PHP的命令执行漏洞学习

首先我们来了解基础

基础知识来源于：<web安全攻防>徐焱

命令执行漏洞

应用程序有时需要调用一些执行系统命令的函数,如在PHP中，使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时，就可以将恶意的系统命令拼接到正常命令中，从而造成命令执行漏洞，这就是命令执行漏洞。

 

先了解下这些知识

Windows管道符

“|”:直接执行后面的语句。如:ping 127.0.0.1|whoami

“||”:如果前面执行的语句出错泽执行后面的语句，前面的语句智能为假 如：ping 2 || whoami

“&”:如果前面的语句为假则直接执行后面的语句，前面的语句可真可假 如 ping 127.0.0.1&whoami

“&&”:如果前面的语句为假则直接出错,也不执行后面的语句，前面的语句只能为真。例如:ping 127.0.0.1&&whoami

Linux管道符

“;”:执行完前面的语句再执行后面的 例如:ping 127.0.0.1;whoami

“|”:显示后面语句的执行结果 例如:ping 127.0.0.1|whoami

“||”:当前面的语句只能怪出错时，执行后面的语句，例如:ping 1||whoami

“&”:如果当前面的语句为假则直接执行后面的语句，前面的语句可真可假。例如:ping 127.0.0.1&whoami

“&&”:如果前面的语句为假则直接出错，也不执行后面的，前面的语句只能为真 例如:ping 127.0.0.1&&whoami

 

测试学习我们可以写一个简单的PHP

<?php

       echo system(“pint -n 2 ”.$_GET[‘IP’])；

?>

 

搭建好我们可以进行简单漏洞攻击 如图我们执行了查看系统当前用户命令

DVWA靶场的命令执行漏洞

LOW

Low Command Injection Source

先分析代码！

1.    <?php  
2.      
3.    if( isset( $_POST[ 'Submit' ]  ) ) {  
4.        // Get input  
5.        $target = $_REQUEST[ 'ip' ];  
6.      
7.        // Determine OS and execute the ping command.  
8.        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {  
9.            // Windows  
10.            $cmd = shell_exec( 'ping  ' . $target );  
11.        }  
12.        else {  
13.            // *nix  
14.            $cmd = shell_exec( 'ping  -c 4 ' . $target );  
15.        }  
16.        // Feedback for the end user  
17.        echo "<pre>{$cmd}</pre>";  
18.    }  
19.      
20.    ?>   

我们分析这个靶场的代码可以看到$_REQUEST接受用户传过来的值 我们并没有看到有什么过滤机制的代码所以 可以输入任何东西。

测试执行ping127.0.0.1没问题 我们利用管道命令来 再加命令语句

 

 

我这边环境时本地windows我们选用windows的管道符 来执行  OK

 

 

 

Medium

Medium Command Injection Source

继续先分析代码

1.    <?php  
2.    if( isset( $_POST[ 'Submit' ]  ) ) {  
3.        // Get input  
4.        $target = $_REQUEST[ 'ip' ];  
5.        // Set blacklist  
6.        $substitutions = array(  
7.            '&&' => '',  
8.            ';'  => '',  
9.        );  
10.        // Remove any of the charactars in the array (blacklist).  
11.        $target = str_replace( array_keys( $substitutions ), $substitutions, $target );  
12.        // Determine OS and execute the ping command.  
13.        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {  
14.            // Windows  
15.            $cmd = shell_exec( 'ping  ' . $target );  
16.        }  
17.        else {  
18.            // *nix  
19.            $cmd = shell_exec( 'ping  -c 4 ' . $target );  
20.        }  
21.        // Feedback for the end user  
22.        echo "<pre>{$cmd}</pre>";  
23.    }  

我们注意6-9行 这里是个黑名单过滤 我们可以想办法绕过    这里虽然把&&和分号;加入了黑名单，但是我们还可以用逻辑或(||)、管道符(|)或(&)来命令执行  绕过