DVWA中命令执行(Command Injection)

本文深入解析命令注入攻击的原理及防御策略,通过四个不同难度级别的PHP代码实例,展示了如何利用命令注入漏洞执行恶意代码,以及如何有效防止此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Command Injection

命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。

low

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?> 

stristr(string,search,before_search)

stristr函数搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点),如果未找到所搜索的字符串,则返回 FALSE。参数string规定被搜索的字符串,参数search规定要搜索的字符串(如果该参数是数字,则搜索匹配该数字对应的 ASCII 值的字符),可选参数before_true为布尔型,默认为“false” ,如果设置为 “true”,函数将返回 search 参数第一次出现之前的字符串部分。

php_uname(mode)

这个函数会返回运行php的操作系统的相关描述,参数mode可取值

”a” (此为默认,包含序列”s n r v m”里的所有模式)

”s ”(返回操作系统名称)

”n”(返回主机名)

”r”(返回版本名称)

”v”(返回版本信息)

”m”(返回机器类型)
可以看到,服务器通过判断操作系统执行不同ping命令,但是对ip参数并未做任何的过滤,导致了严重的命令注入漏洞。

输入命令127.0.0.1&&net user

可以看出ip参数没有做任何的过滤就直接放在shell_exec函数中执行了,执行语句为shell_exec( 'ping 127.0.0.1&&net user ')。

命令连接符

command1 & command2 先执行command1后执行command2

command1 && command2 先执行command1后执行command2

&&有短路功能,前面的错了就不执行后面的

command1 | command2 只执行command2

“|”是管道符,表示将Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果。

medium

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?> 

由于使用的是str_replace把”&&”,”;”替换为空字符,因此可以采用以下方式绕过

输入命令127.0.0.1&;&ipconfig

去除;后是&&可以执行

输入命令127.0.0.1&ipconfig    
输入命令127.0.0.1|ipconfig    

high

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);
    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );
    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}
?>

