• 【笔记】网易微专业-Web安全工程师-04.WEB安全实战-3.命令注入


    命令注入(Command Injection):是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。

    前面的基础课程中,我们提到命令注入需要三个条件:

    1. 是否调用系统命令?

    2. 函数/参数是否可控?

    3. 是否拼接输入?

    具体怎么应用,我们在接下去的实战中学习和体会。

    DVWA实战:

    1. 打开phpStudy或xampp,运行Apach和MySQL;

    2. 浏览器进入DVWA主界面,在左侧栏选择DVWA Security安全等级为Low,然后进入Command Injection;

    3. 我们输入一个IP提交后,发现返回了对这个IP进行Ping的结果。

    注:如果返回乱码,可以试试如下方法:

    找到DVWA目录下/dvwa/includes里的dvwaPage.inc.php文件,把字符集utf-8改为gb2312 ,保存一下便可。

    // Send Headers + main HTML code
    Header( 'Cache-Control: no-cache, must-revalidate');   // HTTP/1.1
    //Header( 'Content-Type: text/html;charset=utf-8' );     // TODO- proper XHTML headers...
    Header( 'Content-Type: text/html;charset=gb2312' );     // TODO- proper XHTML headers...
    Header( 'Expires: Tue, 23 Jun 2009 12:00:00 GMT' );    // Date in the past

    其实就跟我们自己进Windows的cmd里ping是一样的。因此,我们猜想后台肯定也是调用了系统的命令,并且将输入的参数进行拼接:

    // Get input
        $target = $_REQUEST[ 'ip' ];
        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

    因此,这边的提交操作满足了命令注入的三个条件,存在命令注入漏洞。

    4. 如果我们输入123.125.114.144 && net user,那么会得到如下信息:

    一个简单的命令注入漏洞就这样被利用了,只需要常见的命令连接符(&,&&,|,||,;等)和系统命令,如果输入的命令更具威胁性,那么这个危害就更大了,例如在Linux下输入127.0.0.1&&cat /etc/shadow甚至可以读取shadow文件。

    5. 接下去我们把安全等级调到medium,发现报错了:错误的参数 net。我们来看看后台的代码,发现对”&&” 、”;”进行过滤,本质上是黑名单的方式。

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    但是黑名单的过滤有限,我们可以利用&来攻击漏洞,输入123.125.114.144 & net user即可,另外,既然会把关键连接符过滤,何不反过来利用,构造&;&连接符,这样当;被过滤后,&&发挥了功效。

    6. 接下去我们看看high等级的命令注入,发现上述方法也失效了,查看后台代码,发现对更多的命令连接符进行了过滤。

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    本质上仍然是黑名单的方式,所以仍然存在局限性。例如代码中的'| '后面有个空格,因此,我们直接输入123.125.114.144|net user即可。

    另外,对于无回显的情况,可以使用延时命令查看响应速度(如Windows下的ping 127.0.0.1 -n 5 > nul或Linux下的sleep 5)或搭建服务器查看是否有接收到请求(Windows下的ping,telnet或者Linux下的wget,curl等)等方法;

    7. 最后我们来看看impossible等级的命令注入,发现用上述的方法不可行,而且报错信息也更改了:ERROR: You have entered an invalid IP。查看后台代码,发现对参数ip进行了严格的限制,只有“数字.数字.数字.数字”的输入才会被接收执行,有效的修复了命令注入漏洞。

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );
    // Split the IP into 4 octects
    $octet = explode( ".", $target );
    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
    // If all 4 octets are int's put the IP back together.
    $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

    实战心得:

    使用白名单对用户输入的命令进行限制,尽量不要使用黑名单,最好是要遵守对一切输入不可信任的原则,对输入进行严格的校验。

  • 相关阅读:
    IE8使用chrome内核渲染
    JS中的call()方法和apply()方法用法总结(挺好 转载下)
    解决雷达图文字显示不全问题
    echarts legend文字配置多个颜色(转)
    vue中Axios的封装和API接口的管理
    echarts 折线拐点收藏
    echarts 折线图自定义颜色与修改legend颜色
    MUI框架 按钮点击响应不好的问题解决办法
    ECharts将折线变平滑和去掉点的属性
    单例模式——创建型模式01
  • 原文地址:https://www.cnblogs.com/kplayer/p/8467607.html
Copyright © 2020-2023  润新知