码迷,mamicode.com
首页 > 其他好文 > 详细

DWVA-命令注入漏洞闯关(Command Injection)

时间:2020-02-02 11:46:08      阅读:77      评论:0      收藏:0      [点我收藏+]

标签:src   err   sub   sse   index   check   exp   ali   img   

前言

Vulnerability: Command Injection

LOW级别

代码:

<?php 
if( isset( $_POST[ ‘Submit‘ ]  ) ) { 
    // 几首一个变量为ip的参数
    $target = $_REQUEST[ ‘ip‘ ]; 
    // 判断系统
    if( stristr( php_uname( ‘s‘ ), ‘Windows NT‘ ) ) { 
        // Windows 
        $cmd = shell_exec( ‘ping  ‘ . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( ‘ping  -c 4 ‘ . $target ); 
    } 
    echo "<pre>{$cmd}</pre>"; 
} 
?> 

 

我们分析这个靶场的代码可以看到$_REQUEST接受用户传过来的值 我们并没有看到有什么过滤机制的代码所以 可以输入任何东西。

测试执行ping127.0.0.1没问题 我们利用管道命令来 再加命令语句

技术图片

技术图片

Medium级别

代码:

<?php 

if( isset( $_POST[ ‘Submit‘ ]  ) ) { 
  
    $target = $_REQUEST[ ‘ip‘ ]; 

    // 黑名单过滤
    $substitutions = array( 
        ‘&&‘ => ‘‘, 
        ‘;‘  => ‘‘, 
    ); 

    // 如果有黑名单字符则进行替换
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 

    // 判断系统
    if( stristr( php_uname( ‘s‘ ), ‘Windows NT‘ ) ) { 
        // Windows 
        $cmd = shell_exec( ‘ping  ‘ . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( ‘ping  -c 4 ‘ . $target ); 
    } 
    echo "<pre>{$cmd}</pre>"; 
} 

?> 

我们注意6-9行 这里是个黑名单过滤 我们可以想办法绕过    这里虽然把&&和分号;加入了黑名单,但是我们还可以用逻辑或(||)、管道符(|)或(&)来命令执行  绕过

技术图片

High级别

代码:

<?php 

if( isset( $_POST[ ‘Submit‘ ]  ) ) { 
    // Get input 
    $target = trim($_REQUEST[ ‘ip‘ ]); 

    // 白名单
    $substitutions = array( 
        ‘&‘  => ‘‘, 
        ‘;‘  => ‘‘, 
        ‘| ‘ => ‘‘, //主义这一行 l后面是空格说明仅仅过滤了l+空格 没过滤单独的l
        ‘-‘  => ‘‘, 
        ‘$‘  => ‘‘, 
        ‘(‘  => ‘‘, 
        ‘)‘  => ‘‘, 
        ‘`‘  => ‘‘, 
        ‘||‘ => ‘‘, 
    ); 

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 

    if( stristr( php_uname( ‘s‘ ), ‘Windows NT‘ ) ) { 
        // Windows 
        $cmd = shell_exec( ‘ping  ‘ . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( ‘ping  -c 4 ‘ . $target ); 
    } 

    echo "<pre>{$cmd}</pre>"; 
} 

?> 

 

 

127.0.0.1|net user照样绕过

 

impossible级别

代码:

<?php 

if( isset( $_POST[ ‘Submit‘ ]  ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ ); 

    // Get input 
    $target = $_REQUEST[ ‘ip‘ ]; 
    $target = stripslashes( $target ); //stripslashes()过滤删除由 addslashes() 函数添加的反斜杠。

    // 以.分割命令
    $octet = explode( ".", $target ); 

    // Check IF each octet is an integer 
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // 以.拼接
        $target = $octet[0] . ‘.‘ . $octet[1] . ‘.‘ . $octet[2] . ‘.‘ . $octet[3]; 

        // Determine OS and execute the ping command. 
        if( stristr( php_uname( ‘s‘ ), ‘Windows NT‘ ) ) { 
            // Windows 
            $cmd = shell_exec( ‘ping  ‘ . $target ); 
        } 
        else { 
            // *nix 
            $cmd = shell_exec( ‘ping  -c 4 ‘ . $target ); 
        } 

        // Feedback for the end user 
        echo "<pre>{$cmd}</pre>"; 
    } 
    else { 
        // Ops. Let the user name theres a mistake 
        echo ‘<pre>ERROR: You have entered an invalid IP.</pre>‘; 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?> 

 

DWVA-命令注入漏洞闯关(Command Injection)

标签:src   err   sub   sse   index   check   exp   ali   img   

原文地址:https://www.cnblogs.com/xhds/p/12251389.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!