BTS测试实验室 --- 注入关攻略

0x00 命令注入

payload:

127.0.0.1 | ipconfig

13||ipconfig

127.0.0.1&ipconfig

127.0.0.1&&ipconfig

上面的方式主要是通过管道符让系统执行了命令。‘

以下是常用的管道符：

0x01 windows系列支持的管道符

| 直接执行后面的语句

|| 如果前面执行的语句出错，则执行后面的语句，前面的语句只能为假

& 如果前面的语句为假则直接执行后面的语句，前面的语句可假可真

&& 如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句只能为真

0x02 linux支持的管道符：

; 执行完前面的语句再执行后面的语句

| 显示后面语句执行的结果

|| 当前面的语句执行出错时，执行后面的语句

& 如果前面的语句为假则直接执行后面的语句，前面的语句可假可真

&& 如果前面的语句为假则直接出错，也不执行后面的，前面的语句只能为真

0x01php代码注入

0x01 挑战1

由下图可以看出，页面直接输出了url中的参数data的值，

检测是否会造成代码执行，

http://127.0.0.1/btslab/vulnerability/phpinjection/challenge1.php?data=phpinfo()，

可以看到，这里存在命令注入漏洞

0x02 挑战2

页面将data参数的值转换为大写输出到了页面

再次测试，是否存在命令执行

payload：http://127.0.0.1/btslab/vulnerability/phpinjection/challenge2.php?data=phpinfo()

可以看到，服务器并没有解析执行，

再次尝试：http://127.0.0.1/btslab/vulnerability/phpinjection/challenge2.php?data=，发现页面没有输出，说明服务器存在过滤

payload：http://127.0.0.1/btslab/vulnerability/phpinjection/challenge2.php?data=${phpinfo()}

代码注入成功执行。

我们看看源码

其中最关键的就是preg_replace()函数。

其实最关键的还是正则表达式中的/e参数，正是由于该参数，preg_replace函数中的第二个参数replacement会被解析为php代码来执行，下面是官方文档说明

其实就是一句话，当正则表达式中存在/e参数时，preg_replace函数中的第二个参数replacement就会被当做是eval函数的参数来执行，这就是造成代码执行的原因所在。正是由于这个原因，所以在php版本的更新中可以看到，这个函数已经用 preg_replace_callback() 代替。

但是这里还有一个问题，如果有留意就会发现：

http://127.0.0.1/btslab/vulnerability/phpinjection/challenge2.php?data=phpinfo()没有代码执行；

http://127.0.0.1/btslab/vulnerability/phpinjection/challenge2.php?data=${phpinfo()}则会造成代码执行。

why???

两个请求的差别就在于${}，还是不明，why???

我们先看看，去掉e，正则匹配到的结果是啥，我们将之打印出来

可以从上图清楚的看到，正则匹配的结果是strtoupper("${phpinfo()}")，即在e匹配模式下，传递到eval()函数中的参数是strtoupper("${phpinfo()}")，所以最终的结果就是eval(strtoupper("${phpinfo()}"))这条语句执行的结果，

所以，这就是preg_replace函数会造成代码执行的根本原因。

为了对比，我们看看http://127.0.0.1/btslab/vulnerability/phpinjection/challenge2.php?data=phpinfo()，

正则匹配结果：strtoupper("phpinfo()")

执行结果eval(strtoupper("phpinfo()"))，函数phpinfo()并没有并解析执行