JAVA中

java.lang.Runtime#exec()、java.lang.ProcessBuilder#start()、java.lang.ProcessImpl#start()以及通过JNI的方式调用动态链接库

实战

对Pikachu进行实战

1. pikachu 网站的命令执行的地方抓包看效果

看代码

 直接开搞

 可以看到Pikachu没有做什么防御,就直接突破啦。

dvwa进行实战

低安全级别的时候,
pikachu 差不多的,这里就不演示了,我们直接看安全中级的效果
加上了过滤条件,将两个 & 和分号给替换了,但是我们想绕过的话,一个 & 符号就可以了,这就属于程序员没有考虑好。
再来看高安全级别的,添加的符号就多了,有细心的人可能发现,这里有一个 & ,那么我们使用两个&&是不是可以绕过啊,答案是不可以的,这个取决于它使用的替换方法:

 

看两个&&,也是不能绕过的。

 那么高安全级别的如何绕过呢? | ,注意看,高级别的防范中,有一个||和一个| ,而一个管道符号的仔细看的话,其实后面还有一个空格,那么我们就可以使用一个|并且不带空格来进行绕过。看示例:果然成功了。所以做代码审计,就是要细致!

 

再看它没有漏洞的级别,没有使用符号黑名单的形式,而是对你给我的数据进行 . 分割,然后看你每个部分是不是数字,这就比较狠了。

 RCE的防御

1 、开源框架,升级到最新版本
2 、尽量不要使用命令执行的函数
3 、如果必须使用,需要做白名单处理
4 、用正则表达式对用户输入的内容进行处理
5 、使用 WAF
非酋King
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
使用JAVA远程调用导致程序自动down掉,jdk1.5的debug模式系统漏洞
程序人生,爱上你的事业,爱上你的生活
09-14 6654
在项目上遇到一个系统会突然down掉的问题,因为并没有详细的日志信息,百思不得其解,终于有一天这个问题再次出现,捕获的日志信息为: ERROR: transport error 202: handshake failed - connection prematurally closed ["transport.c",L41] JDWP exit error JVMTI_ERROR_NONE(
远程代码执行漏洞防御
2301_76717406的博客
03-25 698
远程命令/代码执行漏洞(RC(command/code)E):RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统;
Java远程调试(Remote Debug)可导致远程命令执行漏洞
weixin_33907511的博客
01-16 1835
2019独角兽企业重金招聘Python工程师标准>>> ...
Java 远程debug,IDEA 远程 Debug 调试
Java的一只小实习生的博客
05-09 957
好像感觉远程调试的用处也不是那么大,不能作为长期使用的调试工具。只能作为临时调试的手段。难保证本地代码远程一致,而且你也很难判断是否一致通过远程调试发现了bug,但是又不能立即修复后继续调试,只能修复后部署后继续远程调试
远程 命令/代码 执行(remote command/code execute)漏洞总结
未完成的歌~的博客
08-20 7926
这周来学习下命令执行漏洞;命令执行漏洞是用户通过浏览器在远程服务器上执行任意系统命令,与代码执行漏洞没有太大的区别,不过我们在学习时还是要区分不同的概念。关于代码执行漏洞会在下篇博客中详述。 一、什么是命令执行漏洞: 应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时...
java JDWP调试接口任意命令执行漏洞
tangshuangsss的专栏
12-16 5394
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介JDWP(Java DEbugger Wire Protocol):即Java调试线协议,是一个为Java...
远程命令执行漏洞原理,以及防护绕过方式
Scalzdp的专栏
11-21 865
