命令执行漏洞

1脚本语言(如PHP)优点是简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要一些除去web的特殊功能时,就需要调用一些外部程序。

2在PHP中可以调用外部程序的常见函数:

• system

• exec

• shell_exec

• passthru

• popen

• proc_popen

3导致命令执行漏洞的原因较多,主要包括以下几类:

• 代码层过滤不严格

一些商业应用需要执行命令,商业应用的一些核心代码可能封装在二进制文件中,在web应用中通过 system函数来调用之:

system("/bin/program --arg $arg");

• 调用第三方组件存在代码执行漏洞

很典型的就是WordPress中,可以选择使用 ImageMagick这个常用的图片处理组件,对用户上传的图片进行处理(默认是

ImageMagick库),造成命令执行。

另外JAVA中的命令执行漏洞(struts2/Elasticsearch Groovy等)很常见。

典型的漏洞代码

<?php

system($GET_[cmd]);

?>

http://127.0.0.1:8080/?cmd=id

http://192.168.188.66/index.php?cmd=

|I ping -i 30 127.0.0.1 ; x II ping -n 30 127.0.0.1 &

如果应用程序过滤掉某些命令分隔符,为加大检测到命令注人漏洞的可能性,还应该轮流 向每一个目标参数提交下面的每个测试字符串,并监控应用程序进行响应的时间。

I ping -i 30 127.0.0.1 I

I ping -n 30 127.0.0.1 I

& ping -i 30 127.0.0.1 &

& ping -n 30 127.0.0.1 &

;ping 127.0.0.1 ;

%0a ping -i 30 127.0.0.1 %0a ' ping 127.0.0.1 '

如果发生时间延迟,说明应用程序可能易于受到命令注人攻击。重复几次测试过程, 确定延迟不是由于网络延时或其他异常造成的。可以尝试更改-n或-i参数的值,并确定经历的时间延迟是否会随着提交的值发生对应的变化。

使用所发现的任何一个可成功实施攻击的注人字符串,尝试注人另一个更有用的命令 (如Is或dir),确定是否能够将命令结果返回到浏览器上。

如果不能直接获得命令执行结果,还可以采用其他方法。

□可以尝试打开一条通向自己计算机的带外通道。尝试使用TFTP上传工具至服务器, 使用telnet或netcat建立一个通向自己计算机的反向shell,并使用mail命令通过SMTP 发送命令结果。

□可以将命令结果重定向到Web根目录下的一个文件,然后使用浏览器直接获取结

果。例如:dir > c:\inetpub\wwwroot\foo.txt

一旦找到注人命令的方法并能够获得命令执行结果,就应当城定自己的权限(通过使 用whoami或类似命令,或者尝试向一个受保护的目录写人一个无害的文件)。然后就可以设 法提升自己的权限,进而秘密访问应用程序中的敏感数据,或者通过被攻破的服务器攻击其他主机。

修复方案

1. 能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在PHP配置文件php.ini的禁用函数功能disable_functions中禁用。

2. 对于可控点是程序参数的情况,使用escapeshellcmd函数进行过滤。

3. 对于可控点是程序参数的值的情况,使用escapeshellarg函数进行过滤。

4. 参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义。

推荐阅读更多精彩内容