安全漏洞从原理到实战--命令执行漏洞

一、命令执行漏洞简介

命令执行漏洞就是黑客可以直接在web应用中执行系统命令，从而获取敏感信息或者拿下shell权限。

命令执行漏洞成因

命令执行漏洞形成的原因是web服务器对用户输入的命令安全监测不足，导致恶意代码被执行。

命令执行漏洞分类

系统命令执行漏洞：传入系统命令

PHP代码执行漏洞：传入PHP代码

系统命令执行函数

1、system

含义

执行外部程序，并且显示输出

（2）语法

system ( string $command [, int &$return_var ] ) : string

2、exec函数

（1）含义

执行系统外部命令时不会输出结果，而是返回结果的最后一行。

（2）语法

function exec(string $command,array[optional] $output,int[optional] $return_value)

3、Passthru

（1）含义

passthru直接将结果输出到浏览器，不需要使用 echo 或 return 来查看结果，不返回任何值，且其可以输出二进制，比如图像数据。

（2）语法

function passthru(string $command,int[optional] $return_value)

4、反引号``与shell_exec()

shell_exec() 函数实际上仅是反撇号 (`) 操作符的变体

5、popen（）

popen() 函数打开进程文件指针。

6、proc_open

 执行一个命令，并且打开用来输入/输出的文件指针。

7、$env

$_env是环境变量。

PHP中的$_ENV是一个包含服务器端环境变量的数组。它是PHP中一个超级全局变量，我们可以在PHP 程序的任何地方直接访问它。

$_ENV只是被动的接受服务器端的环境变量并把它们转换为数组元素，你可以尝试直接输出它。

PHP代码执行漏洞

在PHP里面有一些函数将输入的字符串参数当做PHP代码执行。

PHP代码执行函数：eval、assert、preg_replace

eval函数

把字符串当成 PHP 代码来计算。

preg_replace函数

preg_replace 函数执行一个正则表达式的搜索和替换。

assert函数

assert函数检查一个断言是否为FALSE

防御命令执行漏洞函数

1、escapeshellarg()

把字符串转码为可以在 shell 命令里使用的参数

2、escapeshellcmd()

转义命令中的所有shell元字符，# &;`,|*?~<>^()[]{}$\\

系统命令执行漏洞拼接符

拼接符作用

|只执行第二个命令

||第一个命令执行成功则第二个命令不执行，若1失败，则执行2

&不管第一个命令是否执行成功都会执行第二个命令

&&必须两个命令都成功才执行

；第一个命令执行完成再执行第二个命令（linux系统）

命令执行漏洞实例

1、DVWA command injector   low

（1）使用&符号拼接命令，不管第一个命令是否执行成功都会执行第二个命令。

使用管道符，只执行第二个命令不执行第一个命令。

2、DVWA command injector   medium

（1）中级的命令注入漏洞过滤了&&

（2）&还是可以执行，也可以使用&&&绕过。

3、DVWA command injector   high

（1）high直接过滤了&等符号

（2）使用管道符绕过

4、DVWA command injector   impossible

（1）提交127.0.0.1&whoami，发现&等特殊字符，whoami等敏感词被过滤了

（2）无法绕过

5、pikachu

（1）exec ping

提交www.baidu.com&dir，普通拼接即可绕过

（2）exec “eval”

提交system(‘dir’);

提交phpinfo();