Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一
LOW
1 查看服务器端源代码
2 相关函数
stristr(string,search,before_search)
stristr函数搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点),如果未找到所搜索的字符串,则返回 FALSE
| 参数 | 描述 |
|---|---|
| string | 必需。规定被搜索的字符串。 |
| search | 必需。规定要搜索的字符串。 |
| 如果该参数是数字,则搜索匹配该数字对应的 ASCII 值的字符。 | |
| before_search | 可选。默认值为 "false" 的布尔值。 |
| 如果设置为 "true",它将返回 search 参数第一次出现之前的字符串部分。 |
php_uname() 返回了运行 PHP 的操作系统的描述
| 参数 | 描述 |
|---|---|
| ”a” | (此为默认,包含序列”s n r v m”里的所有模式) |
| ”s ” | (返回操作系统名称) |
| ”n” | (返回主机名) |
| ” r” | (返回版本名称) |
| ”v” | (返回版本信息) |
| ”m” | (返回机器类型)。 |
可以看到,服务器通过判断操作系统执行不同ping命令,但是对ip参数并未做任何的过滤,导致了严重的命令注入漏洞
命令执行漏洞概念:当web应用程序需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数 在远程服务器上执行任意系统命令
命令执行漏洞
常用命令执行函数
exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec() 、反引号` 实际上是使用shell_exec()函数
system() 输出并返回最后一行shell结果。
exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。
passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。
漏洞利用及绕过姿势
| 命令管道符
<>>> 文件重定向符
测试: 0 | dir c:
代码只过滤了部分特殊字符,可以考虑用其他字符进行测试,这边列举一下Window/Linux可利用的特殊字符:
windows支持:
| 直接执行后面的语句 ping 127.0.0.1|whoami
|| 前面出错执行后面的 ,前面为假 ping 2 || whoami
& 前面的语句为假则直接执行后面的,前面可真可假 ping 127.0.0.1&whoami
&&前面的语句为假则直接出错,后面的也不执行,前面只能为真 ping 127.0.0.1&&whoami
Linux支持:
; 前面的执行完执行后面的 ping 127.0.0.1;whoami
| 管道符,显示后面的执行结果 ping 127.0.0.1|whoami
ll 当前面的执行出错时执行后面的 ping 1||whoami
& 前面的语句为假则直接执行后面的,前面可真可假 ping 127.0.0.1&whoami
&&前面的语句为假则直接出错,后面的也不执行,前面只能为真 ping 127.0.0.1&&whoami
解题:
由服务端代码知 没有对特殊字符进行过滤
输入
127.0.0.1
输入
127.0.0.1&&net user
Linux下输入127.0.0.1&&cat /etc/shadow甚至可以读取shadow文件,可见危害之大
DVWA乱码问题的解决办法:
到DVWA安装目录下(.../WWW/DVWA-master/dvwa/includes)寻找文件dvwaPage.inc.php
-
打开这个文件,然后在全文查找charset=utf-8,将所有utf-8修改为gb2312。
注意:有好几处charset=utf-8,要全部修改成charset=gb2312。记得保存。
接下来再使用DVWA就不会乱码啦。
Medium
1 查看服务器端代码
str_replace() 函数替换字符串中的一些字符(区分大小写)
str_replace(find,replace,string,count)
| 参数 | 描述 |
|---|---|
| find | 必需。规定要查找的值。 |
| replace | 必需。规定替换 find 中的值的值。 |
| string | 必需。规定被搜索的字符串。 |
| count | 可选。一个变量,对替换数进行计数。 |
array_keys() 函数返回包含数组中所有键名的一个新数组
array_keys(array,value,strict)
| 参数 | 描述 |
|---|---|
| array | 必需。规定数组。 |
| value | 可选。您可以指定键值,然后只有该键值对应的键名会被返回。 |
| strict | 可选。与 value 参数一起使用。可能的值: |
| true - 返回带有指定键值的键名。依赖类型,数字 5 与字符串 "5" 是不同的。 | |
| false - 默认值。不依赖类型,数字 5 与字符串 "5" 是相同的。 |
运行实例
"XC90","BMW"=>"X5","Toyota"=>"Highlander");
print_r(array_keys($a));
?>
输出结果: Array ( [0] => Volvo [1] => BMW [2] => Toyota )
相比Low级别的代码,服务器端对ip参数做了一定过滤,即把”&&” 、”;”删除,本质上采用的是黑名单机制
但是对 "&" 没有进行过滤
”&&”与” &”的区别:
Command 1&&Command 2
先执行Command 1,执行成功后执行Command 2,否则不执行Command 2
Command 1&Command 2
先执行Command 1,不管是否成功,都会执行Command 2
所以可以输入
127.0.0.1&net user
由于使用的是str_replace把”&&” 、”;”替换为空字符,因此可以采用以下方式绕过:
127.0.0.1&;&ipconfig
这是因为”127.0.0.1&;&ipconfig”中的” ;”会被替换为空字符,这样一来就变成了”127.0.0.1&& ipconfig” ,会成功执行
High
服务器端核心代码
从源码可以知道
黑名单看似过滤了所有的非法字符,但仔细观察到是把”| ”(注意这里|后有一个空格)替换为空字符,于是 ”|”成了“漏网之鱼”。
127.0.0.1|net user
Command 1 | Command 2
“|”是管道符,表示将Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果
Impossible
服务端代码
相关函数
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠
stripslashes函数会删除字符串中的反斜杠,返回已剥离反斜杠的字符串
explode() 函数把字符串打散为数组
| 参数 | 描述 |
|---|---|
| separator | 必需。规定在哪里分割字符串。 |
| string | 必需。要分割的字符串。 |
| limit | 可选。规定所返回的数组元素的数目 |
is_numeric(string)
检测string是否为数字或数字字符串,如果是返回TRUE,否则返回FALSE。
Generate Anti-CSRF token
生成反CSRF令牌