DVWA靶场实战(二)

二、Command Injection:

1.漏洞介绍:

  Command Injection,中文叫做命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序常见的脚本漏洞之一。

2.漏洞成因:

  (1)外部参数可控:

    应用程序调用了执行系统命令的函数,比如服务器程序通过system、eval、exec等函数直接或者间接的调用cmd.exe。

  (2)内部拼接命令:

    服务器将输入的恶意参数拼接到正常命令中,从而执行命令造成攻击。

3.漏洞危害:

  黑客如果能够利用命令执行漏洞,那么将像控制自己电脑一样控制,自由的进行操作,比如关闭防火墙、查询密码、开启远程服务等操作。

4.防御措施:

  (1)设计者尽可能少设计使用一些命令执行函数。

  (2)若有必要使用,那么必须对特殊函数做过滤,对用户输入的命令做检查,对客户端提交的变量在进入执行命令前做好过滤和检查等。

5.攻击方法:

  可以用以下命令来拼接输入的命令:

    ·A;BA

      →不论正确与否都会执行B

    ·A&B

      →A后台运行,A和B同时执行

    ·A&&B

      →A执行成功后才会执行B

    ·A|B

      →A执行的输出结果作为B命令的参数,A不论正确与否,都会执行B

    ·A||B

      →A执行失败后才会执行B的命令

6.实战:

  在开始实战前有个注意事项,在Low级别下,尝试用“127.0.0.1&&ipconfig”命令进行注入后,发现会有乱码情况。那么解决的方法如下:

    ①在DVWA的安装目录下(……/WWW/DVWA-master/dvwa/includes)找到文件“dvwaPage.inc.php”

    ②打开这个文件,然后全文查找charest=utf-8,有好几处charest=utf-8,然后全部修改成为charest=gb2312

    ③接下来就不会有乱码了

  接下来正式进入实战环节:

    (1)Low:

      ①代码分析:

  1. <?php
  2.  
  3. if( isset( $_POST[ 'Submit' ] ) ) {
  4. // Get input
  5. $target = $_REQUEST[ 'ip' ];
  6.  
  7. // Determine OS and execute the ping command.
  8. if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
  9. // Windows
  10. $cmd = shell_exec( 'ping ' . $target );
  11. }
  12. else {
  13. // *nix
  14. $cmd = shell_exec( 'ping -c 4 ' . $target );
  15. }
  16.  
  17. // Feedback for the end user
  18. $html .= "<pre>{$cmd}</pre>";
  19. }
  20.  
  21. ?>

        可以看到这里直接将target变量放入shell_exec()执行ping命令,没有任何过滤,用户端可以直接拼接特定的命令,来执行并获取想要的信息。

        首先测试“127.0.0.1”这里加上后台命令后就是“ping 127.0.0.1”

        接下去,测试“127.0.0.1&&ipconfig”,执行命令为“ping 127.0.0.1 && ipconfig”,这里结果如下:

        最后尝试“127.0.0.1 && ipconfig && systeminfo”,没问题,可以通过构造恶意传参系统命令或者直接传木马。

  (2)Medium

    代码分析:

  1. <?php
  2.  
  3. if( isset( $_POST[ 'Submit' ] ) ) {
  4. // Get input
  5. $target = $_REQUEST[ 'ip' ];
  6.  
  7. // Set blacklist
  8. $substitutions = array(
  9. '&&' => '',
  10. ';' => '',
  11. );
  12.  
  13. // Remove any of the charactars in the array (blacklist).
  14. $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
  15.  
  16. // Determine OS and execute the ping command.
  17. if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
  18. // Windows
  19. $cmd = shell_exec( 'ping ' . $target );
  20. }
  21. else {
  22. // *nix
  23. $cmd = shell_exec( 'ping -c 4 ' . $target );
  24. }
  25.  
  26. // Feedback for the end user
  27. $html .= "<pre>{$cmd}</pre>";
  28. }
  29.  
  30. ?>

    这里设置了“黑名单过滤规则”,但是只起到了过滤两种字符分别是“&&”和“;”两种字符,但可以想办法绕过。比如“127.0.0.1 & ipconfig”、“127.0.0.1 | ipconfig”、“111 || ipconfig”等

