这次实验内容为了解php命令注入攻击的过程，掌握思路。

命令注入攻击

命令注入攻击（Command Injection），是指黑客通过利用HTML代码输入机制缺陷(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。从而可以使用系统命令操作，实现使用远程数据来构造要执行的命令的操作。
PHP中可以使用下列四个函数来执行外部的应用程序或函数：system、exec、passthru、shell_exec。

信息来源——合天网安实验室

命令攻击为什么会形成漏洞？
首先是因为应用需要调用一些执行系统命令的函数，比如上面说的php中的system等函数。其次，当用户能够控制这些函数中的参数，就可以将一些恶意的命令拼接到一个正常的命令当中，然后就会造成命令执行漏洞。
所以我们可以得出命令执行漏洞需要的条件：

1. 应用调用的执行系统命令的函数
2. 用户可以对命令进行控制，从而拼接恶意命令
3. 应用没有对用户的输入进行过滤或者过滤不严格

通过命令执行漏洞，我们可以读写一些服务器上的文件，并且这些文件是不想让用户看到的，比如密码类的敏感文件。而且，我们可以通过命令打开服务器的远程服务，这样就可以拿到服务器的shell，从而操控服务器或者这个网页。再者，我们还可以对内网进行进一步的渗透。

下面开始实验。

1. 使远程服务器执行whoami的命令。（whoami命令是查询当前用户身份的命令，比如管理员或普通用户）
   打开实验环境，如下图所示，我们要使其执行whoami命令。
   

从返回的结果来看服务器应该是windows系统，后面有补充。

服务器中关键代码如下：

程序获取GET参数ip，然后拼接到system（）函数中，利用system（）函数执行ping的功能，但是此处没有对参数ip进行过滤和检测，导致可以利用管道符执行其它的系统命令，后面有管道符的补充。

“|”在windows中的意思是：把前面的结果当成后面的输入，我们用ip=127.0.0.1|whoami来试一下

后面的命令执行成功，得到我们的身份是system

“&”在windows中的意思是：两条命令一起执行，先执行前面再执行后面，我们用ip=127.0.0.1&whoami来试一下

可以看出whoami命令并没有成功被执行，原因是在ulr中，“&”是一个连接符号，会被转义成“%26”，那我们直接使用“%26”，它就会被转义成真正的“&”，所以我们不妨使用ip=127.0.0.1%26whoami再试一下

命令执行成功，可以看到服务器执行了两个命令（ping和whoami），我们的身份是system

“||”在windows中的意思是：当前面一个执行失败，则执行后面的，我们用ip=127.0.0.1||whoami来试一下

这一次whoami命令并没有被执行，这是因为前面的命令可以执行，我们只要把前面的命令搞成不能执行的，让它自动执行下一条命令，根据前面提供的关键代码，我们知道只要传入了正常的ip地址，命令（ping）就会成功执行，所以我们试试把ip地址消除，用ip=||whoami来试一下

命令执行成功，我们的身份是system

2. 使远程服务器执行ipconfig命令
   服务器的关键代码如下
   
   补充一下：

preg_match() 函数用于进行正则表达式匹配，成功返回 1 ，否则返回 0 。
preg_match() 匹配成功一次后就会停止匹配，如果要实现全部结果的匹配，则需使用 preg_match_all() 函数。
header()函数的作用是：发送一个原始 HTTP 标头[Http Header]到客户端。标头 (header) 是服务器以 HTTP 协义传 HTML 资料到浏览器前所送出的字串，在标头与 HTML 文件之间尚需空一行分隔。

这段代码对ip地址进行了简单的过滤，如果它匹配到，它会执行下面system那条命令，如果它没有匹配到，它就无法执行下面那条命令（即ping），也就是我们开始时看到的界面：

所以，我们想要让服务器执行ipconfig，首先想到的思路就是让它发生错误，执行失败，使用双管道让它执行ipconfig，接下来我们用ip=127.||ipconfig试一下：

