笔记网易微专业-Web安全工程师-04.WEB安全实战-3.命令注入

Posted KPlayer

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了笔记网易微专业-Web安全工程师-04.WEB安全实战-3.命令注入相关的知识,希望对你有一定的参考价值。

命令注入(Command Injection):是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。

前面的基础课程中,我们提到命令注入需要三个条件:

1. 是否调用系统命令?

2. 函数/参数是否可控?

3. 是否拼接输入?

具体怎么应用,我们在接下去的实战中学习和体会。

 

DVWA实战:

1. 打开phpStudy或xampp,运行Apach和mysql

2. 浏览器进入DVWA主界面,在左侧栏选择DVWA Security安全等级为Low,然后进入Command Injection;

3. 我们输入一个IP提交后,发现返回了对这个IP进行Ping的结果。

技术分享图片

注:如果返回乱码,可以试试如下方法:

找到DVWA目录下/dvwa/includes里的dvwaPage.inc.php文件,把字符集utf-8改为gb2312 ,保存一下便可。

// Send Headers + main html code
Header( ‘Cache-Control: no-cache, must-revalidate‘);   // HTTP/1.1
//Header( ‘Content-Type: text/html;charset=utf-8‘ );     // TODO- proper XHTML headers...
Header( ‘Content-Type: text/html;charset=gb2312‘ );     // TODO- proper XHTML headers...
Header( ‘Expires: Tue, 23 Jun 2009 12:00:00 GMT‘ );    // Date in the past

其实就跟我们自己进Windows的cmd里ping是一样的。因此,我们猜想后台肯定也是调用了系统的命令,并且将输入的参数进行拼接:

// Get input
    $target = $_REQUEST[ ‘ip‘ ];
    // Determine OS and execute the ping command.
    if( stristr( php_uname( ‘s‘ ), ‘Windows NT‘ ) ) {
        // Windows
        $cmd = shell_exec( ‘ping  ‘ . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( ‘ping  -c 4 ‘ . $target );
    }

因此,这边的提交操作满足了命令注入的三个条件,存在命令注入漏洞。

4. 如果我们输入123.125.114.144 && net user,那么会得到如下信息:

技术分享图片

一个简单的命令注入漏洞就这样被利用了,只需要常见的命令连接符(&,&&,|,||,;等)和系统命令,如果输入的命令更具威胁性,那么这个危害就更大了,例如在Linux下输入127.0.0.1&&cat /etc/shadow甚至可以读取shadow文件。

5. 接下去我们把安全等级调到medium,发现报错了:错误的参数 net。我们来看看后台的代码,发现对”&&” 、”;”进行过滤,本质上是黑名单的方式。

// Set blacklist
$substitutions = array(
    ‘&&‘ => ‘‘,
    ‘;‘  => ‘‘,
);

但是黑名单的过滤有限,我们可以利用&来攻击漏洞,输入123.125.114.144 & net user即可,另外,既然会把关键连接符过滤,何不反过来利用,构造&;&连接符,这样当;被过滤后,&&发挥了功效。

6. 接下去我们看看high等级的命令注入,发现上述方法也失效了,查看后台代码,发现对更多的命令连接符进行了过滤。

// Set blacklist
$substitutions = array(
    ‘&‘  => ‘‘,
    ‘;‘  => ‘‘,
    ‘| ‘ => ‘‘,
    ‘-‘  => ‘‘,
    ‘$‘  => ‘‘,
    ‘(‘  => ‘‘,
    ‘)‘  => ‘‘,
    ‘`‘  => ‘‘,
    ‘||‘ => ‘‘,
);

本质上仍然是黑名单的方式,所以仍然存在局限性。例如代码中的‘| ‘后面有个空格,因此,我们直接输入123.125.114.144|net user即可。

另外,对于无回显的情况,可以使用延时命令查看响应速度(如Windows下的ping 127.0.0.1 -n 5 > nul或Linux下的sleep 5)或搭建服务器查看是否有接收到请求(Windows下的ping,telnet或者Linux下的wget,curl等)等方法;

7. 最后我们来看看impossible等级的命令注入,发现用上述的方法不可行,而且报错信息也更改了:ERROR: You have entered an invalid IP。查看后台代码,发现对参数ip进行了严格的限制,只有“数字.数字.数字.数字”的输入才会被接收执行,有效的修复了命令注入漏洞。

// Get input
$target = $_REQUEST[ ‘ip‘ ];
$target = stripslashes( $target );
// Split the IP into 4 octects
$octet = explode( ".", $target );
// Check IF each octet is an integer
if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
// If all 4 octets are int‘s put the IP back together.
$target = $octet[0] . ‘.‘ . $octet[1] . ‘.‘ . $octet[2] . ‘.‘ . $octet[3];

 

实战心得:

使用白名单对用户输入的命令进行限制,尽量不要使用黑名单,最好是要遵守对一切输入不可信任的原则,对输入进行严格的校验。

以上是关于笔记网易微专业-Web安全工程师-04.WEB安全实战-3.命令注入的主要内容,如果未能解决你的问题,请参考以下文章

笔记网易微专业-Web安全工程师-04.WEB安全实战-3.命令注入

笔记网易微专业-Web安全工程师-04.WEB安全实战-5.文件包含

笔记网易微专业-Web安全工程师-04.WEB安全实战-9.XSS

笔记网易微专业-Web安全工程师-04.WEB安全实战-4.CSRF

笔记网易微专业-Web安全工程师-04.WEB安全实战-7.SQL回显注入

笔记网易微专业-Web安全工程师-04.WEB安全实战-8.SQL盲注