  (3)High:

    代码分析:

  1. <?php
  2.  
  3. if( isset( $_POST[ 'Submit' ] ) ) {
  4. // Get input
  5. $target = trim($_REQUEST[ 'ip' ]);
  6.  
  7. // Set blacklist
  8. $substitutions = array(
  9. '&' => '',
  10. ';' => '',
  11. '| ' => '',
  12. '-' => '',
  13. '$' => '',
  14. '(' => '',
  15. ')' => '',
  16. '`' => '',
  17. '||' => '',
  18. );
  19.  
  20. // Remove any of the characters in the array (blacklist).
  21. $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
  22.  
  23. // Determine OS and execute the ping command.
  24. if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
  25. // Windows
  26. $cmd = shell_exec( 'ping ' . $target );
  27. }
  28. else {
  29. // *nix
  30. $cmd = shell_exec( 'ping -c 4 ' . $target );
  31. }
  32.  
  33. // Feedback for the end user
  34. $html .= "<pre>{$cmd}</pre>";
  35. }
  36.  
  37. ?>

    这里虽然看上去有有些敏感字符被过滤了,但是“|”的后面明显有个空格,意思就是只要不使用空格还是可以绕过的,比如“127.0.0.1 |ipconfig”就是仍然生效的。当然,ipconfig指令也是可以替换的。

 (4)Impossible:

    代码分析:

  1. <?php
  2.  
  3. if( isset( $_POST[ 'Submit' ] ) ) {
  4. // Check Anti-CSRF token
  5. checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
  6.  
  7. // Get input
  8. $target = $_REQUEST[ 'ip' ];
  9. $target = stripslashes( $target );
  10.  
  11. // Split the IP into 4 octects
  12. $octet = explode( ".", $target );
  13.  
  14. // Check IF each octet is an integer
  15. if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
  16. // If all 4 octets are int's put the IP back together.
  17. $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
  18.  
  19. // Determine OS and execute the ping command.
  20. if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
  21. // Windows
  22. $cmd = shell_exec( 'ping ' . $target );
  23. }
  24. else {
  25. // *nix
  26. $cmd = shell_exec( 'ping -c 4 ' . $target );
  27. }
  28.  
  29. // Feedback for the end user
  30. $html .= "<pre>{$cmd}</pre>";
  31. }
  32. else {
  33. // Ops. Let the user name theres a mistake
  34. $html .= '<pre>ERROR: You have entered an invalid IP.</pre>';
  35. }
  36. }
  37.  
  38. // Generate Anti-CSRF token
  39. generateSessionToken();
  40.  
  41. ?>

    这里已经严格限制了输入接收的参数只能是“数字.数字.数字.数字”的模式,所以不存在命令注入的漏洞了。

DVWA靶场实战(二)——Command Injection的更多相关文章

  1. DVWA靶场实战(七)——SQL Injection

    DVWA靶场实战(七) 七.SQL Injection: 1.漏洞原理: SQL Inject中文叫做SQL注入,是发生在web端的安全漏洞,主要是实现非法操作,例如欺骗服务器执行非法查询,他的危害在 ...

  2. DVWA笔记之二:Command Injection

    命令注入 1.Low级别 <?php  if( isset( $_POST[ 'Submit' ]  ) ) {      // Get input      $target = $_REQUE ...

  3. DVWA靶场实战(十二)——XSS(Stored)

    DVWA靶场实战(十二) 五.XSS(Stored): 1.漏洞原理: XSS的Stored被称作存储型XSS漏洞,漏洞的原理为语句被保存到服务器上,显示到HTML页面中,经常出现在用户评论的页面,攻 ...

  4. DVWA靶场实战(五)——File Upload

    DVWA靶场实战(五) 五.File Upload: 1.漏洞原理: File Upload中文名叫做文件上传,文件上传漏洞是指用户上传了一个可执行脚本文件(php.jsp.xml.cer等文件),而 ...

  5. DVWA靶场实战(三)——CSRF

    DVWA靶场实战(三) 三.CSRF: 1.漏洞原理: CSRF(Cross-site request forgery),中文名叫做"跨站请求伪造",也被称作"one c ...

