DVWA 黑客攻防演练(三)命令行注入(Command Injection)

本文探讨DVWA平台中不同级别的命令行注入防御措施,从低到不可能级别,分析其代码实现及绕过方法,揭示参数校验的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章会讨论 DVWA 中低、中、高、不可能级别的命令行注入

这里的需求是在服务器上可以 ping 一下其他的服务器
1409313-20181225110327255-216078005.png

低级

Hacker 试下输入 192.168.31.130; cat /etc/apache2/apache2.conf;

1409313-20190103114853767-2030028278.png

瞬间爆炸, 竟然是直接执行 shell 的结果。再看看代码

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?> 

竟然没有任何的参数校验!这主机安全可以说是形同虚设。 Hacker 竟然不废任何力气,就得到一个 weshell 了!接下来的攻击主要是就看攻击者的想象力了,什么改掉你的文件,什么创建个新页面做负载均衡,批量将 php 重名了。。。

中级

中级代码有做了一点参数校验

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?> 

会将有;&&都移除了。

Hacker 试了一下 || cat /etc/apache2/apache2.conf 。。。注入成功。而 || 的意思是第一条命令执行失败就会执行下一条。。。

Hacker 又试了一下 & cat /etc/apache2/apache2.conf。。。注入也成功。 &是后台执行,然后再执行新的代码。

主要是过滤太少的参数了。

高级

高级的话就过滤的参数比较多。

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?> 

|cat /etc/apache2/apache2.conf 就可以了,因为 substitutions 中的 | 后面有个空格, |+<space>才会被替换 。。。有点无语

不可能

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

不能级别,添加了 token 用来对付 CSRF 跨域请求攻击。还对参数进行真正的验证,只有 ip 参数才能够 ping。如果是我写的话可能会用估计会用正则表达式。这个方式验证也可以了。

