命令執(zhí)行

命令執(zhí)行是一種攻擊，其目標(biāo)是通過(guò)易受攻擊的應(yīng)用程序在主機(jī)操作系統(tǒng)上執(zhí)行任意命令。當(dāng)應(yīng)用需要調(diào)用一些外部程序去處理內(nèi)容的情況下，就會(huì)用到一些執(zhí)行系統(tǒng)命令的函數(shù)。

比如PHP中的system,exec,shell_exec等，當(dāng)用戶可以控制命令執(zhí)行中的參數(shù)時(shí)，將可注入惡意系統(tǒng)命令到正常命令中，造成命令執(zhí)行攻擊。

簡(jiǎn)單舉例來(lái)說(shuō)就是，比如想要?jiǎng)?chuàng)建一個(gè)目錄，可能不會(huì)用代碼創(chuàng)建，但是知道系統(tǒng)命令是mkdir，借助系統(tǒng)命令mkdir來(lái)創(chuàng)建目錄。
舉例：cp /tmp/sourcefile /app/public/#{userinput}.jpg
cp是copy拷貝，將sourcefile拷貝到圖片中去
如果用戶的輸入（userinput）是aaa;cat /flag，那么還會(huì)讀取flag中的內(nèi)容

命令注入是一種常見(jiàn)的 漏洞形態(tài)。一旦存在命令注入漏洞，攻擊者就可以在目標(biāo)系統(tǒng)執(zhí)行任意命令。

命令注入攻擊常用在向程序傳入不安全參數(shù)（命令行參數(shù)、http頭、cookie）。

注意：命令執(zhí)行需要：
1.執(zhí)行系統(tǒng)命令
2.執(zhí)行的系統(tǒng)命令（參數(shù)）至少是可控的（或者部分可控），傳參的地方就是用戶可控的地方

命令執(zhí)行繼承Web Server用戶的權(quán)限，一般都有權(quán)限寫文件，寫馬、查看隱私信息、竊取源碼，甚至可以反彈shell，危害十分大。
（用戶通過(guò)服務(wù)器執(zhí)行了php代碼實(shí)現(xiàn)執(zhí)行系統(tǒng)命令，所以說(shuō)“命令執(zhí)行繼承Web Server用戶的權(quán)限”）

一般Linux下最高權(quán)限是root，Web server下一般是www-data權(quán)限

漏洞位點(diǎn)

程序過(guò)濾不嚴(yán)謹(jǐn)，導(dǎo)致用戶可以將代碼注入并執(zhí)行。

高危函數(shù)：
eval(),assert(),preg_replace(),call_user_func()等等

對(duì)于執(zhí)行命令的函數(shù)，參數(shù)過(guò)濾不嚴(yán)謹(jǐn)，導(dǎo)致直接命令執(zhí)行。

高危函數(shù)：
system(),exec(),shell_exec(),passthru(),pctnl_exec(),popen(),proc_open()
注：反引號(hào)是shell_exec()的別名

比如echo ls

代碼注入

程序過(guò)濾不嚴(yán)謹(jǐn)，導(dǎo)致用戶可以將代碼注入并執(zhí)行。

高危漏洞：
eval(),assert(),preg_replace(),call_user_func()等等

和命令執(zhí)行的 區(qū)別是：
一個(gè)執(zhí)行系統(tǒng)命令，一個(gè)執(zhí)行PHP代碼

漏洞利用

看一個(gè)Demo：

<?php if (isset($_GET['ip'])){$ip = $_GET['ip'];echo shell_exec("ping -c 4 " . $ip); }else{highlight_file(__file__); }

正常情況下，輸入主機(jī)地址，則正常返回命令執(zhí)行結(jié)果

代碼中的ip參數(shù)是直接通過(guò)GET方式傳入并直接帶入了命令中，這時(shí)嘗試一下使用分隔符并添加一條命令

127.0.0.1;ls -l

聯(lián)合執(zhí)行

分號(hào)

cmd1;cmd2;cmd3

cmd1將首先運(yùn)行，不管cmd1運(yùn)行成功還是出現(xiàn)錯(cuò)誤，cmd2都會(huì)在它之后運(yùn)行，當(dāng)cmd2命令完成時(shí)，cmd3將會(huì)運(yùn)行

三個(gè)命令互不干擾

&&

有時(shí)候希望確保Linux命令中，只有在前一個(gè)命令成功結(jié)束時(shí)，下一個(gè)命令才會(huì)執(zhí)行。這就是邏輯和運(yùn)算符&&出現(xiàn)的地方

cmd1 && cmd2 && cmd3

當(dāng)?shù)谝粋€(gè)命令出現(xiàn)錯(cuò)誤時(shí)，&&分隔符的命令會(huì)停止執(zhí)行后面的命令。

｜｜

可以使用邏輯操作符（｜｜）運(yùn)行命令行，但是只有在前一個(gè)命令出現(xiàn)錯(cuò)誤時(shí)才運(yùn)行下一個(gè)命令：

cmd1 || cmd2 || cmd3

如果cmd1運(yùn)行失敗，則運(yùn)行cmd2。如果cmd2運(yùn)行成功,cmd3將不會(huì)運(yùn)行。

｜

前一個(gè)命令的結(jié)果作為后一個(gè)命令的參數(shù)

cmd1 | cmd2

例如：

echo xxx | base64

換行符
%0a
%0d

練習(xí):actf2020exec 平臺(tái)BUUCTF

首先嘗試127.0.0.1

127.0.0.1;ls

;cat /flag

得到flag是flag{3e9af367-c215-4a33-9196-4b5314327d9f}

Bypass

過(guò)濾空格
$IFS
${IFS} //加{}是為了區(qū)分（間隔）
$IFS$9
< //在Linux中<表示導(dǎo)入
<>
{cat,flag.php} //用逗號(hào)實(shí)現(xiàn)了空格功能，需要用{}括起來(lái)
%20
%09

過(guò)濾某關(guān)鍵字

練習(xí)題目：

空格過(guò)濾

顯然過(guò)濾了很多東西：


不報(bào)錯(cuò)了：（查看源代碼得到flag）

flag{0af120ba-cd98-43e9-a099-3f9abac9de96}

變量

（上面那道GXYCTF就是一道用變量解決的例子）

PS補(bǔ)充

1.awd比賽中：無(wú)法刪去別人的 馬

www-data和ctf/test不屬于一個(gè)用戶組
解決辦法：自己寫一個(gè)馬給自己，通過(guò)蟻劍連接Web Shell，通過(guò)這個(gè)Web shell去刪除別人 的Web shell

2.如果別人中的馬是每隔1秒寫一個(gè)馬，如何解決？

（如果別人的馬是通過(guò)網(wǎng)頁(yè)寫的）
給自己寫個(gè)馬，連接Web shell (使自己變成www-data組的用戶)，再去執(zhí)行kill -9 -1

若對(duì)方是（不是通過(guò)網(wǎng)頁(yè)寫的）：

那么應(yīng)該我應(yīng)該執(zhí)行：

3.反彈shell
如果已知IP和端口號(hào)：

總結(jié)

以上是生活随笔為你收集整理的命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass（空格，关键字过滤，变量绕过）-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。