命令注入

命令注入是一种常见的漏洞形态。一旦存在命令注入漏洞,攻击者就可以在目标系统执行任意命令。

测试脚本command.py:

import os,subprocess
import sys
command = "ping -c 4 {}".format(sys.argv[1])
p = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE)
out = p.stdout.readlines()
for line in out:
    print(line.decode('utf-8'))

这允许我们从外部传入参数执行ping命令,但是参数并没有被限制,那么我们就可以注入其他命令,让OS去执行。例如测试注入whoami

python command.py 8.8.8.8 && whoami

命令注入_第1张图片

实际执行的是ping -c 4 8.8.8.8 && whoami 命令。 

原本功能只是用来测试主机和别的主机是否网络可达,现在就造成可以执行任意操作系统命令的漏洞。

一般测试命令可以用 | 、`、&&、;等符号来进行命令拼接。

但是一般情况下很少遇到会完全不过滤的情况,如过滤掉空格

import os,subprocess
import sys
#测试ping功能
command = "ping -c 4 {}".format(sys.argv[1].replace(' ',''))
p = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE)
out = p.stdout.readlines()
for line in out:
    print(line.decode('utf-8'))

那么可以用payload  python command.py  8.8.8.8&&{cat,/etc/passwd}

以上是有回显的情况下,可以直接看打印的命令结果去判断注入的命令是否执行了,但是一般正常情况很少有回显的,因为回显显得比较难看。

一般我们遇到的都是直接输入一个ip地址,然后点击测试,最后告诉你是网络可达还是不可达。

这种就是命令盲注的情况了。

和SQL盲注一样,我们可以用sleep来延时,从返回响应结果的时长来判断是否注入成功。

测试 payload  python command.py  8.8.8.8 && sleep 5

这里要注意一点,不是返回响应的时间为5秒就是存在注入,要判断上一次直接ping 8.8.8.8和我们使用payload后的时间差为5秒才能判断命令被注入了。

现在的命令执行中,喜欢做系统权限最小化,只能执行某些命令,不是所有的命令都能执行,这时候可以使用sleep来测试系统是否存在这个命令

例如我直接测试aaa命令不存在的情况

这时候会返回命令不存在,但是是盲注我们看不到这个返回结果,我们能感知的是sleep 5秒没有被执行,因为结果很快被返回了。

curl -h && sleep 5
wget -h && sleep 5
ssh -V && sleep 5
telnet && sleep 5

这样的话就可以用来测试一些用得到的命令了。

 

参考链接:https://www.freebuf.com/vuls/139924.html

你可能感兴趣的:(web安全)