2. 程式人生 > 其它 >DVWA靶場通關----Command Injection教程

DVWA靶場通關----Command Injection教程

阿新 發佈:2021-12-18

Command Injection(命令注入)

Command Injection(命令注入),就是指通過提交一些惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

Command Injection主題:

Low

原始碼解析

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // 確定作業系統並執行ping命令
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        
 
// Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

漏洞復現

  通過程式碼可以發現,伺服器僅僅只是判斷了不同的作業系統執行不同的命令,並沒有做其他的限制

  先簡單介紹一下如何使用連線符號拼接自己的命令

127.0.0.1 & ipconfig    先執行127.0.0.1,不管127.0.0.1是否執行成功都會執行ipconfig
127.0.0.1 && ipconfig    先執行127.0.0.1,127.0.0.1執行成功後才會執行ipconfig
127.0.0.1 | ipconfig    不管127.0.0.1執行是否成功都會執行ipconfig
127.0.0 || ipconfig      前面的命令要執行失敗,才可以執行後面的命令

在這我們直接使用第一個 127.0.0.1 & ipconfig 就好了:

Medium

原始碼解析

<?php

if( isset
 
( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
//設定命令黑名單,裡面包含&&和;
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
//將引數中有&&和;的都替換成空
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

漏洞復現

  從原始碼中可以看出,相比於Low難度,增加了黑名單,將 "&&",";" 做了限制,將其改成空格,但是別的沒有什麼改變,在這裡依舊可以通過 127.0.0.1 & ipconfig 來繞過

High

原始碼解析

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
//設定命令黑名單,裡面包含& ;| - $ ( ) \ ' ||
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
//替換成空
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

漏洞復現

  看到程式碼,發現黑名單中的限制更多了,像 '&','| ','||',';','$' 等許多都加了限制,但是要仔細觀察 ,比如說這個 '| ' ,它是在管道符後面加了個空格,因此考慮使用 127.0.0.1 |ipconfig 來繞過

Impossible

原始碼解析

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
  // stripslashes函式會剝離字串中的反斜槓,然後返回剝離完反斜槓的字串
    $target = stripslashes( $target );

    // Split the IP into 4 octects,以.作為分隔符,分割$target
    $octet = explode( ".", $target );

    // Check IF each octet is an integer,檢測分割後的元素是否都是數字型別
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.入過都是數字型別的話,就將2他們再合併成$torget
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

  像這種是白名單限制,相比於黑名單來說,還是比較安全的,對於這個難度的程式碼,兄弟們學習一下怎麼寫的吧。

相關推薦

DVWA靶場通關----Command Injection教程

Command Injection(命令注入) Command Injection(命令注入),就是指通過提交一些惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

DVWA靶場通關----(1) Brute Force教程

Brute Force(暴力破解) Brute Force(暴力破解),就是指黑客利用黑客字典,通過窮舉法猜測使用者口令。

DVWA靶場——Command Injection(命令注入)

概述 Command Injection,即命令注入,是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。PHP命令注入攻擊漏洞是PHP應用程式中常見的指令碼漏洞之一,國內著名的Web應用程式Discuz!、DedeCM

DVWA全級別通關筆記(二)-- Command Injection(命令注入)

引言 結合DVWA提供的命令注入模組,對命令注入漏洞進行學習總結。命令注入(Command Injection)是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

DVWA靶場——Brute Force(暴力破解)

靶場搭建 關於靶場的搭建,網上很多教程,我就不講解了,這裡推薦幾個關於如何在kali系統搭建DVWA靶場教程供大家參考:

在VMwave kali2019.3-xfce虛擬機器搭建DVWA靶場

下載並修改DVWA 在https://codeload.github.com/ethicalhack3r/DVWA/zip/master下載DVWA,下載下來以後將\\DVWA-master\\config\\config.inc.php.dist去掉.dist字尾,檔名改成config.inc.php,以文字方式開啟confi