成功

同理，我们使用单管道（ip=127.0.0.1|ipconfig）试一试：

成功

继续，我们使用“%26”（ip=127.0.0.1%26ipconfig）试一试：


执行了两个命令，成功！

知识补充

我们可以通过ping命令返回结果中的TTL项查看服务器的操作系统：LINUX——64 WIN2K/NT——128 WINDOWS系列——32 UNIX系列——255（前面为操作系统，后面为TTL值） 通过ping返回结果，看TTL值与哪项最为接近，服务器就是哪个操作系统。

我们ping一下百度的试试

TTL值为52，则它与64之间跨了12个路由，所以它的服务器应该是LINUX。

接下来补充一些常用的管道符：

Windows系统支持的管道符如下：

• “|”：直接执行后面的语句。
• “||”：如果前面的语句执行失败，则执行后面的语句，前面的语句只能为假才行。
• “&”：两条命令都执行，如果前面的语句为假则直接执行后面的语句，前面的语句可真可假。
• “&&”：如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句为真则两条命令都执行，前面的语句只能为真。

Linux系统支持的管道符如下：

• “;”：执行完前面的语句再执行后面的语句。
• “|”：显示后面语句的执行结果。
• “||”：当前面的语句执行出错时，执行后面的语句。
• “&”：两条命令都执行，如果前面的语句为假则执行执行后面的语句，前面的语句可真可假。
• “&&”：如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句为真则两条命令都执行，前面的语句只能为真。

总结一下：这种需要分析代码的问题一定不能大意，需要认真读懂什么意思才能破解它的秘密。这次实验并不是很难，以前在做CTF——Web题有遇到过，那种跟这个差不多，通过分析代码构造url获取flag。
关注公众号获得更多文章！

如需转载，请注明原文出处，作者：vergilben

目录

1. 系统命令执行

2. Web命令执行

3. 什么是PHP命令注入漏洞

4. PHP命令执行的函数

4.1 system函数

4.2 exec函数

4.3 passthru函数

4.4 shell_exec函数

4.5 popen函数

5. 特殊符号——反引号

6. 命令执行用到的运算符

7. DVWA靶场——命令注入

8. eval注入攻击利用

9. 系统命令执行防御思路

---

1. 系统命令执行

通常在程序开发过程中，应用程序在调用一些第三方程序时会用到一些系统命令相关函数。

例如在linux系统中，shell解释器就是用户和系统进行交互的一个接口，对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序，具有其他普通编程的很多特点。

2. Web命令执行

常用的ASP，PHP，JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点，可以帮助开发者根据各种数据和条件动态修改程序代码，这对于开发人员来说是有利的，但这也隐藏着巨大的风险。

命令注入攻击（即Command Injection）是web应用程序对用户的输入提交的数据过滤不严格，导致攻击者构造恶意的特殊命令字符串的方式将数据提交到web应用程序中，从而执行外部程序或系统命令来进行攻击，非法获取目标服务器的数据资源。

命令注入攻击是挪威一名程序员在1997年意外发现的，他通过构造命令字符串的方式从一个网站上删除网页，就像从硬盘中删除一个文件这么简单。

3. 什么是PHP命令注入漏洞

php命令注入攻击是php语言中很常见的一种漏洞，通常web应用程序在调用php语言中的一些系统命令执行相关函数时，对用户的提交的数据没有进行合理的过滤或安全校验就作为函数参数执行产生的攻击。例如攻击者对网站写入一个php文件时，就可以通过php命令注入来实现向网站写入一个webshell文件，进一步实施渗透攻击。

4. PHP命令执行的函数

php中可以实现执行外部程序或系统命令的函数有：

1. system
2. exec
3. passthru
4. shell_exec
5. popen
6. proc_popen

4.1 system函数

在php中，命令执行函数主要的作用就是通过web应用程序执行外部程序或系统命令，例如web应用程序想要获取当前服务器系统的用户的话，就可以通过system函数来获取用户信息，构造代码如下：

<?php
	$cmd = $_GET["cmd"];
	if(isset($cmd))
	{
		echo "<pre>";
		system("net user".$cmd);
		echo "<pre>";
	}
?>

以上代码中变量cmd会动态接收用户输入的命令，作为system函数的命令参数并执行，然后将结果输出。由于web应用程序可以通过变量cmd接收用户的不同命令并执行，而攻击者则可能利用变量cmd提交恶意数据进行命令注入攻击获取服务器的数据信息。