可以看出这里先用trim去掉两边的空格,然后过滤了&,&&,与| 等符号,然而过滤的是|+空格,并没有过滤|

输入命令127.0.0.1|ipconfig  

impossible

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

可以看到,Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞

<think>首先,用户的问题是关于DVWA中的命令注入漏洞测试。用户提到:“我想用户意图是在使用DVWA靶场时尝试进行命令注入(Command Injection)攻击,可能是为了测试或学习安全漏洞利用方法。” 所以,我需要提供关于如何在DVWA中测试命令注入漏洞的指导。 回顾系统级指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 - 引用站内引用:引用[1]是关于DVWA的CSRF教程,引用[2]是关于命令注入的笔记。这些引用是提供的参考,我需要尽可能参考用户的问题和我的回答。 用户的问题具体是:“请问DVWA command injection vulnerability test”,所以我应该直接回答如何测试命令注入漏洞。 结构化回答: 1. **引言**:解释命令注入漏洞是什么,以及它在DVWA中的位置。 2. **步骤**:逐步指导如何在DVWA中测试命令注入漏洞。 3. **示例**:提供一些命令注入的示例代码或命令。 4. **安全提示**:提醒用户在测试时注意安全,因为这是在学习环境中。 5. **生成相关问题**:在末尾添加相关问题。 引用处理: - 在回答中,如果引用到提供的引用内容,需要添加引用标识。例如,提到DVWA模块时引用[^1],提到命令注入语句时引用[^2]。 - 引用[1]:DVWA模块包括命令注入。 - 引用[2]:给出了具体的命令注入语句。 回答必须使用中文。 生成相关问题: - 在末尾添加“相关问题”部分,列出2-3个相关问题。 确保LaTeX使用正确: - 用户的问题中没有数学表达式,所以可能不需要。但如果涉及公式,比如在解释漏洞时,可能需要使用。但DVWA命令注入主要是文本命令,可能不需要数学公式。所以,我可以避免使用,除非必要。 内容大纲: 1. **介绍命令注入漏洞**:简要解释什么是命令注入,以及为什么在DVWA中测试它。 - 引用[^1]:DVWA有命令注入模块。 2. **设置DVWA**:如果需要,简述如何设置DVWA环境(但用户可能已经设置好)。 3. **测试步骤**: - 访问命令注入模块。 - 输入示例命令进行注入。 - 展示结果。 - 提供示例命令,如引用[^2]中的。 4. **示例代码**:可能不需要代码块,因为命令注入是输入命令,而不是代码。但可以展示输入示例。 5. **安全注意事项**:强调只在授权环境中测试。 6. **相关问题**:生成相关问题。 相关问题想法: 1. 如何防止命令注入漏洞? 2. DVWA中其他漏洞的测试方法? 3. 命令注入漏洞的常见利用场景? 最终回答结构: - 开头:直接回答问题。 - 主体:逐步指导。 - 结尾:相关问题。</think>### DVWA命令注入漏洞测试指南 命令注入(Command Injection)漏洞允许攻击者通过输入字段执行任意系统命令,这可能导致服务器被完全控制。在DVWA(Damn Vulnerable Web Application)中,Command Injection模块专门设计用于学习和测试这种漏洞[^1]。下面我将逐步指导您如何在DVWA中安全地进行命令注入漏洞测试。整个过程基于DVWA的低安全级别(Low Security Level),确保操作简单易懂。测试前,请确保您已在本地或隔离环境中部署DVWA,避免对真实系统造成风险。 #### 步骤1: 设置DVWA环境 1. **登录DVWA**:访问您的DVWA实例(例如 `http://localhost/dvwa`),使用默认凭据登录(用户名:`admin`,密码:`password`)。 2. **调整安全级别**:在DVWA左侧菜单中,进入“DVWA Security”,将安全级别设为“Low”。这简化了测试,因为低级别未对输入进行过滤。 3. **进入命令注入模块**:导航到“Command Injection”模块(位于DVWA主菜单中)。您会看到一个表单,提示输入IP地址进行ping测试[^1]。 #### 步骤2: 执行命令注入测试 命令注入的原理是通过输入字段注入额外命令。DVWA的表单设计为ping一个IP地址,但我们可以添加特殊字符(如`|`、`&`或`;`)来串联其他命令。以下是关键测试方法: - **基础注入**:在输入框中输入一个合法IP地址(如`127.0.0.1`),后接管道符`|`和额外命令。例如: - 输入:`127.0.0.1 | whoami` 这将执行ping命令后运行`whoami`(显示当前用户),输出结果会显示在页面上,例如: ``` PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.05 ms ...(ping输出)... root # whoami命令的输出 ``` 这确认漏洞存在,因为用户命令被成功执行。 - **进阶注入**:使用更复杂的命令来测试系统权限或创建用户。参考常见注入语句[^2]: - 输入:`127.0.0.1 | net user` 列出系统用户,检查服务器权限。 - 输入:`127.0.0.1 | net user test 123 /add` 尝试添加新用户(用户名为`test`,密码`123`),成功后可在系统中验证。 - 输入:`127.0.0.1 | net localgroup administrators test /add` 将用户`test`提升为管理员组(仅在高权限环境有效)。 **关键技巧**: - 使用`&&`或`;`确保命令顺序执行(例如`127.0.0.1 ; ls` 列出目录)。 - 在Windows系统中,命令可能需调整(如用`dir`代替`ls`)。 - 如果输出被截断,尝试重定向到文件(如`127.0.0.1 | echo "test" > output.txt`)。 #### 步骤3: 分析结果和风险 - **漏洞确认**:如果额外命令的输出显示在页面上,说明注入成功。这暴露了服务器未对用户输入进行过滤的风险。 - **安全注意事项**: - 仅在本地或虚拟环境中测试,避免非法入侵。 - 在DVWA的高安全级别下,测试会失败(因为输入被消毒),这有助于学习防御机制。 - 测试后,恢复DVWA状态(例如删除添加的用户)。 命令注入漏洞源于应用程序未对用户输入进行转义或验证,常见于Web表单调用系统命令的场景[^2]。通过DVWA的测试,您可以深入理解漏洞原理,并为实际防御提供基础。 #### 相关问题 1. 如何防止命令注入漏洞在Web应用中出现? 2. DVWA中文件上传(File Upload)漏洞的测试方法是什么? 3. 命令注入漏洞在真实网络攻击中有哪些典型案例? [^1]: DVWA包含多个模块,如Command Injection,用于安全学习。引用来源:新手指南:DVWA全级别教程之CSRF。 [^2]: 命令注入语句示例,如`net user`操作。引用来源:DVWA笔记(二)Command Injection(命令注入)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值