DVWA靶場——CSRF(跨站請求偽造)

概述 Cross Site Request Forgery簡稱“CSRF”,中文名為跨站請求偽造。在CSRF的攻擊場景中攻擊者會偽造一個請求(這個請求一般是一個連結),然後欺騙目標使用者進行點選,使用者一旦點選了這個請求,整個攻

DVWA靶場——File Inclusion(檔案包含)

概述 在 Web 後臺開發中,程式設計師往往為了提高效率以及讓程式碼看起來更加簡潔,會使用 “包含” 函式功能。比如把一系列功能函式都寫進 function.php 中,之後當某個檔案需要呼叫的時候直接在檔案頭中寫上一句 &

DVWA靶場——File Upload(檔案上傳)

概述 檔案上傳功能在web應用系統很常見,比如很多網站註冊的時候需要上傳頭像、上傳附件等等。當用戶點選上傳按鈕後,後臺會對上傳的檔案進行判斷 比如是否是指定的型別、字尾名、大小等等,然後將其按照設計的格式進

[DVWA靶場搭建]phpstudy_pro+DVWA搭建

1.下載phpstudy_pro:xp.cn 2.下載dvwa所有檔案 3.配置phpstudy_pro:新建一個名叫作dvwa的資料庫。修改這裡,換成自己剛剛生成的資料庫的名字,資料庫使用者和密碼。 4.除錯: 開啟localhost/dvwa/setup.p

DVWA通關(一、暴力破解)

Brute Force(low) Brute Force即為暴力破解,通過列舉獲取管理員的賬號和密碼,一般用於破解後臺管理系統的登入。

DVWA通關(二、命令執行)

命令執行介紹 Command Injection,即命令注入,是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

DVWA通關(三、CSRF)

CSRF 跨站請求偽造介紹 跨站請求偽造 (Cross-Site Request Forgery, CSRF),也被稱為 One Click Attack 或者 Session Riding ,通常縮寫為CSRF,是一種對網站的惡意利用。通常利用受害者尚未失效的身份認證資訊(coo

DVWA通關(五、檔案上傳)

檔案上傳漏洞介紹 File Upload,即檔案上傳漏洞,通常是由於對上傳檔案的型別,內容沒有進行嚴格的過濾,檢查,使得可以通過上傳惡意檔案(比如webshell)獲取伺服器許可權。

DVWA靶場(七、盲注)

一、盲注介紹 盲注就是在SQL注入過程中,伺服器並沒有給客戶端返回資訊。通過盲注可以對程式對應的資料儲存區進行對應的探測。盲注分類可以分為基於時間和基於布林以及基於報錯的盲注。

DVWA靶場-brute force學習筆記

技術標籤:安全http經驗分享 文章目錄 lowMediumHighimpossible low <?php if( isset( $_GET[ \'Login\' ] ) ) {

DVWA靶場學程式碼審計

DVWA是較為經典的一個傳統漏洞的靶場 內建了low,medium,hight,impossible四個安全級別供安全人員去研究相關漏洞。今天就來對impossible這個級別進行程式碼審計,從中學習一下傳統漏洞的程式碼層面的防禦措施。

Upload-labs 檔案上傳靶場通關攻略(下)

Upload-Labs靶場攻略(下) Pass-11 GET型傳參,上傳目錄可設定,考慮00截斷,在/upload/後新增1.php%00,即可上傳

OS command injection:OS命令注入漏洞

目錄什麼是作業系統命令注入?執行任意命令有用的命令盲作業系統命令注入漏洞使用時間延遲檢測盲作業系統命令注入通過重定向輸出來利用盲作業系統命令注入使用帶外 ( OAST ) 技術利用 OS 命令盲注入注入作業系統命令

Lab: Blind OS command injection with output redirection:基於輸出重定向的系統命令盲注

@目錄靶場內容:漏洞分析關鍵 截圖: 靶場內容: 本實驗在反饋功能中包含一個OS 命令盲注入漏洞。