dvwa-命令执行漏洞

前言：命令执行和代码执行也是web安全中常见的一种漏洞，这次就先来学习一下命令执行漏洞。

Command Execution

一、简介

由于开发人员在编写源代码时，没有对源代码中可执行的特殊函数入口做过滤，导致客户端可以提交一些cmd命令，并交由服务器程序执行。导致攻击者可以通过浏览器或者其他客户端软件提交一些cmd命令（或者bash命令）至服务器程序，服务器程序通过system、eval、exec等函数直接或者间接地调用cmd.exe执行攻击者提交的命令。

二、常用的连接符

A;B    先执行A，再执行B
A&B    简单拼接，A B之间无制约关系
A|B    显示B的执行结果
A&&B   A执行成功，然后才会执行B
A||B   A执行失败，然后才会执行B


1
2
3
4
5
6

三、常用的函数

exec() — 执行一个外部程序
#exec 不会主动返回执行结果,且只是返回结果的最后一行;
passthru() — 执行外部程序并且显示原始输出
#passthru()用来执行外部命令,但直接将结果输出到浏览器(未经任何处理的 原始输出),没有返回值;
system() — 执行外部程序，并且显示输出
#system()成功则返回命令输出的最后一行，失败则返回 FALSE;
shell_exec() — 通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回。
#当进程执行过程中发生错误，或者进程不产生输出的情况下，都会返回 NULL
eval()：将输入的字符串参数当做PHP程序代码来执行


1
2
3
4
5
6
7
8
9
10

具体可以参考php中文网

四、windows net命令

Net ViewI
作用：显示域列表、计算机列表或指定计算机的共享资源列表。
Net User
作用：添加或更改用户帐号或显示用户帐号信息。
Net Use
作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。
Net Time
作用：使计算机的时钟与另一台计算机或域的时间同步。
Net Config
作用：显示当前运行的可配置服务，或显示并更改某项服务的设置。


1
2
3
4
5
6
7
8
9
10
11

具体可以参考大师傅的博客CMD-NET命令详解这个漏洞是真的恐怖，可以任意修改你的计算机里的内容。

在了解了基础的知识后，下面就通过DVWA来练习一下Command Execution.

DVWA——Command Injection

在此之前先来解决乱码的问题

在DVWA\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”，修改”charset=gb2312”，即可解决乱码问题。


low

观察源码

stristr() 函数搜索字符串在另一字符串中的第一次出现，不区分大小写
php_uname() 返回了运行 PHP 的操作系统的描述。
参数：
'a'：此为默认。
's'：操作系统名称。
'n'：主机名。
'r'：版本名称。
'v'：版本信息。
'm'：机器类型。


1
2
3
4
5
6
7
8
9
10

通过源码可以看出，源码只是针对不同的操作系统执行不同的ping命令而已，没有对ip参数并未做任何的过滤，因此存在命令注入漏洞。

输入

127.0.0.1&&echo "Hello"


1
2

回显结果执行了我输入的echo "Hello"命令

接下来输入

127.0.0.1&&net user


1
2

命令执行成功，但这个漏洞是真的恐怖，如果攻击者利用这个漏洞修改电脑用户、更改系统配置。。。，可见危害之大。

medium

观察源码

发现这段代码

$target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 
  #array_keys() 函数返回包含数组中所有键名的一个新数组。


1
2
3

过滤了&&、；，但是没有过滤掉&、|,所以依旧有漏洞存在

输入

127.0.0.1 | net user


1
2

也可以输入

127.0.0.1& net user


1
2

一样会执行成功

除此之外，也可以采用拼接的方法进行绕过

127.0.0.1&;&net user


1
2

High

观察源码

这次过滤的更狠，几乎过滤了所有的常用连接符，拼接的方法也是不起作用的，但是观察代码发现

|+空格多出一个空格，所以不会过滤|那就利用这个漏洞进行命令执行

输入

127.0.0.1 |net user


1
2

impossible

观察源码

stripslashes(string)
#stripslashes函数会删除字符串string中的反斜杠，返回已剥离反斜杠的字符串。
explode(separator,string,limit)
#explode()函数把字符串打散为数组，返回字符串的数组。参数separator规定在哪里分割字符串，参数string是要分割的字符串，可选参数limit规定所返回的数组元素的数目
is_numeric(string)
#is_numeric()函数检测string是否为数字或数字字符串，如果是返回TRUE，否则返回FALSE。


1
2
3
4
5
6
7

Impossible级别的代码加入了Anti-CSRF token，同时对参数ip进行了严格的限制，只有“数字.数字.数字.数字”的输入才会被接收执行，因此不存在命令注入漏洞。