渗透原理——PHP命令注入攻击

逃离我推掉我的手 2021-07-25 23:19 350阅读 0赞

![在这里插入图片描述][20191127065224837.png]

--------------------

QQ 1285575001  
Wechat M010527  
技术交流 QQ群599020441  
纪年科技aming

--------------------

### \#命令注入攻击（Command Injection） ###

黑客通过利用HTML代码输入机制缺陷  
(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。  
从而可以使用系统命令操作，实现使用远程数据来构造要执行的命令的操作。

PHP中可以使用下列四个函数来执行外部的应用程序或函数：
      system、
      exec、
      passthru、
      shell_exec，
      四个函数的原型如下：

###### string system(string command, int &return\_var) ######

command 要执行的命令；  
return\_var 存放执行命令的执行后的状态值。

string exec (string command, array &output, int &return\_var)  
command 要执行的命令，  
output 获得执行命令输出的每一行字符串，  
return\_var 存放执行命令后的状态值。

void passthru (string command, int &return\_var)  
command 要执行的命令，  
return\_var 存放执行命令后的状态值。

string shell\_exec (string command)  
command 要执行的命令，

如下例所示，  
表示通过提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd操作，  
执行命令变成了system(“ls -al | cat /etc/passwd”)，  
输出/etc/passwd 文件的具体内容。

//ex1.php 
    
          <?php
    
          $dir = $_GET["dir"]; 
    
          if (isset($dir)) 
    
          {  
    
              echo ""; 
    
              system("ls -al ".$dir); 
    
             echo ""; 
    
          } 
    
          ?>

--------------------

服务器配置：apache+php+Mysql；  
实验网址（http://10.1.1.11:81)

--------------------

## \#使远程服务器执行“whoami”的命令\# ##

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70]![在这里插入图片描述][20191127065859364.png]  
程序获取GET参数ip，然后拼接到system（）函数中，利用system（）函数执行ping的功能，  
但是此处没有对参数ip进行过滤和检测，  
导致可以利用管道符执行其它的系统命令

“|”在windows中的意思是：把前面的结果当成后面的输入，  
我们用ip=127.0.0.1|whoami来试一下  
![在这里插入图片描述][20191127070022635.png]  
后面的命令执行成功，得到我们的身份是system![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 1]  
“&”在windows中的意思是：两条命令一起执行，先执行前面再执行后面，  
我们用ip=127.0.0.1&whoami来试一下![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 2]  
原因是在ulr中，“&”是一个连接符号，会被转义成“%26”，  
那我们直接使用“%26”，它就会被转义成真正的“&”，  
所以我们不妨使用ip=127.0.0.1%26whoami再试一下![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 3]“||”在windows中的意思是：当前面一个执行失败，则执行后面的，  
我们用ip=127.0.0.1||whoami来试一下![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 4]  
这一次whoami命令并没有被执行，这是因为前面的命令可以执行，  
我们只要把前面的命令搞成不能执行的，让它自动执行下一条命令，  
根据前面提供的关键代码，我们知道只要传入了正常的ip地址，  
命令（ping）就会成功执行，所以我们试试把ip地址消除，  
用ip=||whoami来试一下![在这里插入图片描述][20191127071624465.png]

##### \#使远程服务器执行ipconfig命令\# #####

![在这里插入图片描述][20191127065918721.png]

preg\_match() 函数用于进行正则表达式匹配，  
成功返回 1 ，否则返回 0 。  
preg\_match() 匹配成功一次后就会停止匹配，  
如果要实现全部结果的匹配，则需使用 preg\_match\_all() 函数。

header()函数的作用是：  
发送一个原始 HTTP 标头\[Http Header\]到客户端。  
标头 (header) 是服务器以 HTTP 协议传 HTML 资料到浏览器前所送出的字串，  
标头与 HTML 文件之间尚需空一行分隔。

这段代码对ip地址进行了简单的过滤，如果它匹配到，它会执行下面system那条命令，  
如果它没有匹配到，它就无法执行下面那条命令（即ping），

首先想到的思路就是让它发生错误，执行失败，  
使用双管道让它执行ipconfig，接下来我们用ip=127.||ipconfig试一下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 5]使用单管道（ip=127.0.0.1|ipconfig）试一试：![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 6]我们使用“%26”（ip=127.0.0.1%26ipconfig）试一试：![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 7]

我们可以通过ping命令返回结果中的TTL项查看服务器的操作系统：  
LINUX——64  
WIN2K/NT——128  
WINDOWS系列——32  
UNIX系列——255（前面为操作系统，后面为TTL值）  
通过ping返回结果，看TTL值与哪项最为接近，服务器就是哪个操作系统。![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 8]TTL值为52，则它与64之间跨了12个路由，所以它的服务器应该是LINUX。

接下来补充一些常用的管道符：

Windows系统支持的管道符如下：

“|”：直接执行后面的语句。  
“||”：如果前面的语句执行失败，则执行后面的语句，前面的语句只能为假才行。  
“&”：两条命令都执行，如果前面的语句为假则直接执行后面的语句，前面的语句可真可假。  
“&&”：如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句为真则两条命令都执行，前面的语句只能为真。

Linux系统支持的管道符如下：

“;”：执行完前面的语句再执行后面的语句。  
“|”：显示后面语句的执行结果。  
“||”：当前面的语句执行出错时，执行后面的语句。  
“&”：两条命令都执行，如果前面的语句为假则执行执行后面的语句，前面的语句可真可假。  
“&&”：如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句为真则两条命令都执行，前面的语句只能为真。

[20191127065224837.png]: /images/20210725/90c27bb6786e476681a39a33b75e2ea5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20191127065743445.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw,size_16,color_FFFFFF,t_70
[20191127065859364.png]: /images/20210725/b9e966e323df4e85a65075c86f652b2d.png
[20191127070022635.png]: /images/20210725/2a2a99b09d2845578673dd04b87113be.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 1]: /images/20210725/062e8451a95e47ccabae3be8e7fc2087.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 2]: /images/20210725/ba5d3111f33f491e8936707f7b18c0c0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 3]: /images/20210725/1551bd1f3c684835bf81d5b96284d75e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 4]: /images/20210725/cf70132692d4407f8e0568e2776764f5.png
[20191127071624465.png]: /images/20210725/fdba6003f6a34dd883b2546cf6911ff0.png
[20191127065918721.png]: /images/20210725/dcbcc284544c41e893790e44910075b8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 5]: https://img-blog.csdnimg.cn/20191127071812991.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 6]: https://img-blog.csdnimg.cn/2019112707190256.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 7]: /images/20210725/9a07c0ea324e4b81bd7cde1b427f946d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzNjA4MDAw_size_16_color_FFFFFF_t_70 8]: /images/20210725/083f5c93d10f4aee9574c71d658ad6b4.png