命令执行漏洞的原理:
应用程序有时会调用一些执行系统命令的函数,例如在PHP中,使用函数system、exec、shell_exec、passthru、popen、proc_popon等,可以执行系统命令,当黑客能控制函数中的参数时,就可以将系统命令拼接到正常的命令中,从而造成命令执行攻击;
DVWA实验
在操作系统中, & 、&& 、| 、 || 都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令
low等级;
可以看到,low级别的代码接收了用户输入的ip,然后根据服务器是否是Windows NT系统,对目标ip进行不同的ping测试。但是这里对用户输入的ip并没有进行任何的过滤,所以我们可以进行命令执行漏洞
我们ping一下百度的ip地址看看,可以看到能ping通
我们尝试输入 220.181.38.149 & ipconfig ,在操作系统中," & 、&& 、| 、 || "都可以作为命令连接符使用,我们在ping完后再执行ipconfig 命令查看ip信息
medium等级;
可以看到,成功执行。然后我们就可以继续执行我们的命令了。把ipconfig换成其他的系统命令。
可以看到,medium级别的代码在low级别的代码上增加量了对 && 和 ;的过滤,但是这并没有什么用。
我们根本就不用 && ,我们直接用 &
&&和&的区别在于,&&是执行完前面的命令然后执行后面的命令,&是不管前面的命令是否值执行,后面的都执行
可以看到,我们直接按照low级别的命令就可以绕过执行。
height等级
相关函数:
stripslashes(string) : 该函数会删除字符串string中的反斜杠,返回已剥离反斜杠的字符串。
explode(separator,string,limit): 该函数把字符串打散为数组,返回字符串的数组。参数separator规定在哪里分割字符串,参数string是要分割的字符串,可选参数limit规定所返回的数组元素的数目。
is_numeric(string): 该检测string是否为数字或数字字符串,如果是返回TRUE,否则返回FALSE。
可以看到,height级别对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。
修复建议
1、尽量不要使用命令执行函数
2、对于PHP而言,不能完全控制危险的语言尽量不要使用
3、客户端提交的变量在进入命令执行函数前,做好检测与过滤