2. 程式人生 > 實用技巧 >DVWA各等級命令注入漏洞

DVWA各等級命令注入漏洞

阿新 發佈:2020-12-08

漏洞描述

  • 在web程式中,因為業務功能需求要通過web前端傳遞引數到後臺伺服器上執行,由於開發人員沒有對輸入進行嚴格過濾,導致攻擊者可以構造一些額外的"帶有非法目的的"命令,欺騙後臺伺服器

漏洞危害

  • 如果web應用使用的是root許可權,則改漏洞可以導致攻擊者在伺服器上執行任意命令

漏洞利用

在ping時 可以使用 管道符( | ) ,& 等字元拼接執行多條命令
Eg:

ping 127.0.0.1 | net user

ping 127.0.0.1 & net user

ping 127.0.0.1 && net user

ping 127.0.0.1 || net user

- '|':前面命令輸出結果作為後面命令的輸入內容
- '&':前面命令執行後接著執行後面的命令
- '||':前面命令執行失敗的時候才執行後面的命令
- '$$':前面命令執行成功了才執行後面的命令
- 使用重定向(>)在伺服器中生成檔案,或時使用(<)從事先準備好的檔案讀入命令
eg:127.0.0.1&echo test >c:\1.txt

Command injection

level:low

<?php 

if(isset($_POST['Submit'])){ //post傳參
//Getinput 
$target=$_REQUEST['ip']; 傳入ip

//DetermineOSandexecutethepingcommand. 
if(stristr(php_uname('s'),'WindowsNT')){
 //stristr()函式:在字串中找是否存在已知的字串
//php_uname()返回執行php的系統有關資訊


//Windows 
$cmd=shell_exec('ping'.$target); 
} 
else{ 
//*nix 
$cmd=shell_exec('ping-c4'.$target); 
} 

//Feedbackfortheenduser 
echo"<pre>{$cmd}</pre>"; 
} 

?>

漏洞分析

  • low級別本身沒有任何過濾,其中 Shell_exec()函式可以在php中去執行作業系統命令,如果不對使用者輸入的命令進行過濾,那麼理論上就可以執行任意系統命令,也就相當於直接獲得了系統級的shell

  • eg:命令執行語句

    127.0.0.1 | net user

    127.0.0.1 | net user test 123/add

    127.0.0.1 | net localgroup administrators test/add

level:medium

<?php
if( isset( $_POST[ 'Submit' ] ) ) {
  // Get input
  $target = $_REQUEST[ 'ip' ];
  // Set blacklist
  $substitutions = array(
    '&&' => '',
    ';' => '',
  );
  // Remove any of the charactars in the array (blacklist).
  $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
  // Determine OS and execute the ping command.
  if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
    // Windows
    $cmd = shell_exec( 'ping ' . $target );
  }
  else {
    // *nix
    $cmd = shell_exec( 'ping -c 4 ' . $target );
  }
  // Feedback for the end user
  echo "<pre>{$cmd}</pre>";
}
?>

漏洞分析

  • 與low級別相比 medium級別多了兩句過濾語句:'&&' => '',';' => '',替換為空字元

  • 繞過方法:

  • 因為被過濾的只有”&&”與” ;”,所以”&”不會受影響。

    Ping 127.0.0.1&net user

  • 在&&中間加 ';'

    Ping 127.0.0.1&;&net nser

    這是因為”127.0.0.1&;&net user”中的” ;”會被替換為空字元,這樣一來就變成了”127.0.0.1&& net user” ,會成功執行。

level:high

	<?php 
	
	if(isset($_POST['Submit'])){ 
	//Getinput 
	$target=trim($_REQUEST['ip']); 
	
	//Setblacklist 
	$substitutions=array( 
	'&'=>'', 
	';'=>'', 
	'|'=>'', 
	'-'=>'', 
	'$'=>'', 
	'('=>'', 
	')'=>'', 
	'`'=>'', 
	'||'=>'', 
	); 
	
	//Removeanyofthecharactarsinthearray(blacklist). 
	$target=str_replace(array_keys($substitutions),$substitutions,$target); 
	
	//DetermineOSandexecutethepingcommand. 
	if(stristr(php_uname('s'),'WindowsNT')){ 
	//Windows 
	$cmd=shell_exec('ping'.$target); 
	} 
	else{ 
	//*nix 
	$cmd=shell_exec('ping-c4'.$target); 
	} 
	
	//Feedbackfortheenduser 
	echo"<pre>{$cmd}</pre>"; 
	} 
	
	?>

漏洞分析

  • high級別與medium級別相比 黑名單機制限制的更多 過濾的更多

    但是
    仔細觀察到是把"| "(注意這裡|後有一個空格)替換為空字元,可以用" |"替換 成功繞過

level:impossible

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

     //stripslashes(string)stripslashes函式會刪除字串string中的反斜槓,返回已剝離反斜槓的字串。
//explode(separator,string,limit)把字串打散為陣列,返回字串的陣列。引數separator規定在哪裡分割字串,引數string是要分割的字串,可選引數limit規定所返回的陣列元素的數目。
//
is_numeric(string)檢測string是否為數字或數字字串,如果是返回TRUE,否則返回FALSE。