例如攻击者想要查看当前服务器的用户和ip地址等信息，那么可以在URL地址中构造系统命令，如下所示：

http://www.dvwa.com/cmd/test.php?cmd=||%20ipconfig

system函数执行结果如下所示：

攻击者通过cmd变量构造|| ipconfig命令提交数据后，在后台进行拼接后其实就是一个“net user || ipconfig”这样的字符串，并将这个字符串作为参数传入到system函数中执行，并且system函数会先执行net user系统命令获取当前服务器的用户，接着在执行ipconfig命令查看服务器的ip地址信息，并将命令执行后的结果输出。

 

4.2 exec函数

exec函数跟system函数的作用类似，唯一不同的就是exec函数不会将执行后的结果输出，其函数原型如下：

string exec ( string $command [, array &$output [, int &$return_var ]] )

参数说明：

Command：表示要执行的命令

Output：这是一个数组，用于接收exec函数执行后返回的字符串结果

return_var：记录exec函数执行后返回的状态

exec函数测试代码如下：

<?php
	$cmd = $_GET["cmd"];
	if(isset($cmd)){
		echo "<pre>";
		//output用于接收exec函数执行后的结果
		$output = array();
		//执行命令
		exec($cmd , $output);
		echo "<pre>";
		//将output中的结果输出
		while(list($key , $value)=each($output))
		{
			echo $value."<br/>";
		}
	}
?>

构造测试URL：http://www.dvwa.com/cmd/test.php?cmd=dir c:\ ，读取目标服务器的C盘文件，执行结果如下：

exec函数执行完后，会将执行后的结果放入到output数组中，需要在代码中将结果展示出来。

4.3 passthru函数

passthru函数也是用于执行系统命令的，并且会将执行后的结果进行输出，需要注意的是该函数主要是应用在unix系统下。当unix系统的命令输出的结果是二进制数据时，并且需要将数据结果返回给浏览器，就需要用到passthru函数来代替system和exec函数。

函数原型：

void passthru( string $command[, int &$return_var] )

参数的说明可以参考之前的system，exec函数。

passthru函数的php代码如下：

<?php
	$cmd = $_GET["cmd"];
		echo "<pre>";
		//执行命令
		passthru($cmd);
		echo "<pre>";
?>

4.4 shell_exec函数

用于执行shell命令并将执行的结果以字符串的形式返回，但是不会将结果进行输出。

函数原型如下：

string shell_exec ( string $cmd )

shell_exec函数的测试代码如下：

<?php
	$cmd = $_GET["cmd"];
	echo "<pre>";
	print shell_exec($cmd);
	echo "<pre>";
?>

利用shell_exec函数查看当前服务器的系统配置信息，执行结果如下：

4.5 popen函数

popen函数会将执行后的系统命令结果用一个文件指针的形式返回。

函数原型：

resource popen ( string $command , string $mode )

参数mode表示打开的文件的读写方式。

popen函数的利用代码：

<?php
	$cmd = $_GET["cmd"];
	if(isset($cmd)){
		echo "<pre>";
		//将命令写入到文本
		$cmd = $_GET["cmd"].">> 1.txt";
		//执行系统命令
		popen($cmd , "r");
		echo "<pre>";
	//打开并读写文本文件
	$fp = fopen("1.txt" , "r");
	if($fp){
		while(!feof($fp)){
			$content = fgets($fp);
			echo $content;
		}
	}
	fclose($fp);
	}
?>

popen函数的执行结果如下：

5. 特殊符号——反引号

在php中``反引号里的字符串内容会解析为系统命令并执行。

反引号利用代码：

<?php
	$cmd = $_GET["cmd"];
	if(isset($cmd)){
		echo "<pre>";
        //会将反引号里的内容解析为系统命令并执行
		print `$cmd`;
		echo "<pre>";
	}
?>

