這次實驗內容為了解php命令注入攻擊的過程����,掌握思路。
命令注入攻擊
命令注入攻擊(Command Injection)��,是指黑客通過利用HTML代碼輸入機制缺陷(例如缺乏有效驗證限制的表格域)來改變網頁的動態生成的內容�。從而可以使用系統命令操作,實現使用遠程數據來構造要執行的命令的操作����。
PHP中可以使用下列四個函數來執行外部的應用程序或函數:system��、exec、passthru��、shell_exec�。
信息來源——合天網安實驗室
命令攻擊為什么會形成漏洞?
首先是因為應用需要調用一些執行系統命令的函數�,比如上面說的php中的system等函數�。其次�,當用戶能夠控制這些函數中的參數,就可以將一些惡意的命令拼接到一個正常的命令當中����,然后就會造成命令執行漏洞�。
所以我們可以得出命令執行漏洞需要的條件:
- 應用調用的執行系統命令的函數
- 用戶可以對命令進行控制��,從而拼接惡意命令
- 應用沒有對用戶的輸入進行過濾或者過濾不嚴格
通過命令執行漏洞��,我們可以讀寫一些服務器上的文件,并且這些文件是不想讓用戶看到的��,比如密碼類的敏感文件����。而且,我們可以通過命令打開服務器的遠程服務��,這樣就可以拿到服務器的shell��,從而操控服務器或者這個網頁��。再者,我們還可以對內網進行進一步的滲透����。
下面開始實驗��。
1.使遠程服務器執行whoami的命令�。(whoami命令是查詢當前用戶身份的命令�,比如管理員或普通用戶)
打開實驗環境����,如下圖所示��,我們要使其執行whoami命令�。
從返回的結果來看服務器應該是windows系統����,后面有補充����。
服務器中關鍵代碼如下:
程序獲取GET參數ip����,然后拼接到system()函數中,利用system()函數執行ping的功能,但是此處沒有對參數ip進行過濾和檢測����,導致可以利用管道符執行其它的系統命令����,后面有管道符的補充。
“|”在windows中的意思是:把前面的結果當成后面的輸入��,我們用ip=127.0.0.1|whoami來試一下
后面的命令執行成功,得到我們的身份是system
“”在windows中的意思是:兩條命令一起執行,先執行前面再執行后面,我們用ip=127.0.0.1whoami來試一下
可以看出whoami命令并沒有成功被執行,原因是在ulr中����,“”是一個連接符號����,會被轉義成“%26”����,那我們直接使用“%26”,它就會被轉義成真正的“”����,所以我們不妨使用ip=127.0.0.1%26whoami再試一下
命令執行成功,可以看到服務器執行了兩個命令(ping和whoami)��,我們的身份是system
“||”在windows中的意思是:當前面一個執行失敗,則執行后面的�,我們用ip=127.0.0.1||whoami來試一下
這一次whoami命令并沒有被執行����,這是因為前面的命令可以執行,我們只要把前面的命令搞成不能執行的,讓它自動執行下一條命令����,根據前面提供的關鍵代碼,我們知道只要傳入了正常的ip地址����,命令(ping)就會成功執行,所以我們試試把ip地址消除����,用ip=||whoami來試一下
命令執行成功����,我們的身份是system
2.使遠程服務器執行ipconfig命令
服務器的關鍵代碼如下
補充一下:
preg_match() 函數用于進行正則表達式匹配�,成功返回 1 ����,否則返回 0 。
preg_match() 匹配成功一次后就會停止匹配�,如果要實現全部結果的匹配����,則需使用 preg_match_all() 函數。
header()函數的作用是:發送一個原始 HTTP 標頭[Http Header]到客戶端。標頭 (header) 是服務器以 HTTP 協義傳 HTML 資料到瀏覽器前所送出的字串�,在標頭與 HTML 文件之間尚需空一行分隔����。
這段代碼對ip地址進行了簡單的過濾,如果它匹配到�,它會執行下面system那條命令����,如果它沒有匹配到�,它就無法執行下面那條命令(即ping)����,也就是我們開始時看到的界面:
所以,我們想要讓服務器執行ipconfig����,首先想到的思路就是讓它發生錯誤����,執行失敗�,使用雙管道讓它執行ipconfig��,接下來我們用ip=127.||ipconfig試一下:
成功
同理��,我們使用單管道(ip=127.0.0.1|ipconfig)試一試:
成功
繼續�,我們使用“%26”(ip=127.0.0.1%26ipconfig)試一試:
執行了兩個命令����,成功��!
知識補充
我們可以通過ping命令返回結果中的TTL項查看服務器的操作系統:LINUX——64 WIN2K/NT——128 WINDOWS系列——32 UNIX系列——255(前面為操作系統�,后面為TTL值) 通過ping返回結果����,看TTL值與哪項最為接近,服務器就是哪個操作系統��。
我們ping一下百度的試試
TTL值為52��,則它與64之間跨了12個路由��,所以它的服務器應該是LINUX。
接下來補充一些常用的管道符:
Windows系統支持的管道符如下:
- “|”:直接執行后面的語句����。
- “||”:如果前面的語句執行失敗,則執行后面的語句��,前面的語句只能為假才行����。
- “”:兩條命令都執行����,如果前面的語句為假則直接執行后面的語句,前面的語句可真可假。
- “”:如果前面的語句為假則直接出錯,也不執行后面的語句��,前面的語句為真則兩條命令都執行��,前面的語句只能為真�。
Linux系統支持的管道符如下:
- “;”:執行完前面的語句再執行后面的語句��。
- “|”:顯示后面語句的執行結果�。
- “||”:當前面的語句執行出錯時����,執行后面的語句。
- “”:兩條命令都執行�,如果前面的語句為假則執行執行后面的語句����,前面的語句可真可假。
- “”:如果前面的語句為假則直接出錯,也不執行后面的語句����,前面的語句為真則兩條命令都執行����,前面的語句只能為真�。
總結一下:這種需要分析代碼的問題一定不能大意,需要認真讀懂什么意思才能破解它的秘密��。這次實驗并不是很難��,以前在做CTF——Web題有遇到過,那種跟這個差不多,通過分析代碼構造url獲取flag。
以上所述是小編給大家介紹的php命令注入攻擊詳解整合��,希望對大家有所幫助����,如果大家有任何疑問請給我留言��,小編會及時回復大家的。在此也非常感謝大家對腳本之家網站的支持!
您可能感興趣的文章:- php使用exec shell命令注入的方法講解
- 淺析PHP反序列化中過濾函數使用不當導致的對象注入問題
- PHP依賴注入容器知識點淺析
- PHP使用PDO實現mysql防注入功能詳解
- PHP防止sql注入小技巧之sql預處理原理與實現方法分析
- php+laravel依賴注入知識點總結
- php依賴注入知識點詳解
- php中的依賴注入實例詳解
- thinkphp5.1框架容器與依賴注入實例分析
- PHP進階學習之依賴注入與Ioc容器詳解
- php反射學習之依賴注入示例
- CTF命令執行及繞過技巧