  6. DVWA靶场实战(四)——File Inclusion

    DVWA靶场实战(四) 四.File Inclusion: 1.漏洞原理: 随着网站的业务的需求,程序开发人员一般希望代码更加灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通 ...

  7. DVWA靶场实战(一)——Brute Force

    DVWA靶场实战(一) 一.Brute Force: 1.漏洞原理: Brute Force是暴力破解的意思,大致原理就是利用穷举法,穷举出所有可能的密码. 2.攻击方法: Burpsuite中的In ...

  8. DVWA靶场实战(六)——Insecure CAPTCHA

    DVWA靶场实战(六) 六.Insecure CAPTCHA: 1.漏洞原理: Insecure CAPTCHA(不安全的验证码),CAPTCHA全程为Completely Automated Pub ...

  9. DVWA靶场实战(九)——Weak Session IDS

    DVWA靶场实战(九) 九.Weak Session IDS: 1.漏洞原理: Weak Session IDS也叫做弱会话,当用户登录后,在服务器就会创造一个会话(session),叫做会话控制,接 ...

随机推荐

  1. 基于QT和C++实现的翻金币游戏

    基于QT和C++的翻金币游戏 声明: QT翻金币项目可以说是每个新学QT的同学都会去写的一个项目,网上的源码也很多,我也是最近刚开始学QT,所以也参考了很多前辈的代码自己重新敲了一遍代码. 游戏介绍: ...

  2. 齐博x1标签实例:标签的嵌套用法,调用聚合数据

    齐博标签非常强大,可以让不懂程序的你,轻松就能实现所见即所得. 下面跟大家讲解一下,最复杂的运用, 同时使用了union 动态变量参数 与 分页处理标签 比如下面这张图,不仅仅想调用圈子,还想同时调用 ...

  3. 齐博x1模型里边钩子的创建与使用

    在模型里边的钩子创建与使用方法跟在控制器里边的钩子创建及使用方法是有所区别的在模型里边创建的钩子,你可以理解为执行一个函数,是无法调用模型里边的类的方法及属性的.比如系统文件\application\ ...

  4. 齐博x1小程序集群必须带上固定的标志

    小程序集群的也类似登录接口一样,需要带上特殊的标志.建议是在所有请求的头部header 加上 wxappid 如下图所示,跟登录标志 token 并列在一起. 如果不方便修改头部header 请求的时 ...

  5. 动词时态=>3.现在时态和过去时态构成详解

    现在时态构成详解 一般现在时态 最容易构成的时态,直接加动词原形(字典当中显示的词条)就可以 第三人称"单数"的话需要加s 这是最容易出错的时态:容易将 现在的时间,和一般的状态: ...

  6. Codeforces Round #751 (Div. 2)/CodeForces1602

    CodeForces1602 Two Subsequences 解析: 题目大意 给你一个字符串 \(s\).你需要两个非空字符串 \(a\) 和 \(b\) 并且满足下面的条件: 字符串 \(a\) ...

  7. 如何通过 C#/VB.NET 重命名 Excel 表格并设置选项卡颜色

    在 Excel 文件中创建多个工作表可以使数据更加井然有序.例如,可以为不同的区域.不同的月份/年份或不同的项目等创建不同的工作表.但要区分多个工作表,则需要更改它们的名称.同时,设置不同的选项卡颜色 ...

  8. git 多个commit 如何合并

    git 多个commit 如何合并 本篇主要介绍一下 git 中多个commit 如何合并, 因为commit 太多 会导致提交记录混乱, 所以有时候会把多个commit 合并成一个 保持提交记录干净 ...

  9. vue3+element-plus+登录逻辑token+环境搭建

    vue3+element-plus+登录逻辑token环境搭建 安装脚手架工具 1 npm i @vue/cli@4.5.13 -g 验证是否安装成功 1 vue -V # 输出 @vue/cli 4 ...

  10. centos 7.6镜像_Centos7 配置本地yum源为iso镜像

    创建挂载路径 sudo mkdir /media/iso 挂载ISO镜像到目录 sudo mount -o loop CentOS-7-x86_64-Minimal-1810.iso /media/i ...