命令执行漏洞小结

当应用程序调用一些可执行命令的函数,如PHP中 eval assert system
preg_replace call_user_func 等等函数,当函数参数变成可控参数时
就可以将恶意的命令拼接到正常命令中,造成命令执行

这里在本地搭建了dvwa 环境进行漏洞的测试

进入命令执行测试界面

输入点输入ip可以执行ping命令

接下来看一下源代码(low)

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

// Get input
$target = $_REQUEST[ 'ip' ];
$target = stripslashes( $target );

// Split the IP into 4 octects
$octet = explode( ".", $target );

// Check IF each octet is an integer
if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
// If all 4 octets are int's put the IP back together.
$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping  ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping  -c 4 ' . $target );
}
// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
else {
// Ops. Let the user name theres a mistake
echo '<pre>ERROR: You have entered an invalid IP.</pre>';
}
}
// Generate Anti-CSRF token
generateSessionToken();
?> 

代码对于输入的命令没有温和过滤,可以利用管道符来执行我们想执行的命令

Linux常见的管道符这里也做一下总结:

  • “;”:执行完前面的语句在执行后面的
  • “|”:显示后面语句的执行结果
  • “||”:当前面语句执行出错时,执行后面的语句
  • “&”:如果前面的语句为假则直接执行后面的语句,前面的语句可真可假
  • “&&”:如果前面的语句为假则直接出错,不执行后面的,前面的语句只能为真

这里我们输入127.0.0.1|whoami

成功的执行了“|”后面的命令

然后分别查看medium和high级别的黑名单代码段

可以看到medium等级只过滤了“&&”和“;” ,我们仍然可以用“|”绕过

对于high等级,我们可以用127.0.0.1&|&whoami进行绕过

命令执行常出现在可以执行某些命令的模块,并且该模块具有可控的输入点,如果过滤做的没有那么完整,很可能触发命令执行漏洞

几点避免命令执行漏洞的建议

  • 尽量不要使用命令执行函数
  • 客户端提交的变量在进入命令执行函数前要做好过滤和检测
  • 对于PHP语言,不能完全控制的危险函数最好不要用