這次實驗內容為了解php命令注入攻擊的過程�����,掌握思路���。
命令注入攻擊
命令注入攻擊(Command Injection)�����,是指黑客通過利用HTML代碼輸入機制缺陷(例如缺乏有效驗證限制的表格域)來改變網頁的動態生成的內容�。從而可以使用系統命令操作�����,實現使用遠程數據來構造要執行的命令的操作�。
PHP中可以使用下列四個函數來執行外部的應用程序或函數:system、exec�����、passthru�����、shell_exec�。
信息來源——合天網安實驗室
命令攻擊為什么會形成漏洞?
首先是因為應用需要調用一些執行系統命令的函數�,比如上面說的php中的system等函數���。其次,當用戶能夠控制這些函數中的參數�����,就可以將一些惡意的命令拼接到一個正常的命令當中�,然后就會造成命令執行漏洞�。
所以我們可以得出命令執行漏洞需要的條件:
- 應用調用的執行系統命令的函數
- 用戶可以對命令進行控制,從而拼接惡意命令
- 應用沒有對用戶的輸入進行過濾或者過濾不嚴格
通過命令執行漏洞���,我們可以讀寫一些服務器上的文件�����,并且這些文件是不想讓用戶看到的�����,比如密碼類的敏感文件���。而且���,我們可以通過命令打開服務器的遠程服務�����,這樣就可以拿到服務器的shell�����,從而操控服務器或者這個網頁���。再者�,我們還可以對內網進行進一步的滲透���。
下面開始實驗。
1.使遠程服務器執行whoami的命令�����。(whoami命令是查詢當前用戶身份的命令�,比如管理員或普通用戶)
打開實驗環境�����,如下圖所示�,我們要使其執行whoami命令�。
從返回的結果來看服務器應該是windows系統�����,后面有補充�。
服務器中關鍵代碼如下:
程序獲取GET參數ip���,然后拼接到system()函數中�,利用system()函數執行ping的功能,但是此處沒有對參數ip進行過濾和檢測���,導致可以利用管道符執行其它的系統命令���,后面有管道符的補充。
“|”在windows中的意思是:把前面的結果當成后面的輸入�,我們用ip=127.0.0.1|whoami來試一下
后面的命令執行成功,得到我們的身份是system
“&”在windows中的意思是:兩條命令一起執行�,先執行前面再執行后面�����,我們用ip=127.0.0.1&whoami來試一下
可以看出whoami命令并沒有成功被執行���,原因是在ulr中�,“&”是一個連接符號�����,會被轉義成“%26”�,那我們直接使用“%26”�����,它就會被轉義成真正的“&”�����,所以我們不妨使用ip=127.0.0.1%26whoami再試一下
命令執行成功���,可以看到服務器執行了兩個命令(ping和whoami),我們的身份是system
“||”在windows中的意思是:當前面一個執行失敗�����,則執行后面的���,我們用ip=127.0.0.1||whoami來試一下
這一次whoami命令并沒有被執行���,這是因為前面的命令可以執行�,我們只要把前面的命令搞成不能執行的,讓它自動執行下一條命令�����,根據前面提供的關鍵代碼,我們知道只要傳入了正常的ip地址���,命令(ping)就會成功執行���,所以我們試試把ip地址消除,用ip=||whoami來試一下
命令執行成功�����,我們的身份是system
2.使遠程服務器執行ipconfig命令
服務器的關鍵代碼如下
補充一下:
preg_match() 函數用于進行正則表達式匹配���,成功返回 1 ���,否則返回 0 。
preg_match() 匹配成功一次后就會停止匹配�����,如果要實現全部結果的匹配�,則需使用 preg_match_all() 函數。
header()函數的作用是:發送一個原始 HTTP 標頭[Http Header]到客戶端�����。標頭 (header) 是服務器以 HTTP 協義傳 HTML 資料到瀏覽器前所送出的字串,在標頭與 HTML 文件之間尚需空一行分隔���。
這段代碼對ip地址進行了簡單的過濾�����,如果它匹配到���,它會執行下面system那條命令,如果它沒有匹配到���,它就無法執行下面那條命令(即ping)�����,也就是我們開始時看到的界面:
所以�����,我們想要讓服務器執行ipconfig���,首先想到的思路就是讓它發生錯誤�����,執行失敗,使用雙管道讓它執行ipconfig�����,接下來我們用ip=127.||ipconfig試一下:
成功
同理�����,我們使用單管道(ip=127.0.0.1|ipconfig)試一試:
成功
繼續�����,我們使用“%26”(ip=127.0.0.1%26ipconfig)試一試:
執行了兩個命令���,成功�����!
知識補充
我們可以通過ping命令返回結果中的TTL項查看服務器的操作系統:LINUX——64 WIN2K/NT——128 WINDOWS系列——32 UNIX系列——255(前面為操作系統�,后面為TTL值) 通過ping返回結果���,看TTL值與哪項最為接近���,服務器就是哪個操作系統�。
我們ping一下百度的試試
TTL值為52���,則它與64之間跨了12個路由�����,所以它的服務器應該是LINUX���。
接下來補充一些常用的管道符:
Windows系統支持的管道符如下:
- “|”:直接執行后面的語句。
- “||”:如果前面的語句執行失敗�,則執行后面的語句,前面的語句只能為假才行�。
- “&”:兩條命令都執行,如果前面的語句為假則直接執行后面的語句���,前面的語句可真可假�����。
- “&&”:如果前面的語句為假則直接出錯�,也不執行后面的語句,前面的語句為真則兩條命令都執行���,前面的語句只能為真。
Linux系統支持的管道符如下:
- “;”:執行完前面的語句再執行后面的語句�����。
- “|”:顯示后面語句的執行結果�����。
- “||”:當前面的語句執行出錯時���,執行后面的語句���。
- “&”:兩條命令都執行,如果前面的語句為假則執行執行后面的語句���,前面的語句可真可假���。
- “&&”:如果前面的語句為假則直接出錯,也不執行后面的語句�����,前面的語句為真則兩條命令都執行,前面的語句只能為真�。
總結一下:這種需要分析代碼的問題一定不能大意,需要認真讀懂什么意思才能破解它的秘密�。這次實驗并不是很難,以前在做CTF——Web題有遇到過�,那種跟這個差不多,通過分析代碼構造url獲取flag�。
以上所述是小編給大家介紹的php命令注入攻擊詳解整合,希望對大家有所幫助���,如果大家有任何疑問請給我留言�,小編會及時回復大家的���。在此也非常感謝大家對VeVb武林網網站的支持���!
注:相關教程知識閱讀請移步到PHP教程頻道。
