DVWA-對Command Injection(命令注入)的簡單演示與分析

時間  2020-05-06
標籤 dvwa command injection 命令 注入 簡單 演示 分析 简体版
原文   原文鏈接

  1. 前言

上一篇文章中,對命令注入進行了簡單的分析,有興趣的能夠去看一看,文章地址 http://www.javashuo.com/article/p-sjhzgzod-dw.html,今天這篇文章以DVWA的Command Injection(命令注入)模塊爲例進行演示與分析,本地搭建DVWA程序能夠看這篇文章 https://www.cnblogs.com/lxfweb/p/12678463.html,經過對DVWA不一樣等級的代碼分析,看看它是如何作的防護。php

漏洞利用與分析

low級別(低級別)

首先查看low級別的核心代碼html

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

 能夠發現上面的代碼,用了stristr(),php_uname(),函數,這是用來判斷當前的系統是不是Windows,由於Windows和Linux下的ping命令執行參數是不一樣的。接下來是用shell_exec函數來執行ping命令,並將結果輸出。咱們發現low級別的代碼,對用戶的輸入沒有作任何的過濾。存在很大的安全隱患。例如使用管道符「|」查看當前端口,輸入下列內容前端

127.0.0.1|netstat -ano

結果以下圖web

 

 

 這裏不止可使用「|」,在DOS下容許同時執行多條命令的符號主要有如下幾個shell

  1. & 鏈接符  執行完第一個命令,執行第二個命令
  2. && 只有上一個執行成功,才執行下一個命令
  3. |  管道符  讓前一命令的輸出當作後一命令的輸入,就是說前面命令的結果當作一個參數傳遞給後面命令處理 
  4. ||    只有上一個執行失敗,才執行下一個命令

能夠用鏈接符直接接net user zhangsan 123/add 建立用戶 接着鏈接提權命令 net localgroup administrators zhangsan /add 拿下整個服務器安全

Medium(中級別)

如今看一下,中級別的核心代碼,看一看增長了哪些防護服務器

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

咱們發現,中級的代碼,對參數作了一點過濾,把&&和;刪除,至關於黑名單的形式,在Linux中;也能夠起鏈接做用,依次執行多個命令。咱們能夠嘗試|  ||  & &;& ,這裏以||舉例,||前面報錯,後面執行我們構造的命令,結果以下圖session

 

 

 high(高級別)

如今查看高級別的核心代碼函數

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

 

高級別的代碼對黑名單進行了進一步完善,好像過濾了全部危險字符,仔細觀察黑名單裏「|」管道符,後面有一個空格「| 」 這樣能夠嘗試「 |」 發現成功繞過,結果以下圖spa

 

 

 Impossible(無漏洞)

查看核心代碼

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

 

經過查看Impossible級別的代碼加入了Anti-CSRF token,而且採用白名單的方式,對參數ip進行了嚴格的限制,只接受X.X.X.X(X只能爲數字),所以不存在命令執行漏洞。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程