命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass(空格,关键字过滤,变量绕过)-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping
命令執(zhí)行
命令執(zhí)行是一種攻擊,其目標(biāo)是通過易受攻擊的應(yīng)用程序在主機(jī)操作系統(tǒng)上執(zhí)行任意命令。當(dāng)應(yīng)用需要調(diào)用一些外部程序去處理內(nèi)容的情況下,就會用到一些執(zhí)行系統(tǒng)命令的函數(shù)。
比如PHP中的system,exec,shell_exec等,當(dāng)用戶可以控制命令執(zhí)行中的參數(shù)時(shí),將可注入惡意系統(tǒng)命令到正常命令中,造成命令執(zhí)行攻擊。
簡單舉例來說就是,比如想要創(chuàng)建一個(gè)目錄,可能不會用代碼創(chuàng)建,但是知道系統(tǒng)命令是mkdir,借助系統(tǒng)命令mkdir來創(chuàng)建目錄。
舉例:cp /tmp/sourcefile /app/public/#{userinput}.jpg
cp是copy拷貝,將sourcefile拷貝到圖片中去
如果用戶的輸入(userinput)是aaa;cat /flag,那么還會讀取flag中的內(nèi)容
命令注入是一種常見的 漏洞形態(tài)。一旦存在命令注入漏洞,攻擊者就可以在目標(biāo)系統(tǒng)執(zhí)行任意命令。
命令注入攻擊常用在向程序傳入不安全參數(shù)(命令行參數(shù)、http頭、cookie)。
注意:命令執(zhí)行需要:
1.執(zhí)行系統(tǒng)命令
2.執(zhí)行的系統(tǒng)命令(參數(shù))至少是可控的(或者部分可控),傳參的地方就是用戶可控的地方
命令執(zhí)行繼承Web Server用戶的權(quán)限,一般都有權(quán)限寫文件,寫馬、查看隱私信息、竊取源碼,甚至可以反彈shell,危害十分大。
(用戶通過服務(wù)器執(zhí)行了php代碼實(shí)現(xiàn)執(zhí)行系統(tǒng)命令,所以說“命令執(zhí)行繼承Web Server用戶的權(quán)限”)
一般Linux下最高權(quán)限是root,Web server下一般是www-data權(quán)限
漏洞位點(diǎn)
程序過濾不嚴(yán)謹(jǐn),導(dǎo)致用戶可以將代碼注入并執(zhí)行。
高危函數(shù):
eval(),assert(),preg_replace(),call_user_func()等等
對于執(zhí)行命令的函數(shù),參數(shù)過濾不嚴(yán)謹(jǐn),導(dǎo)致直接命令執(zhí)行。
高危函數(shù):
system(),exec(),shell_exec(),passthru(),pctnl_exec(),popen(),proc_open()
注:反引號是shell_exec()的別名
比如echo ls
代碼注入
程序過濾不嚴(yán)謹(jǐn),導(dǎo)致用戶可以將代碼注入并執(zhí)行。
高危漏洞:
eval(),assert(),preg_replace(),call_user_func()等等
和命令執(zhí)行的 區(qū)別是:
一個(gè)執(zhí)行系統(tǒng)命令,一個(gè)執(zhí)行PHP代碼
漏洞利用
看一個(gè)Demo:
<?php if (isset($_GET['ip'])){$ip = $_GET['ip'];echo shell_exec("ping -c 4 " . $ip); }else{highlight_file(__file__); }正常情況下,輸入主機(jī)地址,則正常返回命令執(zhí)行結(jié)果
代碼中的ip參數(shù)是直接通過GET方式傳入并直接帶入了命令中,這時(shí)嘗試一下使用分隔符并添加一條命令
127.0.0.1;ls -l
聯(lián)合執(zhí)行
分號
cmd1;cmd2;cmd3
cmd1將首先運(yùn)行,不管cmd1運(yùn)行成功還是出現(xiàn)錯(cuò)誤,cmd2都會在它之后運(yùn)行,當(dāng)cmd2命令完成時(shí),cmd3將會運(yùn)行
三個(gè)命令互不干擾
&&
有時(shí)候希望確保Linux命令中,只有在前一個(gè)命令成功結(jié)束時(shí),下一個(gè)命令才會執(zhí)行。這就是邏輯和運(yùn)算符&&出現(xiàn)的地方
cmd1 && cmd2 && cmd3
當(dāng)?shù)谝粋€(gè)命令出現(xiàn)錯(cuò)誤時(shí),&&分隔符的命令會停止執(zhí)行后面的命令。
||
可以使用邏輯操作符(||)運(yùn)行命令行,但是只有在前一個(gè)命令出現(xiàn)錯(cuò)誤時(shí)才運(yùn)行下一個(gè)命令:
cmd1 || cmd2 || cmd3
如果cmd1運(yùn)行失敗,則運(yùn)行cmd2。如果cmd2運(yùn)行成功,cmd3將不會運(yùn)行。
|
前一個(gè)命令的結(jié)果作為后一個(gè)命令的參數(shù)
cmd1 | cmd2
例如:
echo xxx | base64
換行符
%0a
%0d
練習(xí):actf2020exec 平臺BUUCTF
首先嘗試127.0.0.1
127.0.0.1;ls
;cat /flag
得到flag是flag{3e9af367-c215-4a33-9196-4b5314327d9f}
Bypass
過濾空格
$IFS
${IFS} //加{}是為了區(qū)分(間隔)
$IFS$9
< //在Linux中<表示導(dǎo)入
<>
{cat,flag.php} //用逗號實(shí)現(xiàn)了空格功能,需要用{}括起來
%20
%09
過濾某關(guān)鍵字
練習(xí)題目:
空格過濾
顯然過濾了很多東西:
不報(bào)錯(cuò)了:(查看源代碼得到flag)
flag{0af120ba-cd98-43e9-a099-3f9abac9de96}
變量
(上面那道GXYCTF就是一道用變量解決的例子)
PS補(bǔ)充
1.awd比賽中:無法刪去別人的 馬
www-data和ctf/test不屬于一個(gè)用戶組
解決辦法:自己寫一個(gè)馬給自己,通過蟻劍連接Web Shell,通過這個(gè)Web shell去刪除別人 的Web shell
2.如果別人中的馬是每隔1秒寫一個(gè)馬,如何解決?
(如果別人的馬是通過網(wǎng)頁寫的)
給自己寫個(gè)馬,連接Web shell (使自己變成www-data組的用戶),再去執(zhí)行kill -9 -1
若對方是(不是通過網(wǎng)頁寫的):
那么應(yīng)該我應(yīng)該執(zhí)行:
3.反彈shell
如果已知IP和端口號:
總結(jié)
以上是生活随笔為你收集整理的命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass(空格,关键字过滤,变量绕过)-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Booster 系列之——多线程优化
- 下一篇: bzoj2561 最小生成树