前言

PHP命令执行漏洞

应用程序的某些功能功能需要调用可以执行系统命令的函数，如果这些函数或者函数的参数被用户控制，就有可能通过命令连接符将恶意命令拼接到正常的函数中，从而随意执行系统命令，这就是命令执行漏洞。

基本函数

1.system()用于执行外部程序，并且显示输出

<?php system('whoami'); ?>

2.exec()函数用于执行一个外部程序

<?php exec('whoami');?>

3.shell_exec()函数通过shell环境执行命令,并且将完整的输出以字符串的方式返回

<?php shell_exec('whoami'); ?>

4.passthru函数用于执行外部程序并且显示原始输出

<?php passthru('whoami'); ?>

5.popen()函数用于打开进程文件指针

• r: 只读。
• w: 只写 (打开并清空已有文件或创建一个新文件)

<?php touch popen("3.txt","r"); ?> 在当前目录创建名为3.txt的文件

6.Proc_popen函数用于执行一个命令，并且打开来输入输出的文件指针(有问题)

proc_open （字符串 $cmd ，数组 $descriptorspec ，数组 &$pipes [，字符串 $cwd=NULL [，数组 $env=NULL[，数组 $other_options=NULL ]]]）

<?php $proc=proc_open("whoami",

                  array(

                      array("pipe","r"),

                      array("pipe","r"),

                      array("pipe","r")),$pipes);

        print stream_get_contents($pipes[i]);

?>

7.反单引号

反单引号(`)是PHP执行运算符，PHP将尝试将返单引号中的内容作为shell命令来执行，并将其输出信息返回 执行下面代码返回whoami的结果

<?php echo `whoami`;?>

Windows下的命令执行漏洞

1.windows下面的命令连接符

windows下的命令连接符:&、&&、|、||

(1)&命令连接符

&前面的语句为假，则直接执行&后面的语句:&前面的语句为真，则&前后的语句都执行

(2)&&命令连接符

&&前面的语句为假，则直接报错，&&后面的语句也不执行；&&前面的语句为真，则&&前后的语句都执行

(3)|命令连接符

|前面的语句为假,则直接报错,|后面的语句也不执行；|前面的语句为真，则执行|后面的语句

(4)||命令连接符

||前面的语句为假，则执行||后面的语句;||前面的语句为真，则执行||前面的语句,不执行||后面的语句

2.windows下的执行命令漏洞利用

代码

<?php

  $ip=$_GET['ip'];

  system("ping ".$ip);

?> 

代码中调用了system函数执行ping命令

$ip是可控参数，可以通过Windows下的命令连接符执行多条命令,达到攻击的目的。输入?=127.0.0.1|whoami，成功执行，返回当前用户的信息，当然我们也可以进行其他的恶意操作。

linux下的命令执行漏洞

1linux下的命令连接符

Linux下的命令连接符:&、&&、|、||

　　(1).;命令连接符

　　;使多个命令顺序执行,前面的命令和后面的命令都会执行

　　2.&命令连接符

　　&的作用是使命令在后台运行，这样就可以同时执行多条命令

　　3.&&命令连接符

　　&&的作用是:如果前面的命令执行成功,则执行后面的命令

　　4.|命令连接符

　　|的作用是:将前面的命令的输出作为后面命令的输入，前面的命令和后面的命令都会执行，但只显示后面的命令执行结果　　

　　5.||命令连接符

　　||的作用类似于程序中的if-else语句。若前面的命令执行成功，则后面的命令就不会执行；若前面的命令执行失败,则执行后面的命令。

　　漏洞利用部分和windows下面代码一样就是命令连接符部分不一样！！！！

命令执行绕过方法

命令执行绕过

开发人员在开发过程中，为了避免命令执行漏洞，可能会过滤一些命令或者比较常见的攻击payload。攻击者会通过多种方式绕过过滤规则。

(1)   绕过空格过滤

　　1.${IFS}绕过

　　$IFS是shell的特殊环境变量,是Linux下的内部区域分隔符。$IFS中存储的值可以使空格、制表符、换行符或者其他自定义符号。

Payload: http://127.0.0.1/test.php?ip=127.0.0.1;ls${IFS}-l

　　2.$IFS$9绕过

　　Payload: http://127.0.0.1/test.php?ip=127.0.0.1;ls$IFS$9-l

　　3.制表符绕过

　　%09是制表符的URL编码,可以通过%09来代替空格，绕过空格过滤

　　Payload: http://127.0.0.1/test.php?cmd=ping%09127.0.0.1

       4.{ }绕过

       5.<绕过

(2)   绕过关键字过滤

　　1.     变量拼接绕过

　　Linux支持变量赋值，可以通过变量拼接来绕过过滤规则

　　绕过ls命令

　　2.     空变量绕过

　　3.     系统变量绕过

　　${SHELLOPTS}是系统变量，可以利用系统变量的字符拼接绕过过滤

　　4.     \绕过

　　5.     通配符绕过

　　Linux支持利用通配符进行字符匹配。通配符的作用是在模糊查询时表示文件名中某些不确定的字符

*代表0到多个任意字符

?代表任意一个字符

[]内为字符范围，代表该字符范围中的任意一个字符

　　6.     shell反弹绕过

　　在利用shell反弹进行攻击时，如果存在过滤，可以通过通配符来绕过过滤

　　7.     BASE64编码绕过

　　利用系统函数base64对命令进行Base64编码，以绕过过滤。例如，id命令的Base编码为aWQ=,在利用base64 -d对aWQ=进行解码，这样就绕过了过滤，并且正常执行了命令

　　8.     expr和awk绕过

　　通过expr和awk命令从其他文件中获取字符并进行命令构造

　　xiaohua文件内容为字符串xiaohua，通过以下命令可以获取xiaohua文件中存储的第一个字符。

　　9.     无回显的命令执行

　　如果存在命令执行漏洞，但是没有回显，可以通过shell反弹的方式将shell反弹到VPS上，然后通过VPS执行命令。如果无法反弹shell，也可以通过DNS管道解析的方式获取命令的执行结果。

PHP命令执行漏洞的修复

1.服务器配置修复

可以通过PHP配置文件中的disable_functions禁用敏感函数来修复命令执行漏洞

2.函数过滤

　　（1）escapeshellarg()函数：把字符串转码为可以在shell命令里使用的参数，以过滤命令中的参数。

　　  (2)  escapeshellcmd()函数:可以对shell元字符进行转义，过滤命令

其他学习文章

　　https://www.freebuf.com/articles/web/137923.html

参考学习：《web安全原理分析与实践》