命令执行漏洞的成因:
脚本语言(如PHP )优点是简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要-些除去web的特殊功能时,就需要调用一些外部程序。当应用需要调用一些外部程序去处理内容的情况下, 就会用到些执行系统命令的函数。如PHP中的system、exec. shell exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。
PHP中调用外部程序的主要有以下函数:
system
exec
shell_exec
passthru
popen
proc_popen
全局搜索这些函数,观察是否可以控制。
命令执行漏洞的防御:
可控点为待执行的程序
$arg = $_GET[‘cmd’];
if($arg){
system(“$arg”);
}
?>
[if !supportLists]l [endif]/?cmd=id
[if !supportLists]l [endif]/?cmd=pwd
[if !supportLists]l [endif]/?cmd=ifconfig
可控点是传入程序的整个参数(无引号包裹)
$arg = $_GET[‘cmd’];
if($arg){
system(“ping -c 3 $arg”);
}
?>
我们能够控制的点是程序的整个参数,我们可以直接用&&或|等等,利用与、或、管道命令来执行其他命令。
/?cmd=127.0.0.1| ifconfig
可控点是某个参数的值(有双引号包裹)
$arg = $_GET[‘cmd’];
if($arg){
system(“ls -al \”$arg\””);
}
?>
闭合双引号。
/?cmd=/home” | ifconfig;”
可控点是某个参数的值(有单引号包裹)
$arg = $_GET[‘cmd’];
if($arg){
system(“ls -al ‘$arg’ ”);
}
?>
在单引号内的话,只是一个字符串,因此想要执行命令必须闭合单引号。
/cmd?=/home’ |ifconfig’
命令执行漏洞的防御:
1、能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable functions中禁用之。
2、对于可控点是程序参数的情况,使用escapeshellcmd函数进行过滤。
3、对于可控点是程序参数的值的情况,使用escapeshellarg函数进行过滤。
4、参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义。