命令执行—代码执行漏洞分析与实战
命令执行—代码执行漏洞分析与实战
目录
命令执行漏洞
等级为:low
等级为:medium
等级为:high
代码执行漏洞
定义:服务器端没有对用户提交的命令进行严格的过滤,而当用户可以控制命令执行函数里的参数时,便可以将恶意系统命令当成正常系统命令执行,从而形成系统攻击。
漏洞危害:
继承Web服务程序的权限去执行系统命令或读写文件
反弹shell
控制整个网站甚至控制服务器
进一步内网渗透
PHP中的危险函数:
system:成功则返回命令输出的最后一行,失败则返回FALSE。
exec:命令执行结果的最后一行内容。
shell_exec:命令执行的输出。如果执行过程中发生错误或者进程不产生输出,则返回NULL。
passthru:执行外部程序并且显示原始输出。
eval:将输入的字符串参数当做PHP程序代码来执行。
assert:assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动
preg_replace:preg_replace 函数执行一个正则表达式的搜索和替换。
call_user_func :call_user_func — 把第一个参数作为回调函数调用
①eval()函数
定义和用法:
eval() 函数把字符串按照 PHP 代码来计算。
该字符串必须是合法的 PHP 代码,且必须以分号结尾。
如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
语法
eval(phpcode)
phpcode 必需。规定要计算的 PHP 代码。
②assert()函数
定义和用法:
检查一个断言是否为 FALSE
语法
PHP 5
bool assert ( mixed $assertion [, string $description ] )
PHP 7
bool assert ( mixed $assertion [, Throwable $exception ] )
assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动
例子
$a = $_GET['a'];
assert($a);
?>
http://127.0.0.1/oscommand/1.php?a=phpinfo();
http://127.0.0.1/oscommand/1.php?a=phpinfo()
eval()函数 VS assert()函数
注意:eval()函数正确执行需要满足php的代码规范,而assert()函数则不存在这个问题,对于php的代码规范要求不高
③preg_replace()函数
定义和语法:
preg_replace 函数执行一个正则表达式的搜索和替换。
例子
$a = $_GET['a'];
echo preg_replace("/test/e", $a, "just test!")
?>
http://127.0.0.1/oscommand/1.php?a=phpinfo()
ps: 在php5.4及以下版本中,preg_replace()可正常执行代码,而在php5.5及后续版本中会提醒"/e"修饰符已被弃用,要求用preg_replace_callback()函数来代替。
④call_user_func()函数
定义和用法:
call_user_func — 把第一个参数作为回调函数调用
语法
mixed call_user_func ( callable $callback [, mixed $parameter [, mixed $… ]] )
第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。
例子
call_user_func($_GET['a'],$_GET['b']);
?>
http://127.0.0.1/oscommand/1.php?a=assert&b=phpinfo()
看一下命令连接符:
在windows和linux都支持,如果程序没有进行过滤,那么我们可以通过连接符来执行多条命令。
command1 && command2 先执行Command 1,执行成功后执行Command 2,否则不执行Command 2
command1 | command2 只执行command2
command1 & command2 先执行Command 1,不管是否成功,都会执行Command 2
靶场:DVWA
等级为:low
构造payload:#127.0.0.1&&dir
我们可以通过dir命令,当前靶场所在的文件目录。
通过#127.0.0.1&ipconfig看到了本机IP
查看源码:
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "
{$cmd}";
}
看见了php_uname()函数,stristr()函数和shell_exec()函数
php_uname — 返回运行 PHP 的系统的有关信息
stristr() 函数搜索字符串在另一字符串中的第一次出现,该函数是不区分大小写的。
shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
low等级只是用shell_exec和strietr函数对参数进行处理,没有对我们传入的IP进行严格的过滤。我们就给了我们命令攻击的机会。
等级为:medium
我们构造:#127.0.0.1&&dir
我们的&&的被过滤掉了
新的payload:#127.0.0.1|dir
也成功了
换个payload:#127.0.0.1&dir
也成功了
看一下源码:
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];
// Set blacklist
$substitutions = array(
'&&' => '',
';' => '',
);
// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "
{$cmd}";
}
?>
看到源码里对我们的&&和;进行了过滤;但是我们也可以使用&&&,&和|
等级为:high
试了几种payload,只有#127.0.0.1|dir成功了
其他的结果
程序应该把我们用的拼接字符全部都过滤了
我们应该用其他的方式绕过。
看一下源码:
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = trim($_REQUEST[ 'ip' ]);
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);
// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "
{$cmd}";
}
?>
把我们使用的拼接字符换成了空格,但是它过滤了|没有过滤|这就给了我们机会。
看了一下黑名单好像只有||它的旁边可以加个空格才可以绕过
注意:#127.0.0.1|可以拼接很多的DOS命令,什么注册表啊,事件查看器啊等等DOS命令,细思极恐!
靶场:DoraBox
代码执行漏洞的定义:代码执行通常指将可执行代码注入到当前页面中,比如PHP的eval函数,可以将字符串代表的代码作为PHP代码执行,当前用户能够控制这段字符串时,将产生代码执行漏洞。
常见的代码执行相关函数:
PHP: eval、assert、preg_replace()、+/e模式(PHP版本<5.5.0)
Javascript: eval
Python: exec
最简单的利用
输入框内:phpinfo()
想上传个一句话木马,结果被发现了由于assert()函数的检查。
试了几个靶场好像上传一句话都不行,就这样吧!!!
命令执行—代码执行漏洞分析与实战相关教程