Web渗透命令行注入.docx

Web渗透命令行注入.docx

《Web渗透命令行注入.docx》由会员分享，可在线阅读，更多相关《Web渗透命令行注入.docx（12页珍藏版）》请在冰豆网上搜索。

Web渗透命令行注入

Web渗透-命令行注入

CommandInjection，即命令注入，是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。

PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!

、DedeCMS等都曾经存在过该类型漏洞。

本次实验一共有3台虚拟机,一台CentOS7，一台windows 7，另一台kali。

启动虚拟机，通过界面获得实验机IP地址。

本次实验中CentOS7的IP地址为192.168.0.101,内含DVWA系统，kali系统的IP地址为192.168.0.100。

kali-2016账号：

root密码：

123456

windows7账号：

Administrator 密码：

123456

CentOS7账号：

root密码：

123456

按以下步骤进行实验

1.登录DVWA

实验者用windows 7访问CentOS7,在浏览器输入URL http:

//192.168.0.101, 进入如下界面：

登录访问DVWA，默认用户名：

admin密码：

password

1.初级注入

登录之后，将dvwa的安全级别调成low,low代表安全级别最低，存在较容易测试的漏洞。

设置方式如下图：

选择“low”点击“Submit”即可

进入命令行注入页面，如下图：

点击“ViewSource”，查看源代码，如下图：

源代码中使用stristr和php_uname函数。

stristr函数搜索字符串在另一字符串中的第一次出现，返回字符串的剩余部分（从匹配点），如果未找到所搜索的字符串，则返回FALSE。

参数string规定被搜索的字符串，参数search规定要搜索的字符串（如果该参数是数字，则搜索匹配该数字对应的ASCII值的字符），可选参数before_true为布尔型，默认为“false”，如果设置为“true”，函数将返回search参数第一次出现之前的字符串部分。

php_uname（mode）函数会返回运行php的操作系统的相关描述，参数mode可取值”a” （此为默认，包含序列”snrvm”里的所有模式），”s ”（返回操作系统名称），”n”（返回主机名），” r”（返回版本名称），”v”（返回版本信息）， ”m”（返回机器类型）。

可以看到，服务器通过判断操作系统执行不同ping命令，但是对ip参数并未做任何的过滤，导致了严重的命令注入漏洞。

然后注入

127.0.0.1&&cat/etc/passwd

点击“Submit”,结果如下图：

1.中级注入

将dvwa的安全级别设置成Medium,  查看页面源代码，如下图:

可以看到，相比Low级别的代码，服务器端对ip参数做了一定过滤，即把“&&”，“；”删除，本质上采用的是字符黑名单机制，因此依旧存在安全问题

注入：

127.0.0.1&cat/etc/passwd

点击“Submit”后执行注入结果如下图：

1.高级注入

将dvwa的安全级别设置成High,  查看页面源代码，如下图:

字符黑名单看似过滤了所有的非法字符，但仔细观察到是把”|”（注意这里|后有一个空格）替换为空字符，于是 ”|”成了“漏网之鱼”。

注入

127.0.0.1|cat/etc/passwd

注入后执行结果如下图：

1.无漏洞代码分析

将dvwa的安全级别设置成Impossible,  如下图

回到“CommandLine”页面，查看页面源代码，如下图:

源代码分析：

系统使用stripslashes，explode，is_numeric函数增加安全性，其中stripslashes会删除字符串string中的反斜杠，返回已剥离反斜杠的字符串。

explode（separator,string,limit）

把字符串打散为数组，返回字符串的数组。

参数separator规定在哪里分割字符串，参数string是要分割的字符串，可选参数limit规定所返回的数组元素的数目。

is_numeric（string）

检测string是否为数字或数字字符串，如果是返回TRUE，否则返回FALSE。

同时Impossible级别的代码加入了Anti-CSRF token，同时对参数ip进行了严格的限制，只有诸如“数字.数字.数字.数字”的输入才会被接收执行，因此不存在命令注入漏洞。

1.实验结束