Web安全基础-命令执行getshell

已于 2023-06-01 16:41:29 修改
阅读量1.2k 收藏 5
点赞数 3
分类专栏: WEB安全基础 文章标签: web安全 php 安全 linux 服务器
于 2022-11-23 22:11:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44971640/article/details/128008909
版权
本文详细介绍了PHP中的命令执行漏洞,包括原因(未对用户输入进行严格检查)、危害(可执行系统命令,获取服务器权限)以及常见函数如eval(), assert(), preg_replace()等的危险用法。同时,提到了系统命令执行函数如system(), exec()等,并列举了命令执行的特殊字符和Linux中绕过空格的方法。了解这些有助于提高系统安全性。
摘要由CSDN通过智能技术生成

文章目录

命令执行漏洞简介

原因

应用未对用户输入做严格得检查过滤,导致用户输入得参数被当成命令来执行。

危害

  1. 继承Web服务程序的权限去执行系统命令或读写文件
  2. 反弹shell,获得目标服务器的权限
  3. 进一步内网渗透

远程代码执行

因为业务需求,在PHP中有时需要调用一些执行命令的函数,如: eval() 、 assert() 、
preg_replace() 、 create_function() 等,如果存在一个使用这些函数且未对可被用户控制
的参数进行检查过滤的页面,那么这个页面就可能存在远程代码执行漏洞。

PHP代码执行函数

Eval

 eval ( string $code )

把字符串 code 作为PHP代码执行

<?php @eval($_POST['cmd']);?>

注意:eval() 函数传入的参数必须为PHP代码,即要以分号结尾;

函数eval()语言结构是非常危险的, 因为它允许执行任意 PHP 代码。

assert

assert ( mixed $assertion [, string $description ] )

如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。

<?php @assert($_POST['cmd'])?>

assert — 检查一个断言是否为 FALSE

注意:assert()函数是直接将传入的参数当成PHP代码执行,不需要以分号结尾

preg_replace

preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [,
int $limit = -1 [, int &$count ]] )

执行一个正则表达式的搜索和替换,搜索 subject 中匹配 pattern 的部分, 以 replacement进行替换。

<?php
preg_replace("/test/e",$_POST["cmd"],"just test");

 preg_replace('正则规则','替换字符''目标字符')
 PCRE修饰符 e :preg_replace()在进行了对替换字符串的后向引用替换之后,
 将替换后的字符串作为php代码评估执行(eval函数方式), 并使用执行结果作为实际参与替换
的字符串。
?>

等等这些…

系统命令执行

一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后后台会对该IP地址进行一次ping测试,并返回测试结果。而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交恶意命令,让后台进行执行,从而获得后台服务器权限。

利用PHP 的系统命令执行函数来调用系统命令并执行,这类函数有 system()、exec()、shell_exec()、passthru()、penti_exec()、popen()、proc_pen()等,此外还有反引号命令执行,这种方式实际上是调用 shell_exec()函数来执行。

PHP系统命令执行函数

system():执行外部程序,并且显示输出;
exec():执行一个外部程序
shell_exec():通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
passthru():执行unix系统命令并且显示原始输出
pcntl_exec():在当前进程空间执行指定程序
popen():打开进程文件指针
proc_open():执行一个命令,并且打开用来输入/输出的文件指针。

PHP提供4个专门的执行外部命令的函数:

exec()
system()
passthru()
shell_exec()

exec()

exec ( string $command [, array &$output [, int &$return_var ]] )

执行一个外部程序,exec() 执行 command 参数所指定的命令。

exec执行系统外部命令时不会输出结果,而是返回结果的最后一行。如果想得到结果,可以使用第二个参数,让其输出到指定的数组。此数组一个记录代表输出的一行。即如果输出结果有20行,则这个数组就有20条记录,所以如果需要反复输出调用不同系统外部命令的结果,最好在输出每一条系统外部命令结果时清空这个数组unset($output) ,以防混乱。第三个参数用来取得命令执行的状态码,通常执行成功都是返回0。

<?php
// 输出运行中的 php/httpd 进程的创建者用户名
// (在可以执行"whoami"命令的系统上)
// echo exec("whoami");
// exec('ls-la',$return);
// var_dump($return);

$cmd=$_POST['cmd'];
@exec($cmd,$return);
var_dump($return)
?>

使用eval函数时,可以使用 cmd=var_dump(exec(‘whoami’)); 获取信息

system

system ( string $command [, int &$return_var ] )