6. 命令执行用到的运算符

在进行命令注入攻击，特别是绕过WAF的时候可以使用 && ，& ，| ，||等符号分隔命令：

1. “&&”符号：Command1&&Command2表示先执行Command1命令，执行成功后再执行Command2命令，否则就不执行Command2。

以net user&&whoami命令为例，结果如下：

前面的net user命令执行过程中出错了，那“&&”符号后面的whoami命令就不会再执行了。

2. “&”符号： Command1&Command2表示先执行命令1，无论成功与否，都执行命令2。

以whoami%26net user命令为例，URL地址栏中不能直接使用“&”符号，只能使用“&”符号的URL编码%26，执行结果如下：

虽然执行net user命令出错了，但后面的whoami命令依然能得到执行。

3. “||”符号： Command1||Command2表示使用“||”符号进行连接实现逻辑或功能，只有在Command1命令执行失败后才会执行Command2关于其用法参考system函数。

4. “|”符号：|符号表示管道，把上一条命令的输出作为下一条命令的参数，可参考system函数中的用法。

7. DVWA靶场——命令注入

打开DVWA靶场再把难度调成low级别，选择Command Injection，如下所示：

dvwa靶场提示输入一个ip地址，但是如果想要执行其他命令的话就可以结合命令执行用到的运算符进行配合，例如获取服务器系统的当前用户信息，就可以构造127.0.0.1|net user命令进行注入。

分析后台代码：

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    //接收ip地址
    $target = $_REQUEST[ 'ip' ];
    //确定操作系统并执行命令
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        $cmd = shell_exec( 'ping  ' . $target );
} else {
    //linux系统发送4个ping包
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    //返回命令执行结果
    echo "<pre>{$cmd}</pre>";
}
?> 

后台对前台用户输入的命令没有做任何的过滤，直接把前端的输入作为命令执行函数的参数，并将执行后的结果返回。

把难度修改成medium级别，分析后台代码：

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    //获取输入的命令
    $target = $_REQUEST[ 'ip' ];
    //过滤&& , ;
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    //通过str_replace进行过滤
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    //确定操作系统并执行命令
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
		//windows
        $cmd = shell_exec( 'ping  ' . $target );
    } else {
		//linux or unix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    echo "<pre>{$cmd}</pre>";
}
?> 

medium级别的dvwa靶场对“$$”和“；”符号进行了过滤，str_replace函数会对这两个符号进行匹配，如果匹配到则把该字符串用空字符串进行替换，那么我们在进行命令执行注入时就不能使用“$$”和“；”符号了。

因此可以使用“||”，“|”，“$”符号对目标进行命令注入，分别构造127.0.301.1||net user和127.0.0.1|net user命令进行注入：

把难度调成high级别，分析代码：

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    $target = trim($_REQUEST[ 'ip' ]);
    //过滤列表
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        $cmd = shell_exec( 'ping  ' . $target );
    }else {
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    echo "<pre>{$cmd}</pre>";
}
?> 

后台对于所有的系统命令符号都进行了过滤，但是仔细分析发现，“|”符号后面对了一个空格，也就是说后台对于“|”符号的过滤还是不严格，因此我们可以利用这一点进行绕过。

由于“|”符号前面的命令必须执行失败出错，后面的ipconfig命令才会得到执行，那么需要保证192.168.1.100这个ip地址是ping不通的。

DVWA靶场安全设置为impossible级别：

php
if( isset( $_POST[ 'Submit' ]  ) ) {
    //校验tooken防止CSRF
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    $target = $_REQUEST[ 'ip' ];
	//去除反斜杠
    $target = stripslashes( $target );
    //对输入的ip进行分割
    $octet = explode( ".", $target );
    //判断用户提交的数据是否为数字
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        echo "<pre>{$cmd}</pre>";
    }
    else {
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}
generateSessionToken();
?> 

后台代码经过一系列的过滤，对于提交的数据格式只有为ip地址格式的才会被接收并执行，因此这里是不存在命令注入漏洞的。

8. eval注入攻击利用

php中的eval注入也可以实现命令注入，eval函数会将参数字符串作为php程序代码来执行，用户可以将php代码保存成字符串形式然后传递到eval函数执行。

函数原型：

mixed eval( string $code)

eval函数的参数code就是php代码字符串，攻击者可以通过eval的参数构造全部或部分字符串的内容实现命令注入。

测试代码：

<?php
	$cmd = $_GET["cmd"];
	if(isset($cmd)){
		echo "<pre>";
		eval($cmd);
		echo "<pre>";
	
