专栏首页渗透云笔记命令执行与代码执行漏洞原理

命令执行与代码执行漏洞原理

注:本文仅供参考学习

命令执行定义 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。

形成原因 脚本语言优点是简洁,方便,但也伴随着一些问题,如速度慢,无法解除系统底层,如果我们开发的应用需要一些除去web的特殊功能时,就需要调用一些外部程序。带来方便的同时也存在威胁。

漏洞危害 继承Web服务程序的权限去执行系统命令或读写文件 反弹shell 控制整个网站甚至控制服务器 进一步内网渗透

代码执行与命令执行的区别 命令执行漏洞: 直接调用操作系统命令(相当于在cmd下敲命令) 命令执行漏洞的原理:在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令(如添加一个名为admin 密码为admin的用户 net user admin admin/add net localgroup administrators admin /add 加入管理员组(赋予管理员权限))

command1&command2 两个命令同时执行
command1&&command2 只有前面命令执行成功,后面命令才继续执行
command1;command2 不管前面命令执行成功没有,后面的命令继续执行
command1||command2 顺序执行多条命令,当碰到执行正确的命令后将不执行后面的命令

命令执行常用函数

 1. System:system函数可以用来执行一个外部的应用程序并将相应的执行结果输出,函数原型如下:
 string system(string command, int&return_var)
其中,command是要执行的命令,return_var存放执行命令的执行后的状态值。
 2. Exec:exec函数可以用来执行一个外部的应用程序
string exec (string command, array&output, int &return_var)
其中,command是要执行的命令,output是获得执行命令输出的每一行字符串,return_var存放执行命令后的状态值。
 3.Passthru:passthru函数可以用来执行一个UNIX系统命令并显示原始的输出,当UNIX系统命令的输出是二进制的数据,并且需要直接返回值给浏览器时,需要使用passthru函数来替代system与exec函数。Passthru函数原型如下:
void passthru (string command, int&return_var)
其中,command是要执行的命令,return_var存放执行命令后的状态值。
 4. Shell_exec:执行shell命令并返回输出的字符串,函数原型如下:
string shell_exec (string command)
其中,command是要执行的命令。

代码执行漏洞: 应用程序在调用一些能够将字符串转换为代码的函数(如PHP中的eval)时,没有考虑用户是否控制这个字符串,将造成代码执行漏洞。 很难通过黑盒查找漏洞,大部分都是根据源代码判断代码执行漏洞。

代码执行相关函数: PHP: eval、assert、preg_replace()、+/e模式(PHP版本<5.5.0)

漏洞分类

**1.代码层过滤不严
 商业应用的一些核心代码封装在二进制文件中,在web应用中通过system函来调用:
system("/bin/program --arg$arg");
2.系统的漏洞造成命令注入
bash破壳漏洞(CVE-2014-6271)
3.调用的第三方组件存在代码执行漏洞
如WordPress中用来处理图片的ImageMagick组件
JAVA中的命令执行漏洞(struts2/ElasticsearchGroovy等)
ThinkPHP命令执行**

实战 下面来看看TP5.1的命令执行漏洞

在url添加上poc

/index.php?s=index/\think\Container/invokeFunction&function=call_user_func_array&vars[]=system&vars[1][]=dir

成功执行命令 TP的漏洞还有很多大家可以去试试

修复方案

1.尽量少用执行命令的函数或者直接禁用
2.参数值尽量使用引号包括
3.在使用动态函数之前,确保使用的函数是指定的函数之一
4.在进入执行命令的函数/方法之前,对参数进行过滤,对敏感字符进行转义
5.能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable_functions中禁用
6.对于可控点是程序参数的情况下,使用escapeshellcmd函数进行过滤,对于可控点是程序参数值的情况下,使用escapeshellarg函数进行过滤
7.参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义
而针对由特定第三方组件引发的漏洞,我们要做的就是及时打补丁,修改安装时的默认配置。

命令执行暂时总结到这里!

本文分享自微信公众号 - 渗透云笔记(shentouyun)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 网站渗透测试,看这篇就够了

    2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。

    天钧
  • 代码审计安全实践

    除了$_GET,$_POST,$_Cookie的提交之外,还来源于$_SERVER,$_ENV, $_SESSION 等register_globals = o...

    天钧
  • 小白应知的“黑客术语”

    最近有同学,问我,自己加了一些信息安全的群,发现大佬们说的话大多数都不懂,麻烦整理一章信息安全的术语方便自己收藏,我说可以,马上整理笔记。

    天钧
  • 专属| 940万名客户信息遭泄露

    据报道,日前大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,含有姓名、出生日期、住址等个人信息的护照信息也可...

    漏斗社区
  • 【DB笔试面试599】在Oracle中,如何在不执行SQL的情况下获取执行计划?

    1、“EXPLAIN PLAN FOR SQL”不实际执行SQL语句,生成的计划未必是真实执行的计划。但是,必须要有PLAN_TABLE表,可以执行脚本“@?/...

    小麦苗DBA宝典
  • 安恒信息加入《中国互联网协会漏洞信息披露和处置自律公约》

      【安恒信息 6月19日消息】为了规范漏洞信息披露和处置工作,在工业和信息化部网络安全管理局的指导下,中国互联网协会网络与信息安全工作委员会以行业自律的形式,...

    安恒信息
  • Web安全学习笔记

    https://github.com/LyleMi/Learn-Web-Hacking

    HACK学习
  • 《Web安全攻防》配套视频之DVWA,SQL实验平台搭建

    《Web安全攻防-渗透测试实战指南》,第一版次于2018年7月出版,一经上线,广受好评。得到了业内朋友多方面认可,着实是一本不可多得的web安全学习之书。

    用户1631416
  • Couchdb权限绕过和任意命令执行植入挖矿程序入侵分析

    安恒网络空间安全讲武堂
  • 揭秘:黑客利用Couchdb数据库中漏洞植入挖矿程序

    我们捕获了利用Couchdb权限绕过漏洞的攻击行为,攻击者通过创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序。

    安恒信息

扫码关注云+社区

领取腾讯云代金券