0


2022-10-11(一、远程命令执行和系统命令执行)

文章目录

命令执行

命令执行漏洞是指攻击者可以随意执行系统命令
分为

  • RCE (远程命令执行(远程代码执行))
  • 系统命令执行两类。

原理

程序应用有时候需要调用一些系统命令的函数,如PHP中的

system

exec

shell_exec

passthru

popen

proc_popen

等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。

现在很多的甲方企业都开始实施自动化运维,大量的系统操作会通过"自动化运维平台"进行操作。 在这种平台上往往会出现远程系统命令执行的漏洞。

危害

1.继承Web服务程序的权限去执行系统命令(任意代码)或读写文件
2.反弹shell
3.控制整个网站甚至控制服务器
4.进一步内网渗透

RCE

RCE(remote command/code execute)
远程命令执行(远程代码执行)

RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。

管道符号

Linux常用管道符

;

前面的执行完执行后面的,

排队
|

前面命令的打印

结果

作为后面命令的

输入
||

当前面的执行

出错

时,执行后面的

&

相当于or,前面

无论真假

都会执行后面的

&&

相当于and,

前假后不执行,前真后执行

Windows常用管道符

“|”、“||”、“&”、“&&”和Linux同理

远程执行常用函数

执行系统命令:

assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open,``(反单引号)

1.exec()
命令执行结果的最后一行内容,如果你需要获取未经处理的全部输出数据,使用passthru()函数
2.system()
输出执行结果,返回最后一行。
如果PHP运行在服务器模块中,system()函数还会尝试在每行输出完毕之后,自动刷新web服务器的输出缓存。
3.passthru()
执行外部程序并且显示原始输出。同exec()函数类似,passthru()函数也是用来执行外部命令的。当所执行的Unix命令输出二进制数据,并且需要直接传送到浏览器的时候,需要用此函数来替代exec()或system()函数。常用来执行诸如pbmplus之类的可以直接输出图像流的命令。
4.shell_exec()
通过shell环境执行命令,并且将完整的输出以字符串的方式返回。该函数会在错误出现或者程序执行没有输出两种情况下返回NULL,也就是说,没有办法通过该函数检测程序执行失败(可以改用exec)。
5.popen()
打开一个指向进程的管道,该进程由派生指定的 command 命令执行而产生。返回一个和 fopen() 所返回的相同的文件指针,只不过它是单向的(只能用于读或写),此指针可以用于 fgets(),fgetss() 和 fwrite()。并且必须用 pclose() 来关闭。若出错,则返回 false。
6.proc_open()
执行一个命令,并且打开用来输入/输出的文件指针。

代码执行与加密:

eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13

eval()和assert()都是把字符串当PHP代码,但用法不同,eval是语言构造器,不是函数,不能被可变函数使用。

直接查看源码,发现后台使用了evel()函数来处理用户输入的内容,如果不是evel要处理的格式就输出“你喜欢的字符还挺奇怪的!”。因此我们可以构造一个特殊内容触发evel函数执行,我们尝试输入:phpinfo(),页面直接将phpinfo()的内容显示了出来。

文件包含与生成:

require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite

PHP代码执行函数

1.evel():传入的参数必须为PHP代码,既需要以分号结尾。
2.assert():直接将传入的参数当成PHP代码执行,不需要以分号结尾,当然加上也可以。
3.preg_replace():#preg_replace(‘正则规则’,‘替换字符’,‘目标字符’)
#执行命令和上传文件参考assert函数(不需要加分号)。
#将目标字符中符合正则规则的字符替换为替换字符,此时如果正则规则中使用/e修饰符,则存在代码执行漏洞。
4.create_function():创建匿名函数执行代码。
5.array_map(): 函数将用户自定义函数作用到数组中的每个值上,并返回用户自定义函数作用后的带有新值的数组。回调函数接受的参数数目应该和传递给 array_map() 函数的数组数目一致。
6.call_user_func():传入的参数作为assert函数的参数。
7.call_user_func_array():将传入的参数作为数组的第一个值传递给assert函数。
8.array_filter():用回调函数过滤数组中的元素:array_filter(数组,函数)
9、uasort():

敏感文件

利用远程命令执行漏洞可以读取一些操作系统的敏感文件,从而获取重要信息。
Windows系统敏感信息:
C:\boot.ini //查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
C:\windows\repair\sam //windows初次安装的密码
C:\program Files\mysql\my.ini //Mysql配置信息
C:\program Files\mysql\data\mysql\user.MYD //Mysql root C:\windows\php.ini //php配置信息

Linux系统敏感信息:
/etc/passwd //linux用户信息
/usr/local/app/apache2/conf/httpd.conf //apache2配置文件
/usr/local/app/php5/lib/php.ini //php配置文件
/etc/httpd/conf/httpd.conf //apache配置文件
/etc/my.cnf //Mysql配置文件

例子

在URL后面拼接:"

?a=var_dump(file_get_contents(‘C:\Windows\System32\drivers\etc\hosts’))

",执行代码,获取hosts文件信息

在URL后拼接:"

?a=var_dump(file_get_contents(‘C:\Windows\win.ini’))

",执行代码,获取win.ini文件信息

利用远程命令执行漏洞可以执行一句话木马,从而GetShell,借助WebShell工具连接一句话木马。

在URL后拼接

?a=@eval($_POST[666])

,执行代码,构造一句话木马

加固

  • 实施严格的白名单策略
  • 加入Anti-CSRF token
  • 尽量不要使用命令执行函数。
  • 在使用动态函数之前,确保使用的函数是指定的函数之一。
  • 对PHP语言来说,不能完全控制的危险函数最好不要使用。

参考

  • 命令执行漏洞之远程命令执行和系统命令执行
  • 远程命令执行和远程代码执行
  • linux之管道符详解
  • 12.远程代码执行和远程命令执行
标签: php 安全 服务器

本文转载自: https://blog.csdn.net/qq_45751902/article/details/127254389
版权归原作者 空白行 所有, 如有侵权,请联系我们删除。

“2022-10-11(一、远程命令执行和系统命令执行)”的评论:

还没有评论