	}
?>

在URL链接中http://www.dvwa.com/cmd/test.php?cmd=phpinfo(); 提交构造好的php字符串：

我们在URL中提交的“phpinfo();”字符串经过eval函数的处理，可以按照php代码来执行并返回结果。

9. 系统命令执行防御思路

1. 尽量减少命令执行函数的使用，可以在disable_functions中禁用掉，在php.ini文件中找到该选项，输入禁用的命令执行函数，以system函数为例：

禁用system函数之后，再次执行php代码就会报错：

Warning: system() has been disabled for security reasons in C:\wamp\www\dvwa.com\cmd\test.php on line 5
Call Stack

2. 命令执行的函数或方法的参数进行合理的过滤或校验

3. 参数的值尽量使用引号包裹，并在拼接前调用addslashes进行转义，该函数的用法可参考之前的文章。

原理

命令注入是指在某种开发需求中，需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时，则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令，直接接管服务器的控制权限。

在开发过程中，开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令。Java的Runtime类可以提供调用系统命令的功能。如下代码可根据用户输入的指令执行系统命令。由于cmd参数可控,用户可以在服务器上执行任意系统命令，相当于获得了服务器权限。

示例代码

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.PrintWriter;
import java.lang.reflect.Proxy;


@WebServlet(name="Command",urlPatterns = "/Command")
public class Command extends HttpServlet {

    @Override
    public void init() throws ServletException{

    }

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        String cmd = req.getParameter("cmd");
        Process process = Runtime.getRuntime().exec(cmd);
        InputStream in = process.getInputStream();
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        byte[] b = new byte[1024];
        int i = -1;
        while ((i = in.read(b))!=-1){
            byteArrayOutputStream.write(b,0,i);
        }
        PrintWriter out = resp.getWriter();
        out.print(byteArrayOutputStream.toString());
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doGet(req,resp);
    }

    @Override
    public void destroy() {
        super.destroy();
    }
}

命令注入的执行结果如图

命令注入的局限

系统命令支持使用连接符来执行多条语句，常见的连接符有|、||、&、&&，其含义为

符号	含义
|	前面命令输出结果作为后面命令的输入内容
||	前面命令执行失败时才执行后面的命令
&	前面命令执行后继续执行后面的命令
&&	前面命令执行成功后才执行后面的命令

例如命令ping www.baidu.com&ipconfig的执行效果如图所示，先执行完ping命令，后执行ipconfig命令

对于Java环境中的命令注入，连接符的使用存在一些局限。例如如下代码，利用ping命令来诊断网络。其中url参数为用户可控，当恶意用户输入www.baidu.com&ipconfig时，系统可以成功执行，但是Java运行环境中就不行，因为www.baidu.com&ipconfig被当作一个完整的字符串而非两条命令，因此如下代码不存在命令执行漏洞。

protected ByteArrayOutputStream ping(String url) throws IOException{
	Process process = Runtime.getRuntime().exec("ping " + url);
	InputStream in = process.getInputStream();
	ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
	byte[] b = new byte[1024];
	int i = -1;
	while((i = in.read(b)) != -1){
		byteArrayOutputStream.write(b,0,i);
	}
	return byteArrayOutputStream;
}

无法进行命令注入的原因

Runtime类中exec方法存在如下几种实现，显而易见，要执行的命令可以通过字符串和数组的方式传入。

public Process exec(String command) throws IOException {
        return exec(command, null, null);
    }
public Process exec(String command, String[] envp) throws IOException {
        return exec(command, envp, null);
    }
public Process exec(String cmdarray[]) throws IOException {
        return exec(cmdarray, null, null);
    }
public Process exec(String[] cmdarray, String[] envp, File dir)
        throws IOException {
        return new ProcessBuilder(cmdarray)
            .environment(envp)
            .directory(dir)
            .start();
    }

当传入的参数类型为字符串时，会先经过StringTokenizer的处理，主要是针对空格以及换行符等空白字符进行处理，后续会分割出一个cmdarray数组保存分割后的命令参数，其中cmdarray的第一个元素为所要执行的命令。经过处理后的参数www.baidu.com&ipconfig成为ping命令的参数，因此此时的连接符&并不生效，从而无法注入系统命令。