转载于:https://www.cnblogs.com/jojo-feed/p/10172770.html

<think>首先,用户的问题是关于DVWA中的命令注入漏洞测试。用户提到:“我想用户意图是在使用DVWA靶场时尝试进行命令注入Command Injection攻击,可能是为了测试或学习安全漏洞利用方法。” 所以,我需要提供关于如何在DVWA中测试命令注入漏洞的指导。 回顾系统级指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 - 引用站内引用:引用[1]是关于DVWA的CSRF教程,引用[2]是关于命令注入的笔记。这些引用是提供的参考,我需要尽可能参考用户的问题和我的回答。 用户的问题具体是:“请问DVWA command injection vulnerability test”,所以我应该直接回答如何测试命令注入漏洞。 结构化回答: 1. **引言**:解释命令注入漏洞是什么,以及它在DVWA中的位置。 2. **步骤**:逐步指导如何在DVWA中测试命令注入漏洞。 3. **示例**:提供一些命令注入的示例代码或命令。 4. **安全提示**:提醒用户在测试时注意安全,因为这是在学习环境中。 5. **生成相关问题**:在末尾添加相关问题。 引用处理: - 在回答中,如果引用到提供的引用内容,需要添加引用标识。例如,提到DVWA模块时引用[^1],提到命令注入语句时引用[^2]。 - 引用[1]:DVWA模块包括命令注入。 - 引用[2]:给出了具体的命令注入语句。 回答必须使用中文。 生成相关问题: - 在末尾添加“相关问题”部分,列出2-3个相关问题。 确保LaTeX使用正确: - 用户的问题中没有数学表达式,所以可能不需要。但如果涉及公式,比如在解释漏洞时,可能需要使用。但DVWA命令注入主要是文本命令,可能不需要数学公式。所以,我可以避免使用,除非必要。 内容大纲: 1. **介绍命令注入漏洞**:简要解释什么是命令注入,以及为什么在DVWA中测试它。 - 引用[^1]:DVWA有命令注入模块。 2. **设置DVWA**:如果需要,简述如何设置DVWA环境(但用户可能已经设置好)。 3. **测试步骤**: - 访问命令注入模块。 - 输入示例命令进行注入。 - 展示结果。 - 提供示例命令,如引用[^2]中的。 4. **示例代码**:可能不需要代码块,因为命令注入是输入命令,而不是代码。但可以展示输入示例。 5. **安全注意事项**:强调只在授权环境中测试。 6. **相关问题**:生成相关问题。 相关问题想法: 1. 如何防止命令注入漏洞? 2. DVWA中其他漏洞的测试方法? 3. 命令注入漏洞的常见利用场景? 最终回答结构: - 开头:直接回答问题。 - 主体:逐步指导。 - 结尾:相关问题。</think>### DVWA命令注入漏洞测试指南 命令注入Command Injection)漏洞允许攻击者通过输入字段执行任意系统命令,这可能导致服务器被完全控制。在DVWA(Damn Vulnerable Web Application)中,Command Injection模块专门设计用于学习和测试这种漏洞[^1]。下面我将逐步指导您如何在DVWA中安全地进行命令注入漏洞测试。整个过程基于DVWA的低安全级别(Low Security Level),确保操作简单易懂。测试前,请确保您已在本地或隔离环境中部署DVWA,避免对真实系统造成风险。 #### 步骤1: 设置DVWA环境 1. **登录DVWA**:访问您的DVWA实例(例如 `http://localhost/dvwa`),使用默认凭据登录(用户名:`admin`,密码:`password`)。 2. **调整安全级别**:在DVWA左侧菜单中,进入“DVWA Security”,将安全级别设为“Low”。这简化了测试,因为低级别未对输入进行过滤。 3. **进入命令注入模块**:导航到“Command Injection”模块(位于DVWA主菜单中)。您会看到一个表单,提示输入IP地址进行ping测试[^1]。 #### 步骤2: 执行命令注入测试 命令注入的原理是通过输入字段注入额外命令。DVWA的表单设计为ping一个IP地址,但我们可以添加特殊字符(如`|`、`&`或`;`)来串联其他命令。以下是关键测试方法: - **基础注入**:在输入框中输入一个合法IP地址(如`127.0.0.1`),后接管道符`|`和额外命令。例如: - 输入:`127.0.0.1 | whoami` 这将执行ping命令后运行`whoami`(显示当前用户),输出结果会显示在页面上,例如: ``` PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.05 ms ...(ping输出)... root # whoami命令的输出 ``` 这确认漏洞存在,因为用户命令被成功执行。 - **进阶注入**:使用更复杂的命令来测试系统权限或创建用户。参考常见注入语句[^2]: - 输入:`127.0.0.1 | net user` 列出系统用户,检查服务器权限。 - 输入:`127.0.0.1 | net user test 123 /add` 尝试添加新用户(用户名为`test`,密码`123`),成功后可在系统中验证。 - 输入:`127.0.0.1 | net localgroup administrators test /add` 将用户`test`提升为管理员组(仅在高权限环境有效)。 **关键技巧**: - 使用`&&`或`;`确保命令顺序执行(例如`127.0.0.1 ; ls` 列出目录)。 - 在Windows系统中,命令可能需调整(如用`dir`代替`ls`)。 - 如果输出被截断,尝试重定向到文件(如`127.0.0.1 | echo "test" > output.txt`)。 #### 步骤3: 分析结果和风险 - **漏洞确认**:如果额外命令的输出显示在页面上,说明注入成功。这暴露了服务器未对用户输入进行过滤的风险。 - **安全注意事项**: - 仅在本地或虚拟环境中测试,避免非法入侵。 - 在DVWA的高安全级别下,测试会失败(因为输入被消毒),这有助于学习防御机制。 - 测试后,恢复DVWA状态(例如删除添加的用户)。 命令注入漏洞源于应用程序未对用户输入进行转义或验证,常见于Web表单调用系统命令的场景[^2]。通过DVWA的测试,您可以深入理解漏洞原理,并为实际防御提供基础。 #### 相关问题 1. 如何防止命令注入漏洞在Web应用中出现? 2. DVWA中文件上传(File Upload)漏洞的测试方法是什么? 3. 命令注入漏洞在真实网络攻击中有哪些典型案例? [^1]: DVWA包含多个模块,如Command Injection,用于安全学习。引用来源:新手指南:DVWA全级别教程之CSRF。 [^2]: 命令注入语句示例,如`net user`操作。引用来源:DVWA笔记(二)Command Injection(命令注入)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值