命令注入漏洞分析与尝试破解
命令注入是指通过提交恶意构造的参数破坏命令语句的结构,达到非法执行命令的手段。
我将从易到难对不同难度的命令注入尝试
简单难度程序关键代码:
<?php
if( isset( $_POST[ 'Submit' ] ) )
{
$target = $_REQUEST[ 'ip' ];
if( stristr( php_uname( 's' ), 'Windows NT' ) )
{
$cmd = shell_exec( 'ping ' . $target );
}
else {
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
echo "<pre>{$cmd}</pre>";
}
?>
从程序中可以看出对于输入数据,除了对空的输入有作区别,没有对输入的数据进行任何处理
输入127.0.0.1&&net user
可以看到除了显示合法的信息还包含了非法信息,所以要对输入的内容进行过滤
困难难度关键代码
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
$target = $_REQUEST[ 'ip' ];
$substitutions = array(
'&&' => '',
';' => '',
);
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
$cmd = shell_exec( 'ping ' . $target );
}
else {
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
echo "<pre>{$cmd}</pre>";
}
?>
程序使用str_replace将“&&”和“;”转换成了空,所以无法使用&&和;进行有效注入;
但在命令行中有许多的特殊符号,所以可以用其他符号绕过过滤
输入127.0.0.1&;&ipconfig
按照规则中删除;正好执行命令127.0.0.1&&ipconfig,说明过滤的不严格
再次升级,过滤部分程序如图所示
$substitutions = array(
'&' => '',
';' => '',
'|' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);
命令行中各个符号的含义:
'&':Command 1&Command 2,先执行Command 1,不管是否成功,都会执行Command 2
';' 标记语句结束
'|' Command 1|Command 2,Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果
'-'
'$' 变量替换(Variable Substitution)的代表符号。
'(' '()'指令群组部分内容
')' 同上
'`' 返回当前命令执行结果
'||' A||B表示A执行成功后,B就不会再执行了;A失败或不执行,B才能执行。
将所有的能够在shell引起执行停止和条件执行的符号都进过滤,并且对两个分符号的单独符号也进行过滤,就能有效避免命令注入,防止严重后果的发生。
此时输入127.0.0.1|&;&|ipconfig
结果不显示: