os命令注入
原理及成因
使用脚本语言开发应用程序的过程中,脚本开发十分迅速,方便简洁,但是也伴随着一些问题。如果我们在开发过程中,特别是企业级应用需要调用一些外部程序(系统命令或exe可执行文件),当调用外部程序时,就会用到一些系统命令的函数。
应用在调用这些函数执行系统命令时,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有足够的过滤情况下,就会造成命令执行漏洞。
1.用户输入作为拼接
2.没有足够的过滤
漏洞危害
- 继承web服务器程序权限,执行系统命令
- 继承web服务器权限,读写文件
- 反弹shell
- 控制服务器
相关函数
- system()
能够将字符串作为OS命令执行,自带输出功能。
- exec()
将字符串作为OS命令执行,需要输出
- shell_exec()
将字符串作为OS命令执行,需要输出
<?php
if(isset($_GET['cmd'])){
$str = $_GET['cmd'];
print(shell_exec($str));
}
?>
// 提交参数:?cmd=whoami
- passthru()
能够将字符串作为OS命令执行,自带输出
- popen()
将字符串作为OS命令执行,但是该函数返回一个文件指针。
<?php
if(isset($_GET['cmd'])){
$str = $_GET['cmd'];
popen($str,'r');
}
?>
// 提交参数:?cmd=whoami >> 1.txt
- 反引号``
反引号内的字符串也会被解析成OS命令。
<?php
if(isset($_GET['cmd'])){
$str=$_GET['cmd'];
print `$str`
}
?>
漏洞利用
1.查看系统文件
?cmd=type c:\windows\system32\drivers\etc\hosts
\
2.显示当前路径(绝对路径)
?cmd=cd
3.写文件
?cmd=echo "<?php phpinfo();?>" > c:\xxx\xxxx\xx.php
防御方法
1.禁用
尽量减少命令执行函数的使用,并在php.ini 中disable_functions禁用
2.过滤
在进入命令执行的函数或方法之前,对参数进行过滤
3. 转义
参数的值尽量使用引号包裹,并在拼接前调用addslashes()转义