DVWA渗透测试初级练习（Command injection）更新中

最新推荐文章于 2024-09-12 16:34:08 发布

抒情诗、

最新推荐文章于 2024-09-12 16:34:08 发布

阅读量296

点赞数 2

分类专栏：渗透测试文章标签： DVWA 渗透测试

本文链接：https://blog.csdn.net/zhangxiansheng12/article/details/109047877

版权

渗透测试专栏收录该内容

0 篇文章 0 订阅

订阅专栏

下面的内容是我2020年后半年进行的简单的dvwa的渗透实验，顺序可能会有一些问题，但是内容我一定会搞完整，DVWA渗透环境的windows10配置phpstudy

csdn没目录，可去博客园，见谅。

Command Injection（命令注入）

/**还缺个&&的绕过，过两天再补。*/

Low

源码

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
	// Get input
	$target = $_REQUEST[ 'ip' ];
	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}
	// Feedback for the end user
	$html .= "<pre>{$cmd}</pre>";
}
?>

没有任何过滤，可以满足的注入方式有

1 | ls
1;ls
1&ls
1 || ls

等。。。

Medium

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
	// Get input
	$target = $_REQUEST[ 'ip' ];
	// Set blacklist
	$substitutions = array(
		'&&' => '',
		';'  => '',
	);
	// Remove any of the charactars in the array (blacklist).
	$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}
	// Feedback for the end user
	$html .= "<pre>{$cmd}</pre>";
}
?>

把&&和;给过滤掉了，所以low难度剩下来的其他的注入方式应该还是有效的。

1 | ls
1&ls
1 || ls

等等。。。

High

命令注入是什么？自己百度百科吧，简单地用我的理解来说呢就是利用程序员的各种不安全的功能，不安全的函数实现的，具体就看我的操作吧

首先看源码审计一下吧，弟弟太难了。

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
	// Get input
	$target = trim($_REQUEST[ 'ip' ]);
	// Set blacklist
	$substitutions = array(
		'&'  => '',
		';'  => '',
		'| ' => '',
		'-'  => '',
		'$'  => '',
		'('  => '',
		')'  => '',
		'`'  => '',
		'||' => '',
	);
	// Remove any of the charactars in the array (blacklist).
	$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}
	// Feedback for the end user
	$html .= "<pre>{$cmd}</pre>";
}
?>

这里的这个黑名单很显然是有点问题的，

// Set blacklist
	$substitutions = array(
		'&'  => '',
		';'  => '',
		'| ' => '',
		'-'  => '',
		'$'  => '',
		'('  => '',
		')'  => '',
		'`'  => '',
		'||' => '',
	);

这里'| ' => '',的过滤很明显是程序员输入多了一个空格，然后就导致了命令注入（可绕过|），绕过就是不匹配到|这个玩意就ok了，然后我们利用方式可为

第几种	绕过payload
1	`1 \|ls`
2	`1\|ls`

impossible

不可能注入的环境，下面是源码。

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
	// Get input
	$target = $_REQUEST[ 'ip' ];
	$target = stripslashes( $target );
	// Split the IP into 4 octects
	$octet = explode( ".", $target );
	// Check IF each octet is an integer
	if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
		// If all 4 octets are int's put the IP back together.
		$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
		// Determine OS and execute the ping command.
		if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
			// Windows
			$cmd = shell_exec( 'ping  ' . $target );
		}
		else {
			// *nix
			$cmd = shell_exec( 'ping  -c 4 ' . $target );
		}
		// Feedback for the end user
		$html .= "<pre>{$cmd}</pre>";
	}
	else {
		// Ops. Let the user name theres a mistake
		$html .= '<pre>ERROR: You have entered an invalid IP.</pre>';
	}
}
// Generate Anti-CSRF token
generateSessionToken();
?>

if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
		// If all 4 octets are int's put the IP back together.
		$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];