今天分享了远程执行指令的原理和如何进行远程执行指令漏洞利用和绕过方法,远程命令执行漏洞危害性特别大,攻击者可以利用远程命令执行漏洞给运营团队带来如下一些危害:继承Web服务程序的权限去执行系统命令或读写文件、反弹shell、控制整个网站甚至服务器、进一步内网渗透。在防御的过程我们可以通过加强对用户输入的验证:比如限制输入内容,其次,采用最小权限原则,将程序运行权限限制在最低限度。
命令执行漏洞——远程命令执行
weixin_54055099的博客
09-17 3666
命令执行漏洞远程命令执行的基础操作
网络安全-渗透测试-RCE远程代码执行漏洞(1)-命令执行代码执行
weixin_52796034的博客
10-26 1532
RCE(Remote Code Execution)远程代码执行漏洞(有时也叫命令执行漏洞)是一种安全漏洞,攻击者可以利用它来执行远程代码,从而控制受影响的系统。这种漏洞通常出现在应用程序或软件中,攻击者可以通过输入恶意构造的指令或数据,使得应用程序或软件在执行执行攻击者指定的代码。RCE的范围比较广,只要渗透的最终结果可以实现执行命令或者代码都属于RCE,例如代码执行、文件包含、反序列化、命令执行,甚至是写文件Getshell都可以属于RCE,通常情况下RCE漏洞都可以归为高危漏洞
网络安全精品】郑吉宏起源游戏引擎的漏洞挖掘与利用.rar
04-23
他详细介绍了一系列攻击方法,包括远程代码执行、数据篡改和拒绝服务攻击等,并强调了防御策略的重要性。此外,这份资料还提供了一系列的防御建议和最佳实践,旨在帮助开发者和安全专家构建更加安全的系统。这包括...
安全客2020季刊第三季:新基建___国计民生下的工控攻防升级.pdf
08-11
CVE-2020-0729:LNK 远程代码执行漏洞分析 一种另类的 shiro 检测方式 针对宝塔的 RASP 及其 disable_functions 的绕过 Opyn 合约被黑详细分析 攻防演练 浅谈实战信息搜集中的自动化数据分析 冰蝎的前世今生:3.0 新...
看,老妈!我没有用_Shellcode:浏览器开发利用案例研究_——_Internet_Explorer_11.pdf
08-07
运行在 Windows10 上的最新版 IE11 新增了大量的漏洞利用缓和措施,试图放缓攻击者的脚步。尽管微软最近刚刚发布了他们最新的旗舰版浏览器 Edge,不过我们发现在 Edge 中引入的大量缓和措施在 IE11 中也同样存在。...
全新桥隧坡安全监测解决方案,24h监测效率提升30%
Hi_Target的博客
04-30 449
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 518
Linux服务器安全基础 - 查看入侵痕迹
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
南七小僧的学海无涯
04-30 456
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
安全运维 -- splunk 操作手册
最新发布
leeezp的博客
04-30 492
日常运维操作笔记 (持续更新)
多家企业机密数据遭Lockbit3.0窃取,亚信安全发布《勒索家族和勒索事件监控报告》
亚信安全官方账号的博客
04-26 943
亚信安全发布2024年第14期《勒索家族和勒索事件监控报告》,本周全球共监测到勒索事件87起,与上周相比勒索事件大幅下降。
远程代码执行防护的研究背景及意义
04-05
远程代码执行(Remote Code Execution,简称RCE)是一种常见的网络攻击方式,攻击者通过利用漏洞或者其他手段,在远程服务器上执行恶意代码,从而获取敏感信息、控制服务器、窃取数据等。RCE攻击具有隐蔽性和危害性,给互联网安全带来了很大的挑战。 随着互联网的发展和应用场景的不断扩大,远程代码执行攻击也越来越频繁和危险。尤其是在云计算、物联网等新兴领域,服务器数量急剧增加,网络攻击面也越来越广,RCE攻击成为了网络安全的重要威胁。因此,研究远程代码执行防护技术,提高网络安全防御能力,具有重要的现实意义。 目前,防御RCE攻击主要采用漏洞修复、使用安全编程语言、加强访问控制等技术手段,但这些方法都存在局限性。因此,需要进一步研究和开发更加高效、精准、全面的防护技术,为互联网安全保驾护航。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值