26_RCE远程代码/命令执行-RCE概念、RCE漏洞原理、RCE利用方式、相关函数

Ange 宇

已于 2024-08-09 09:50:58 修改

阅读量285

点赞数 4

分类专栏：渗透类 web 文章标签：算法服务器运维 web安全前端网络安全安全

于 2024-08-06 01:27:53 首次发布

本文链接：https://blog.csdn.net/weixin_54591045/article/details/140913408

版权

渗透类同时被 2 个专栏收录

20 篇文章 0 订阅

订阅专栏

web

3 篇文章 0 订阅

订阅专栏

概念

RCE(remote command/code execute)概述

RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。

远程系统命令执行
一般出现这种漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口
比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上
一般会给用户提供一个ping操作的web界面，用户从web界面输入目标IP，提交后，后台会对该IP地址进行一次ping测试，并返回测试结果。而，如果，设计者在完成该功能时，没有做严格的安全控制，则可能会导致攻击者通过该接口提交“意想不到”的命令，从而让后台进行执行，从而控制整个后台服务器

现在很多的甲方企业都开始实施自动化运维,大量的系统操作会通过"自动化运维平台"进行操作。在这种平台上往往会出现远程系统命令执行的漏洞,不信的话现在就可以找你们运维部的系统测试一下,会有意想不到的"收获"-_-

远程代码执行
同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。

因此，如果需要给前端用户提供操作类的API接口，一定需要对接口输入的内容进行严格的判断，比如实施严格的白名单策略会是一个比较好的方法。

你可以通过“RCE”对应的测试栏目，来进一步的了解该漏洞。

rce原理演示

VSC上建立一下这两个

防火墙会把exec这样的文件删掉，所以我关掉了

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>

    <form action="01.php" method="post">
        IP地址：<input type="text" name="ip">
        <input type="submit">
    </form>
    
</body>
</html>

<?php

    $ip = $_POST['ip'];
    // echo $ip;

    // 将参数当做 系统命令执行
    $res = shell_exec("ping ".$ip);
    // var_dump($res);
    echo $res;

?>

前端防御后端防御（过滤、白名单、黑名单）

前端防御：对于安全--摆设。节省资源：不符合要求时，不会发请求到服务器。

后端防御：真正的防御

如果看到shell_exec之类的函数，就多注意注意，可能存在远程rce漏洞，这些都是危险的函数

127.0.0.1 && whoami 试下拼接

远程代码执行相关函数 command

新VSC里建一个02.php测试

<?php

    // 远程代码执行 相关函数  command 
    // 1. eval() 不是函数，而是一种语法结构
    // 将参数当做php代码执行
    eval("echo 1+1;");  // echo 1+1;
    eval("phpinfo();");
    // eval("ech 1+1;");   // 语法报错

    // 2. assert()
    assert("echo 2+2;");  // 报错
    assert("phpinfo();");


    // 3. preg_replace()
    // 通过正则，在第三个参数中匹配，如果匹配到，使用第二个参数进行替换，并返回
    // 没有匹配则不替换
    $res = preg_replace("/hello/","phpinfo()","hello world");
    echo $res;  // phpinfo() world
    
    // 加e ，危险，这儿要注意了，加了这个之后就危险了，之前没加时没什么
    // 如果匹配成功，则将第二个参数当做php代码执行
    $res = preg_replace("/hello/e","phpinfo()","hello world");
    echo $res;  // 1 world    可以看到返回了这个，为什么呢


    // 4. call_user_func()  回调函数
    $a = "assert";
    $b = "phpinfo()";
    call_user_func($a,$b);  // $a($b)  assert("phpinfo()")

    // 因为eval不是函数，所以以下语句报错
    // $a = "eval";
    // $b = "phpinfo()";
    // call_user_func($a,$b); 


?>

远程命令执行相关函数 code

<?php
    // 远程命令执行 相关函数  code

    // exec()  只显示一行（末尾）
    echo exec("whoami");
    echo exec("ping 127.0.0.1");

    // shell_exec();  显示所有结果
    echo shell_exec("ping 127.0.0.1");

    // 反撇号 `` （ESC键），注意：不是引号  shift后打出来
    echo `whoami`;
    echo `ping 127.0.0.1`;

?>

命令连接符

    // 命令连接符  &&  &  ||  |

    // a && b   a执行成功，b才能执行
    // echo `whoami && net user`;  // 都执行
    // echo `whomi && net user`;   // 第一个命令执行（失败），后面命令没有执行

    // a & b   a不管成功还是失败，b都会执行
    // echo `whomi & net user`;

    // a || b   a执行失败，b才会执行
    // echo `whoami || net user`;

    // a | b   管道符，a的执行结果会交给b处理
    // echo `whoami | net user`;
    echo `ipconfig | findstr "IPv4 地址"`;
    // linux : grep