[web安全原理]PHP命令执行漏洞基础

前言

   

PHP命令执行漏洞

应用程序的某些功能功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令,这就是命令执行漏洞。

基本函数

1.system()用于执行外部程序,并且显示输出

<?php system('whoami'); ?>

 

2.exec()函数用于执行一个外部程序

<?php exec('whoami');?>

 

3.shell_exec()函数通过shell环境执行命令,并且将完整的输出以字符串的方式返回

<?php shell_exec('whoami'); ?>

 

4.passthru函数用于执行外部程序并且显示原始输出

<?php passthru('whoami'); ?>

 

5.popen()函数用于打开进程文件指针

  • r: 只读。
  • w: 只写 (打开并清空已有文件或创建一个新文件)
<?php touch popen("3.txt","r"); ?> 在当前目录创建名为3.txt的文件

 

6.Proc_popen函数用于执行一个命令,并且打开来输入输出的文件指针(有问题)

proc_open (字符串 $cmd ,数组 $descriptorspec ,数组 &$pipes [,字符串 $cwd=NULL [,数组 $env=NULL[,数组 $other_options=NULL ]]])

<?php $proc=proc_open("whoami",

                  array(

                      array("pipe","r"),

                      array("pipe","r"),

                      array("pipe","r")),$pipes);

        print stream_get_contents($pipes[i]);

?>
View Code

7.反单引号

反单引号(`)是PHP执行运算符,PHP将尝试将返单引号中的内容作为shell命令来执行,并将其输出信息返回 执行下面代码返回whoami的结果

<?php echo `whoami`;?>

Windows下的命令执行漏洞

1.windows下面的命令连接符

windows下的命令连接符:&、&&、|、||

(1)&命令连接符

&前面的语句为假,则直接执行&后面的语句:&前面的语句为真,则&前后的语句都执行

(2)&&命令连接符

&&前面的语句为假,则直接报错,&&后面的语句也不执行;&&前面的语句为真,则&&前后的语句都执行

(3)|命令连接符

|前面的语句为假,则直接报错,|后面的语句也不执行;|前面的语句为真,则执行|后面的语句

(4)||命令连接符

||前面的语句为假,则执行||后面的语句;||前面的语句为真,则执行||前面的语句,不执行||后面的语句

 

2.windows下的执行命令漏洞利用

代码

<?php
  $ip=$_GET['ip'];
  system("ping ".$ip);
?> 

代码中调用了system函数执行ping命令

 

$ip是可控参数,可以通过Windows下的命令连接符执行多条命令,达到攻击的目的。输入?=127.0.0.1|whoami,成功执行,返回当前用户的信息,当然我们也可以进行其他的恶意操作。

 

linux下的命令执行漏洞

1linux下的命令连接符

Linux下的命令连接符:&、&&、|、||

  (1).;命令连接符

  ;使多个命令顺序执行,前面的命令和后面的命令都会执行

   

  2.&命令连接符

  &的作用是使命令在后台运行,这样就可以同时执行多条命令

   

  3.&&命令连接符

  &&的作用是:如果前面的命令执行成功,则执行后面的命令

   

  4.|命令连接符

  |的作用是:将前面的命令的输出作为后面命令的输入,前面的命令和后面的命令都会执行,但只显示后面的命令执行结果  

  

  5.||命令连接符

  ||的作用类似于程序中的if-else语句。若前面的命令执行成功,则后面的命令就不会执行;若前面的命令执行失败,则执行后面的命令。

   

  漏洞利用部分和windows下面代码一样就是命令连接符部分不一样!!!!

命令执行绕过方法

命令执行绕过

开发人员在开发过程中,为了避免命令执行漏洞,可能会过滤一些命令或者比较常见的攻击payload。攻击者会通过多种方式绕过过滤规则。

(1)   绕过空格过滤

  1.${IFS}绕过

  $IFS是shell的特殊环境变量,是Linux下的内部区域分隔符。$IFS中存储的值可以使空格、制表符、换行符或者其他自定义符号。

  

       Payload: http://127.0.0.1/test.php?ip=127.0.0.1;ls${IFS}-l

  2.$IFS$9绕过

   

  Payload: http://127.0.0.1/test.php?ip=127.0.0.1;ls$IFS$9-l

  3.制表符绕过

  %09是制表符的URL编码,可以通过%09来代替空格,绕过空格过滤

  Payload: http://127.0.0.1/test.php?cmd=ping%09127.0.0.1

  

       4.{ }绕过

       

       5.<绕过

         

 

(2)   绕过关键字过滤

  1.     变量拼接绕过

  Linux支持变量赋值,可以通过变量拼接来绕过过滤规则

  绕过ls命令

  

   2.     空变量绕过

  

   3.     系统变量绕过

  ${SHELLOPTS}是系统变量,可以利用系统变量的字符拼接绕过过滤

  

   4.     \绕过

  

   5.     通配符绕过

  Linux支持利用通配符进行字符匹配。通配符的作用是在模糊查询时表示文件名中某些不确定的字符

        *代表0到多个任意字符

        ?代表任意一个字符

        []内为字符范围,代表该字符范围中的任意一个字符

  

   6.     shell反弹绕过

  在利用shell反弹进行攻击时,如果存在过滤,可以通过通配符来绕过过滤

  7.     BASE64编码绕过

  利用系统函数base64对命令进行Base64编码,以绕过过滤。例如,id命令的Base编码为aWQ=,在利用base64 -d对aWQ=进行解码,这样就绕过了过滤,并且正常执行了命令

   

  8.     expr和awk绕过

  通过expr和awk命令从其他文件中获取字符并进行命令构造

  xiaohua文件内容为字符串xiaohua,通过以下命令可以获取xiaohua文件中存储的第一个字符。

   

  9.     无回显的命令执行

  如果存在命令执行漏洞,但是没有回显,可以通过shell反弹的方式将shell反弹到VPS上,然后通过VPS执行命令。如果无法反弹shell,也可以通过DNS管道解析的方式获取命令的执行结果。

 

PHP命令执行漏洞的修复

1.服务器配置修复

可以通过PHP配置文件中的disable_functions禁用敏感函数来修复命令执行漏洞

2.函数过滤

  (1)escapeshellarg()函数:把字符串转码为可以在shell命令里使用的参数,以过滤命令中的参数。

    (2)  escapeshellcmd()函数:可以对shell元字符进行转义,过滤命令

 其他学习文章

  https://www.freebuf.com/articles/web/137923.html

参考学习:《web安全原理分析与实践》

posted @ 2020-02-02 05:33  笑花大王  阅读(1843)  评论(0编辑  收藏  举报