    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

漏洞分析

Impossible級別的程式碼加入了Anti-CSRF token,同時對引數ip進行了嚴格的限制,不存在命令注入漏洞。

相關推薦

DVWA等級命令注入漏洞

漏洞描述 在web程式中,因為業務功能需求要通過web前端傳遞引數到後臺伺服器上執行,由於開發人員沒有對輸入進行嚴格過濾,導致攻擊者可以構造一些額外的\"帶有非法目的的\"命令,欺騙後臺伺服器

DVWA等級sql注入

sql全等級注入 level:low <?php if( isset( $_REQUEST[ \'Submit\' ] ) ) {//判斷submit是否存在

DVWA等級XSS

xss原理及基本介紹 XSS,全稱Cross Site Scripting,即跨站指令碼攻擊,某種意義上也是一種注入攻擊,是指攻擊者在頁面中注入惡意的指令碼程式碼,當受害者訪問該頁面時,惡意程式碼會在其瀏覽器上執行,需要強調的

CVE-2020-15778 OpenSSH命令注入漏洞復現

技術標籤:滲透測試 CVE-2020-15778 OpenSSH命令注入漏洞復現 漏洞描述 OpenSSH是用於使用SSH協議進行遠端登入的一個開源實現。通過對互動的流量進行加密防止竊聽,連線劫持以及其他攻擊。OpenSSH由OpenBSD專案的

OS command injection:OS命令注入漏洞

目錄什麼是作業系統命令注入?執行任意命令有用的命令盲作業系統命令注入漏洞使用時間延遲檢測盲作業系統命令注入通過重定向輸出來利用盲作業系統命令注入使用帶外 ( OAST ) 技術利用 OS 命令注入注入作業系統命令

OpenSSH 命令注入漏洞 CVE-2020-15778

OpenSSH 命令注入漏洞 漏洞編號: CVE-2020-15778 漏洞介紹: OpenSSH(OpenBSD Secure Shell)是OpenBSD計劃組的一套用於安全訪問遠端計算機的連線工具。該工具是SSH協議的開源實現,支援對所有的傳輸進行加密,可有

Web安全學習筆記 命令注入漏洞淺析

Web安全學習筆記 命令注入漏洞淺析 學習目錄 1.簡介 2.常見危險函式 PHP JAVA PYTHON 3.常見注入方式

DVWA靶場——Command Injection(命令注入)

概述 Command Injection,即命令注入,是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。PHP命令注入攻擊漏洞是PHP應用程式中常見的指令碼漏洞之一,國內著名的Web應用程式Discuz!、DedeCM

Dvwa教程之命令注入(二)

Command Injection,即命令注入,是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。PHP命令注入攻擊漏洞是PHP應用程式中常見的指令碼漏洞之一

DVWA全級別通關筆記(二)-- Command Injection(命令注入

引言 結合DVWA提供的命令注入模組,對命令注入漏洞進行學習總結。命令注入(Command Injection)是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

DVWA命令注入

DVWA命令注入   LOW 老規矩先看下原始碼 <?php if( isset( $_POST[ \'Submit\' ]) ) { // Get input

SQL注入漏洞過程例項及解決方案

程式碼示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login(\"aaa\' OR \' \",\"1651561\");//若已知使用者名稱,用這種方式便可不用知道密碼就可登陸成功

SSTI-服務端模板注入漏洞

原理: 服務端模板注入是由於服務端接收了使用者的輸入,將其作為 Web 應用模板內容的一部分,在進行目標編譯渲染的過程中,執行了使用者插入的惡意內容,因而導致了敏感資訊洩露、程式碼執行、GetShell 等問題。其

命令執行漏洞利用及繞過方式總結

命令注入常見的方法 1.常見管道符   Windows系統支援的管道符   Linux系統支援的管道符

Redis遠端命令執行漏洞復現

本文首發於我的個人部落格,記錄了我在實驗室學習滲透測試所做的第二個漏洞復現,全部過程記錄在此,以便後續檢視,同時也希望本文能對您有所幫助。

檔案包含上傳漏洞&目錄遍歷命令執行漏洞

檔案上傳漏洞: 一句話木馬 一句話木馬主要由兩部分組成:執行函式與接收被執行程式碼的變數

Drupal<7.32“Drupalgeddon”SQL注入漏洞(CVE-2014-3704)

一、漏洞簡介 Drupal 是一款用量龐大的CMS,其7.0~7.31版本中存在一處無需認證的SQL漏洞。通過該漏洞,攻擊者可以執行任意SQL語句,插入、修改管理員資訊,甚至執行任意程式碼。

fastjson遠端命令執行漏洞復現

fastjson遠端命令執行漏洞復現 使用vulhub提供的docker環境:https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce

攻防世界-web-php_rce(ThinkPHP 5.0命令執行漏洞

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址:

用友GRP-u8 注入漏洞復現

用友GRP-u8 注入漏洞復現 一、漏洞描述 用友GRP-u8存在XXE漏洞,該漏洞源於應用程式解析XML輸入時沒有進位制外部實體的載入,導致可載入惡意外部檔案。