DVWA练习二、Command Injection
Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞
php中常用的系统函数如:system()、exec()、shell_exec、passthru、popen、proc_popen等
命令注入判断流程:
一、是否调用系统命令
二、函数或函数的参数是否可控
三、是否拼接注入命令
首先要知道命令注入的流程,确定可控字段
确定命令语句、windows下如何连接两条命令
- &,&&,|,||命令拼接符
A&B:简单的拼接,AB之间无制约关系,A无论是够成功都会执行B
A&&B:A执行成功然后才会执行B
A|B:A的输出作为B的输入
A||B:A执行失败,然后才会执行B
常见漏洞:
bash破壳漏洞(CVE-2014-6271)如果我们能够控制执行的bash的环境变量,就可以通过破壳漏洞来执行任意代码
调用第三方组件存在代码执行漏洞:
可以看到,Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。
很经典的就是WordPress中,可以选择使用ImageMagick这个常用的图片处理组件,对用户上传的图片进行处理(默认是ImageMagick库),造成命令执行。
另外java中的命令执行漏洞:struts2/ElasticsearchGroovy等
漏洞危害:
继承web服务程序的权限,执行系统命令
继承web服务程序的权限,读写文件
反弹shell
控制整个网站甚至服务器
可以进一步内网渗透
下面对不同级别的代码进行分析。
Low
服务器端核心代码
{$cmd}相关函数介绍
stristr(string,search,before_search)
stristr函数搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点),如果未找到所搜索的字符串,则返回FALSE。参数string规定被搜索的字符串,参数search规定要搜索的字符串(如果该参数是数字,则搜索匹配该数字对应的ASCII值的字符),可选参数before_true为布尔型,默认为“false”,如果设置为“true”,函数将返回search参数第一次出现之前的字符串部分。
php_uname函数
(PHP 4>= 4.0.2, PHP 5, PHP 7)
php_uname — 返回运行 PHP 的系统的有关信息
string php_uname ([ string $mode ="a" ] )
php_uname() 返回了运行 PHP 的操作系统的描述。这和 phpinfo() 最顶端上输出的是同一个字符串。如果仅仅要获取操作系统的名称。可以考虑使用常量 PHP_OS,不过要注意该常量会包含 PHP 构建(built)时的操作系统名。
在一些旧的 UNIX 平台,它有可能无法检测到当前系统的信息,然后会还原显示成构建 PHP 时的系统信息。这仅仅在你的 uname() 函数库不存在或无法运行时发生。
参数 ¶
mode
mode 是单个字符,用于定义要返回什么信息:
o 'a':此为默认。包含序列 "s n r v m" 里的所有模式。
o 's':操作系统名称。例如: FreeBSD。
o 'n':主机名。例如: localhost.example.com。
o 'r':版本名称,例如: 5.1.2-RELEASE。
o 'v':版本信息。操作系统之间有很大的不同。
o 'm':机器类型。例如:i386。
o 漏洞利用
o window和linux系统都可以用&&来执行多条命令
o 127.0.0.1&&netuser
Linux下输入127.0.0.1&&cat /etc/shadow甚至可以读取shadow文件,可见危害之大。
Medium
服务器端核心代码
'',
';' => '',
);
// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "{$cmd}";
}
?>
可以看到,相比Low级别的代码,服务器端对ip参数做了一定过滤,即把”&&” 、”;”删除,本质上采用的是黑名单机制,因此依旧存在安全问题。
漏洞利用
1、127.0.0.1&netuser
因为被过滤的只有”&&”与” ;”,所以”&”不会受影响。
2、由于使用的是str_replace把”&&” 、”;”替换为空字符,因此可以采用以下方式绕过:
127.0.0.1&;&ipconfig
这是因为”127.0.0.1&;&ipconfig”中的” ;”会被替换为空字符,这样一来就变成了”127.0.0.1&&ipconfig” ,会成功执行。
High
服务器端核心代码
'',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);
// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "{$cmd}";
}
?>
相比Medium级别的代码,High级别的代码进一步完善了黑名单,但由于黑名单机制的局限性,我们依然可以绕过。
漏洞利用
黑名单看似过滤了所有的非法字符,但仔细观察到是把”| ”(注意这里|后有一个空格)替换为空字符,于是 ”|”成了“漏网之鱼”。
127.0.0.1|net user
Impossible
服务器端核心代码
{$cmd}ERROR: You have entered an invalid IP.'; } } // Generate Anti-CSRF token generateSessionToken(); ?>
相关函数介绍
stripslashes(string)
stripslashes函数会删除字符串string中的反斜杠,返回已剥离反斜杠的字符串。
explode(separator,string,limit)
把字符串打散为数组,返回字符串的数组。参数separator规定在哪里分割字符串,参数string是要分割的字符串,可选参数limit规定所返回的数组元素的数目。
is_numeric(string)
检测string是否为数字或数字字符串,如果是返回TRUE,否则返回FALSE。
可以看到,Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。