系统命令注入攻击也是一种古老的攻击手段,是指黑客可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种攻击的实现方式,以及如何配置WAF进行拦截,实验环境仍然使用NPMserv搭建。
打开网站,在地址栏中的网址后面输入“?cmd=所要执行的命令”,如下图所示的http://192.168.1.3/?cmd=net user,可以发现命令能够成功执行。
如果发现一个网站存在这种漏洞,那下面的操作基本就没有什么技术含量了。无非是创建用户,加入管理员组,再开3389等等,具体操作可参考之前的“网站提权”博文。
下面配置WAF来进行防御。
仍是对P-deny策略进行配置,在“基本攻击防护”中创建一条名为“nocmd”的规则,在检测域中设置“参数”,在匹配方式中设置“正则匹配”,在数值中设置正则表达式。
这里根据系统命令注入攻击的特点,我设置如下的正则表达式:
.*?cmd.*
具体如下图所示:
再次进行命令注入,便会报错。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1566985