函数执行 command 参数所指定的命令, 并且输出执行结果。

system和exec的区别在于,system在执行系统外部命令时,直接将结果输出到浏览器,如果执行命令成功则返回true,否则返回false。第二个参数与exec第三个参数含义一样。

<?php
echo '<pre>';
// 输出 shell 命令 "ls" 的返回结果
// 并且将输出的最后一样内容返回到 $last_line
// 将命令返回值保存到 $retval
$last_line = system('ls',$retval);

//打印更多信息

echo'
</pre>
<hr />Last line of the output ' . $last_line .'
<hr />Return value:' . $retval;
?>

等等…

命令执行常用特殊字符

cmd1|cmd2:无论cmd1是否执行成功,cmd2将被执行
cmd1;cmd2:无论cmd1是否执行成功,cmd2将被执行
cmd1||cmd2:仅在cmd1执行失败时才能执行cmd2
cmd1&&cmd2:仅在cmd1执行成功后cmd2才执行
cmd2$(cmd) :echo $(whoami) 或者 $(touch test.sh; echo 'ls' > test.sh)
'cmd':用于执行特定命令,如 'whoami'


linux shell中绕过空格的方法

<、<>、$IFS$9、${IFS}、$IFS、$IFS[]、$IFS[@]等

渗透测试小白
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
python3编写ThinkPHP命令执行Getshell的方法
09-19
### Python3 编写 ThinkPHP 命令执行 Getshell 的方法详解 #### 一、背景介绍 在 Web 应用开发中,ThinkPHP 是一个非常流行的 PHP 框架,因其良好的性能与丰富的功能而受到众多开发者的青睐。然而,任何框架或技术...
2019-新闻原getshell.rar
09-26
Getshell通常指的是在Web安全领域中,攻击者通过利用网站漏洞获取服务器命令执行权限,从而能够上传webshell,即恶意的Web脚本,以实现对目标服务器的远程控制。Webshell是一种后门程序,攻击者可以通过它进行各种...
Webmin 远程代码执行Getshell漏洞复现 编号:CVE-2022-0824
08-31 2045
Webmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。webmin1.990之前版本存在权限提升漏洞,该漏洞源于错误的程序对高级本地过程调用。攻击者可以利用该漏洞能够修改操作系统文件系统并以运行应用程序权限执行操作系统命令。......
从无回显命令执行到getshell的渗透测试
Javachichi的博客
06-02 786
事情起源于一次渗透测试,机缘巧合之下,发现了一个PHP imap远程命令执行的漏洞点。但尴尬的是,这块命令执行并不会有回显,由此开始了今天的探测之旅。
Web入门---命令执行
最新发布
s849602863的博客
05-21 997
ctfshow-Web入门---命令执行
【漏洞复现】Zabbix弱口令再到命令执行Getshell
cjstang的博客
06-29 2771
Zabbix使用默认口令成功进入平台,写入shell脚本反弹shell
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2365
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
PHP文件包含漏洞代码分析-通过漏洞getshell-学习笔记
ZhangAweio的博客
04-06 721
假设我们有一个网站有上传漏洞,但我们并不能进行直接getshell,这时候我们就用到这漏洞来进行getshell假如我们有个网站已经成功上传shell 了,但是无法运行,因为是其他格式的那么我们可以通过文件包含漏洞来进行getshell首先写入一句话木马成功访问不是PHP结尾的文件,文件包含漏洞危害及其大,如有被利用不堪设想。
命令执行web入门
2201_75316477的博客
12-30 1463
我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。如果对取反不了解可以百度一下,这里给个容易记得式子,如果对a按位取反,则得到的结果为-(a+1),也就是对0取反得到-1。其中%09,%26不受数字被过滤的影响,因为在加载时%09,%26会被解码为空格和分号,也就没有了数字。过滤了冒号,不能用伪协议了,没有过滤英文状态的**()** 和**;这下好了,过滤了字母,但是数字没有过滤,数字?
thinkphp5.X-Batch-getshell-master.rar
03-31
"thinkphp5.X-Batch-getshell-master"这个项目名暗示了该压缩包包含的是针对ThinkPHP5.x框架的批量getshell攻击方法集合,可能包括了不同版本的PoC(Proof of Concept)代码,用于演示和验证这些漏洞的存在。...
74CMS_6.0.48_远程命令执行_CNVD-2021-45280
02-22
本文为 漏洞编号 CNVD-2021-45280 ,即 74CMS 远程命令执行漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
