前言
网络安全常见面试问题
题目
1.命令执行原理,常见函数,危害,和防护
原理:
应用程序有时需要调用一些执行命令的函数,由于服务器对代码中可执行的特殊函数入口没有做过滤,并且用户能够控制这些函数中的参数时,就可以将恶意命令拼接到正常命令中,从而造成命令执行攻击。
命令执行漏洞可以分为远程命令执行(代码执行)和系统命令执行两类
常见危险函数也分为两类:代码执行函数和命令执行函数。
管道符利用:
windows:
&前面的语句为假则直接执行后面的
&&前面的语句为假则直接出错,后面的也不执行
|直接执行后面的语句
||前面出错执行后面的
Linux:
;前面的执行完执行后面的
| 管道符,上一条命令的输出,作为下一条命令的输入
||当前面的执行出错时执行后面的
& 无论前边语句真假都会执行
&& 只有前边语句为真,才会执行后边语句
利用条件:
➢用户能够控制的函数输入
➢存在可以执行代码或者系统命令的危险函数
危害:
➢继承Web服务程序的权限去执行系统命令或读写文件
➢反弹shell
➢控制整个网站甚至控制服务器
➢进一步内网渗透
常见函数:
远程命令(php代码)执行漏洞----php代码执行
eval(),assert()
<?php
eval($_GET['pass']) //eval(),assert() 把字符串当代码执行
?>
<?php
assert($_GET['pass']);
?>
preg_replace()
call_user_func()
call_user_func_array()
$a($b)
利用远程命令执行还可以:
➢?a=print(FILE); //获取当前绝对路径
__LINE__ 文件中的当前行号
__FILE__ 文件的完整路径和文件名。如果用在被包含文件中,则返回被包含的文件名
__DIR__ 文件所在的目录。如果用在被包括文件中,则返回被包括的文件所在的目录
➢?a=var_dump(file_get_contents('c:\windows\system32\drivers\etc\hosts')); //读取文件
➢?a=var_dump(file_put_contents($_POST[1],$_POST[2]));
POST写入
1=shell.php&2=<?php phpinfo()?> //写个shell插进去--可以写入一句话木马进去
系统命令执行漏洞 ----系统命令的执行
允许系统命令执行的函数有:
➢system()
➢exec()
➢shell_exec()
➢passthru()
➢popen()
➢反引号
系统命令执行其他利用方式:
➢?a=type C:\windows\system32\drivers\etc\hosts //查看文件
➢?a=cd chdir //查看当前绝对路径
➢?a=echo "<?php phpinfo();?>" > E:\xampp\htdocs\php\os\phpinfo.php
写shell(phpinfo.php)插进去 --- 内容<?Php phpinfo() ?> 可以换成 一句话木马,要先查看当前路径
防护:
(1)尽量不要执行外部命令
(2)使用自定义函数或函数库来替代外部命令的功能
(3)使用escapeshellarg函数来处理命令参数,escapeshellarg函数会将任何引起参数或命令结束的字符转义,单引号“‘”替换成“’”,双引号""“替换成“””,分号“;”替换成“;”
(4)使用safe_mode_exec_dir指定要执行程序的主目录(php.ini),可以把会使用的命令提前放入此路径内safe_mode= On(打开php的安全模式)
safe_mode_exec_dir= /usr/local/php/bin/
2.中间件漏洞原理及利用
IIS
1.IIS 6.0
1.后缀解析 /xx.asp;.jpg。服务器默认不解析 ; 号及其后面的内容,相当于截断。
2.目录解析 /xx.asp/xx.jpg (xx.asp目录下任意解析)
3.默认解析 xx.asa xx.cer xx.cdx
4.RCE CVE-2017-7269
2.IIS 7.0-7.5
1.在Fast-CGI开启状态下,在文件路径后加上 /xx.php ,即 xx.jpg/xx.php 会被解析为php文件
3.PUT漏洞
1.开启WebDAV
2.拥有来宾用户,且来宾用户拥有上传权限
3.可任意文件上传
4.文件名猜解
1.IIS 8.0之前的版本支持短文件名猜测的HTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种,需要安装ASP.NET。
而IIS 8.0之后的版本只能通过OPTIONS和TRACE方法猜测成功,但是没有ASP.NET的限制。
2.文件夹名前6位字符带点”.”,扫描程序会认为是文件而不是文件夹,最终出现误报
3.不支持中文文件名
Apache
1.后缀解析
test.php.x1.x2.x3 ( x1,x2,x3 为没有在 mime.types 文件中定义的文件类型)
Apache 将从右往左开始判断后缀,若x3为非可识别后缀,则判断x2,直到找到可识别后缀为止,然后对可识别后缀进行解析
2.htaccess
当AllowOverride被启用时,上传启用解析规则的.htaccess,覆盖apache主配置文件
3.目录遍历
配置 Options +Indexes 时Apache存在目录遍历漏洞。
4.CVE-2017-15715
%0A 绕过上传黑名单
Nginx
1.Fast-CGI关闭
在Fast-CGI关闭的情况下, Nginx 仍然存在解析漏洞: 在文件路径(xx.jpg)后面加上 %00.php , 即 xx.jpg%00.php 会被当做 php 文件来解析
2.Fast-CGI开启
在Fast-CGI开启状态下,在文件路径后加上 /xx.php ,则 xx.jpg/xx.php 会被解析为php文件
3.CVE-2013-4547
a.jpg\x20\x00.php
4.配置错误
a.目录穿越
如果配置中存在类似 location /foo {
alias /bar/; } 的配置时,/foo../ 会被解析为 /bar/../ 从而导致目录穿越的发生。
b.目录遍历
配置中 autoindex on 开启时,Nginx中存在目录遍历漏洞。
Tomcat
1.CVE-2017-12615
1.PUT方法上传任意文件
2.但限制了jsp后缀的上传,绕过办法:
a.Windows下不允许文件以空格结尾,以PUT /a001.jsp%20 HTTP/1.1上传到 Windows会被自动去掉末尾空格
b.Windows NTFS流Put/a001.jsp::$DATA HTTP/1.1
c. /在文件名中是非法的,也会被去除(Linux/Windows)Put/a001.jsp/http:/1.1
2.CVE-2020-1938
CVE-2020-1938为Tomcat AJP文件包含漏洞
3.弱口令&war远程部署
在tomcat8环境下默认进入后台的密码为tomcat/tomcat,未修改造成未授权即可进入后台
4.CVE-2019-0232
1.CVE-2019-0232为Apache Tomcat RCE
v.manager App暴力破解
后台密码用base64编码传输,抓包解密即可得到后台密码,也可以进行爆破
Weblogic
i.CVE-2017-10271 反序列化漏洞
ii.CVE-2018-2628 反序列化命令执行漏洞
iii.CVE-2018-2894 Weblogic 任意文件上传漏洞
iv.CVE-2020-14882 Weblogic 管理控制台未授权远程命令执行漏洞
v.SSRF Weblogic SSRF漏洞
vi.弱口令
总结
本期主要介绍了命令执行和中间件漏洞。