1脚本语言(如PHP)优点是简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要一些除去web的特殊功能时,就需要调用一些外部程序。
2在PHP中可以调用外部程序的常见函数:
• system
• exec
• shell_exec
• passthru
• popen
• proc_popen
3导致命令执行漏洞的原因较多,主要包括以下几类:
• 代码层过滤不严格
一些商业应用需要执行命令,商业应用的一些核心代码可能封装在二进制文件中,在web应用中通过 system函数来调用之:
system("/bin/program --arg $arg");
• 调用第三方组件存在代码执行漏洞
很典型的就是WordPress中,可以选择使用 ImageMagick这个常用的图片处理组件,对用户上传的图片进行处理(默认是
ImageMagick库),造成命令执行。
另外JAVA中的命令执行漏洞(struts2/Elasticsearch Groovy等)很常见。
典型的漏洞代码
<?php
system($GET_[cmd]);
?>
http://127.0.0.1:8080/?cmd=id
http://192.168.188.66/index.php?cmd=
|I ping -i 30 127.0.0.1 ; x II ping -n 30 127.0.0.1 &
如果应用程序过滤掉某些命令分隔符,为加大检测到命令注人漏洞的可能性,还应该轮流 向每一个目标参数提交下面的每个测试字符串,并监控应用程序进行响应的时间。
I ping -i 30 127.0.0.1 I
I ping -n 30 127.0.0.1 I
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
;ping 127.0.0.1 ;
%0a ping -i 30 127.0.0.1 %0a ' ping 127.0.0.1 '
如果发生时间延迟,说明应用程序可能易于受到命令注人攻击。重复几次测试过程, 确定延迟不是由于网络延时或其他异常造成的。可以尝试更改-n或-i参数的值,并确定经历的时间延迟是否会随着提交的值发生对应的变化。
使用所发现的任何一个可成功实施攻击的注人字符串,尝试注人另一个更有用的命令 (如Is或dir),确定是否能够将命令结果返回到浏览器上。
如果不能直接获得命令执行结果,还可以采用其他方法。
□可以尝试打开一条通向自己计算机的带外通道。尝试使用TFTP上传工具至服务器, 使用telnet或netcat建立一个通向自己计算机的反向shell,并使用mail命令通过SMTP 发送命令结果。
□可以将命令结果重定向到Web根目录下的一个文件,然后使用浏览器直接获取结
果。例如:dir > c:\inetpub\wwwroot\foo.txt
一旦找到注人命令的方法并能够获得命令执行结果,就应当城定自己的权限(通过使 用whoami或类似命令,或者尝试向一个受保护的目录写人一个无害的文件)。然后就可以设 法提升自己的权限,进而秘密访问应用程序中的敏感数据,或者通过被攻破的服务器攻击其他主机。
修复方案
1. 能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在PHP配置文件php.ini的禁用函数功能disable_functions中禁用。
2. 对于可控点是程序参数的情况,使用escapeshellcmd函数进行过滤。
3. 对于可控点是程序参数的值的情况,使用escapeshellarg函数进行过滤。
4. 参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义。