ThinkPHP v5.x命令执行利用工具(可getshell
ThinkPHP_getshell-v2.zip
11-11
标题“ThinkPHP_getshell-v2.zip”提示我们关注的是与ThinkPHP框架相关的安全问题,特别是一个可能导致getshell的漏洞。Getshell通常指的是攻击者能够通过某种方式在目标服务器执行命令,这通常与代码注入漏洞相关...
IIS6.0解析漏洞——PUT方式上传文件
buffedon的博客
08-26 3208
IIS6.0解析漏洞IIS6.0解析漏洞解析漏洞原理介绍PUT上传原理PUT上传探测PUT上传利用(漏洞复现)PUT的利用COPY的利用PUT文件上传防范解析漏洞防范补充:HTTP 中请求方式汇总1. OPTION2. HEAD3. PUT4. DELETE5. TRACE6. CONNECT IIS6.0解析漏洞 解析漏洞原理介绍 1. 当建立 *.asa、*.asp 格式的文件夹时,其目录下的任意文件都被IIS当做asp文件解析 2. 当文件是 *.asp;1.jpg ,IIS6.0同样会将文件作为a
渗透测试系列之iis解析漏洞getshell+内网渗透
win176489的博客
06-27 3073
本次渗透测试经验分享仅供大家学习交流 本次利用的环境为内网web服务器windows2003(模拟内网主机 ip192.168.152.128 192.168.79.128) 一台外网主机 (ip xxx.xxx.xxx.xxx ) 攻击机win10(ip 192.168.31.169) kali机(192.168.31.43) 环...
GetShell的姿势总结
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
03-20 4192
0x00 什么是WebShell 渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限,于是WebShell便应运而生。Webshell中的WEB就是web服务,shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限,而webshell常以网页脚本的形式出现。常见的WebShell使用asp、jsp和php来编写,提供了如执行系统命令、文件上传下载、数据库管理等功能。 0x01 获取WebShell的方式 获取W...
使用中国菜刀(结合一句话木马)通过Iiswriter的put方法getshell
wsnbbz的博客
12-30 3487
1.在客户端安装iiswrite软件,并关闭客户端防火墙 2.服务器安装iis,勾选以下选项 3.更改iis网站的主目录,将所有权限都勾选,再将网址的权限里来宾账户的权限改为完全控制 4.在客户机使用iiswrite对服务器所在文夹件上传一个txt文件并改后缀为asp,内容为<%eval(eval(chr(114)+chr(101)...
Web命令执行
weixin_45906533的博客
07-07 231
从上面的blacklist里面,可以得知,cat,空格,flag,“.” 都被过滤了。像这种替换操作,如果是字符串我们正常可以双写绕过,我们先看看可以执行哪些命令命令执行成功,那么我们使用ls看看当前目录下有什么文件,注意。根据上面的分析我们可以得知,如果想要执行命令,我们需要绕过。了,那么接下来肯定是需要查看它里面的文件内容了。常规查看命令:cat flag.php。结尾的,但是被禁了,所以我们可以用。里面,所以要双写绕过一下。
PHP代码审计2—相关函数介绍
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-24 1060
PHP 代码审计常见的函数
getshell脚本
09-09
getshell脚本是用于在目标网站上植入恶意代码或命令执行的脚本。通过使用有效的用户名和密码组合,getshell脚本可以自动登录到目标网站的后台,并替换cookies以保持登录状态。一种常见的getshell脚本演示了如何使用Perl语言将PHP shell自动植入WordPress网站,示例如下: ```perl %> perl wp-getshell.pl http://ubuntu64/wordpress admin admin ``` 除了通过直接登录后台外,还可以通过其他方式获取webshell。例如,将webshell改为txt文件并上传至目标网站,然后再上传一个脚本文件来包含这个txt文件,可以绕过Web应用程序防火墙(WAF)并获取webshell。 另一种方法是通过SQL语句将shell写入目标网站的数据库中。首先,执行错误的SQL语句,以暴露出网站的根目录,然后将恶意代码写入指定的文件中。一个示例SQL语句如下: ```sql select "<?php phpinfo(); ?>" into outfile "C:\\vulcms\\ecshopv3.6\\ecshop\\v01cano.php"; ``` 以上是一些常见的获取webshell的脚本和方法,但请注意这些行为都是非法的,属于网络攻击行为,请勿在未经授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试小白

如果您觉得满意,一分一毛也是爱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值