dvwa-Command Injection

Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一

LOW

1 查看服务器端源代码

image.png

2 相关函数

stristr(string,search,before_search)

stristr函数搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点),如果未找到所搜索的字符串,则返回 FALSE

参数 描述
string 必需。规定被搜索的字符串。
search 必需。规定要搜索的字符串。
如果该参数是数字,则搜索匹配该数字对应的 ASCII 值的字符。
before_search 可选。默认值为 "false" 的布尔值。
如果设置为 "true",它将返回 search 参数第一次出现之前的字符串部分。

php_uname() 返回了运行 PHP 的操作系统的描述

参数 描述
”a” (此为默认,包含序列”s n r v m”里的所有模式)
”s ” (返回操作系统名称)
”n” (返回主机名)
” r” (返回版本名称)
”v” (返回版本信息)
”m” (返回机器类型)。

可以看到,服务器通过判断操作系统执行不同ping命令,但是对ip参数并未做任何的过滤,导致了严重的命令注入漏洞

命令执行漏洞概念:当web应用程序需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数 在远程服务器上执行任意系统命令

命令执行漏洞

常用命令执行函数

exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec() 、反引号` 实际上是使用shell_exec()函数

system() 输出并返回最后一行shell结果。
exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。
passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。

漏洞利用及绕过姿势

| 命令管道符

<>>> 文件重定向符

测试: 0 | dir c:

代码只过滤了部分特殊字符,可以考虑用其他字符进行测试,这边列举一下Window/Linux可利用的特殊字符:

windows支持:

| 直接执行后面的语句 ping 127.0.0.1|whoami

|| 前面出错执行后面的 ,前面为假 ping 2 || whoami

& 前面的语句为假则直接执行后面的,前面可真可假 ping 127.0.0.1&whoami

&&前面的语句为假则直接出错,后面的也不执行,前面只能为真 ping 127.0.0.1&&whoami

Linux支持:

; 前面的执行完执行后面的 ping 127.0.0.1;whoami

| 管道符,显示后面的执行结果 ping 127.0.0.1|whoami

ll 当前面的执行出错时执行后面的 ping 1||whoami

& 前面的语句为假则直接执行后面的,前面可真可假 ping 127.0.0.1&whoami

&&前面的语句为假则直接出错,后面的也不执行,前面只能为真 ping 127.0.0.1&&whoami

解题:

由服务端代码知 没有对特殊字符进行过滤
输入

127.0.0.1
image.png

输入

127.0.0.1&&net user
image.png

Linux下输入127.0.0.1&&cat /etc/shadow甚至可以读取shadow文件,可见危害之大

DVWA乱码问题的解决办法:

  1. 到DVWA安装目录下(.../WWW/DVWA-master/dvwa/includes)寻找文件dvwaPage.inc.php

  2. 打开这个文件,然后在全文查找charset=utf-8,将所有utf-8修改为gb2312。

    注意:有好几处charset=utf-8,要全部修改成charset=gb2312。记得保存。

  3. 接下来再使用DVWA就不会乱码啦。

Medium

1 查看服务器端代码

image.png

str_replace() 函数替换字符串中的一些字符(区分大小写)
str_replace(find,replace,string,count)

参数 描述
find 必需。规定要查找的值。
replace 必需。规定替换 find 中的值的值。
string 必需。规定被搜索的字符串。
count 可选。一个变量,对替换数进行计数。

array_keys() 函数返回包含数组中所有键名的一个新数组
array_keys(array,value,strict)

参数 描述
array 必需。规定数组。
value 可选。您可以指定键值,然后只有该键值对应的键名会被返回。
strict 可选。与 value 参数一起使用。可能的值:
true - 返回带有指定键值的键名。依赖类型,数字 5 与字符串 "5" 是不同的。
false - 默认值。不依赖类型,数字 5 与字符串 "5" 是相同的。

运行实例

<!DOCTYPE html>
<html>
<body>

<?php
$a=array("Volvo"=>"XC90","BMW"=>"X5","Toyota"=>"Highlander");
print_r(array_keys($a));
?>

</body>
</html>
输出结果:  Array ( [0] => Volvo [1] => BMW [2] => Toyota )

相比Low级别的代码,服务器端对ip参数做了一定过滤,即把”&&” 、”;”删除,本质上采用的是黑名单机制
但是对 "&" 没有进行过滤
”&&”与” &”的区别:

Command 1&&Command 2
先执行Command 1,执行成功后执行Command 2,否则不执行Command 2

Command 1&Command 2
先执行Command 1,不管是否成功,都会执行Command 2
所以可以输入

 127.0.0.1&net user
image.png

由于使用的是str_replace把”&&” 、”;”替换为空字符,因此可以采用以下方式绕过:
127.0.0.1&;&ipconfig
这是因为”127.0.0.1&;&ipconfig”中的” ;”会被替换为空字符,这样一来就变成了”127.0.0.1&& ipconfig” ,会成功执行


image.png

High

服务器端核心代码


image.png

从源码可以知道
黑名单看似过滤了所有的非法字符,但仔细观察到是把”| ”(注意这里|后有一个空格)替换为空字符,于是 ”|”成了“漏网之鱼”。
127.0.0.1|net user


image.png

Command 1 | Command 2
“|”是管道符,表示将Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果

Impossible

服务端代码


image.png

相关函数
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠
stripslashes函数会删除字符串中的反斜杠,返回已剥离反斜杠的字符串
explode() 函数把字符串打散为数组

参数 描述
separator 必需。规定在哪里分割字符串。
string 必需。要分割的字符串。
limit 可选。规定所返回的数组元素的数目

is_numeric(string)
检测string是否为数字或数字字符串,如果是返回TRUE,否则返回FALSE。

Generate Anti-CSRF token
生成反CSRF令牌

推荐阅读更多精彩内容