Command Injection(命令行注入)简介:
1、命令执行概念:
命令执行漏洞是指可以随意执行系统命令,属于高危漏洞之一,也属于代码执行范围;PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。也就好比一句话<?php @eval($_POST[cmd]);?>
2、分类:
1、 代码过滤不严或无过滤;
2、 系统漏洞可以构造环境变量的值来执行具体攻击力的代码脚本,会影响到bash交互的多种应用,例如:http、ssh、dhcp等;
3、 调用第三方组件,例如:PHP — exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec(),java — struts 2,thinkphp(老牌的PHP框架);
- system() 输出并返回最后一行shell的结果;
- exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面;
- passthru() 只调用命令,把命令的运行结果原样的直接输出到标准输出设备上;
- popen()、proc_open() 不会直接返回执行结果,而是返回一个文件指针;
3、&&、&、|、||
Windows支持:
- 命令1 && 命令2 ——> 命令1执行成功才会执行命令2;
- 命令1 & 命令2 ——> 不管命令1是否执行成功,命令2都会执行;
- 命令1 | 命令2 ——> 直接执行命令2;
- 命令1 || 命令2 ——> 命令1执行失败,才会执行命令2;
Linux支持:
- 命令1 ; 命令2 ——> 命令1 执行完后执行命令2;
- 命令1 && 命令2 ——> 命令1执行成功了才会执行命令2;
- 命令1 & 命令2 ——> 不管命令1是否执行成功,命令2都会执行;
- 命令1 | 命令2 ——> 将命令1的输出结果作为命令2的输出内容(管道符);
- 命令1 || 命令2 ——> 命令1执行失败了,才会执行命令2 ;
4、Windows和Linux相关命令知识:
Windows:
- dir、ipconfig、arp -a(查看arp欺骗)、calc、regedit(注册表)、netstat -ano(查看端口)
注意:如何发现arp欺骗的,如果发现IP地址不同,但是MAC地址不同时,说明已经受到ARP攻击,应该断网、杀毒,或者重装软件,可以将IP地址和MAC地址绑定死;
Linux
- cat /etc/passwd(查看当前用户)、id(查看当前用户的所有ID)、groups(查看当前用户组)、cat /etc/group、netstat -pantu、 net -nr、whoami、pwd、uname -a
一、命令行注入(Command Injection)
实验环境:
1、Windows服务器:Win7 ,IP地址:192.168.85.199
2、测试机:Win10物理机,开启代理,远程登录DVWA
实验步骤:
安全等级:Low
1、设置安全等级为:Low
2、查看安全等级Low的命令注入源码;
源码如下:
3、源码分析:
- stristr(string,search,before_search)
| string | 必需。规定被搜索的字符串。 |
|---|---|
| search | 必需。规定要搜索的字符串。如果该参数是数字,则搜索匹配该数字对应的 ASCII 值的字符。 |
| before_search | 可选。默认值为 “false” 的布尔值。如果设置为 “true”,它将返回 search 参数第一次出现之前的字符串部分。 |
- php_uname(mode):、
- 这个函数会返回运行php的操作系统的相关描述,参数mode可取值”a” (此为默认,包含序列”s n r v m”里的所有模式),”s ”(返回操作系统名称),”n”(返回主机名),” r”(返回版本名称),”v”(返回版本信息), ”m”(返回机器类型)。
- 可以看到,服务器通过判断操作系统执行不同ping命令,但是对ip参数并未做任何的过滤,从而导致了严重的命令注入漏洞;
- 源码的总和分析:
- 首先判断目标主机的操作系统,如果是Windows,则执行第一个命令;若是linux,指定ping目标IP四次,因为linux中ping命令是一直执行的,只有加了-c参数,指定发送的次数才能停止;
- 可以看到在接收用户输入的地方,对用户的输入的内容没有做任何的处理。不难看出这就是一个典型的命令注入漏洞,而且是最容易的;
4、实验操作:
命令行执行漏洞:(在服务器上执行命令并返回)
- 127.0.0.1
- 127.0.0.1 && dir ——> //文件路径
- 127.0.0.1 | ipconfig ——> //网卡
- 127.0.0.1 | arp -a ——> //查看arp缓存表
- 127.0.0.1 | regedit ——> //打开注册表
- 127.0.0.1 | netstat -ano ——> //端口信息
以上这些命令都是Windows 服务器win7的相关的信息。
切记:如果命令执行结果出现乱码, …/DVWA/dvwa/includes目录下,有个dvwaPage.inc.php文件,打开文件在277行修改。
将UTF-8改为GBK或者GB2312即可。
安全等级:Medium
1、查看源码
源码分析:
- $target = str_replace( array_keys( $substitutions ), $substitutions, $target );如果用户输入的内容中含有&&或;会将其替换为空。其他的部分基本和安全等级为LOW时相差不大。Str_replace()函数,以其他字符替换字符串中的一些字符(区分大小写)。
- 这里的源码对用户的输入进行了初步的过滤,过滤掉了一些能够同时执行命令的符号,但是我们知道,拥有同样作用的符号不止&&和;。所以依然可以进行命令注入。
- Medium级别的过滤方式本质上采用的是黑名单机制,相比白名单依旧存在安全问题;
2、命令执行漏洞;
执行命令——127.0.0.1 && dir,失败。
3、绕过方法
- 127.0.0.1 & dir
- 127.0.0.1 | dir
- 127.0.0.1 &&& arp -a
- 127.0.0.1 &;& arp -a
安全等级:High
1、设置安全级别为High;
2、查看源码;
源码分析:
- 这个级别的源码和安全等级为medium级别的源码相差不大,只是将更多的符号加入黑名单;
- 总之,只是做黑名单的话,还是不够安全的。只要黑名单不够完整,就不是很安全。即使你认为名单已经很完整了。可能还有你不知道的存在可以利用;
3、命令之执行漏洞
- 127.0.0.1 &&& arp -a——> 只要有&符号都被过滤掉
- 127.0.0.1 && arp -a
- 127.0.0.1 & arp -a
- 127.0.0.1 | arp -a
4、绕过方法
- 127.0.0.1 |calc
安全等级:Impossible
1、查看源码
2、源码分析
- explode()函数,将字符串变为数组。这里将我们输入的IP以 . 进行拆分,变成数组;
- 然后判断数组中的每个值是否为数字,且是否是四个对象;
- 如果结果为true的话,就会将这四组数通过 . 连接起来,执行ping命令。这样就杜绝了所有命令注入。
3、命令执行
3060
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
