命令执行漏洞

命令执行漏洞总结,主要讲述PHP相关的RCE,其他的后续慢慢补充~

概述

命令执行漏洞,即因为过滤不严等原因,导致函数或者参数可控,从而导致可以执行系统命令等,即我们通常所说的RCE。

类别

命令执行漏洞严格来说分为两种

  • 一种是相应的语言函数导致的代码执行,比如eval()这种,我们称之为代码执行;
  • 一种是执行系统函数导致的代码执行,比如我们的system()函数等,我们成为系统命令执行;

bypass-Tricks

  • &、&&
  • |、||
  • ;
  • %0a、%0d、%09
  • ‘’、””
  • ``和$()
  • ()和{}
  • 正则或通配符bypass
  • []和{} bypass
  • base64或进制 bypass
  • ${IFS}、<>、$IFS
  • 变量bypass,如a=l;b=s;$a$b
  • 反斜杠bypass
  • $*、$@、$x(1<x<9)、${x}(x>=10)
  • {cat,/etc/passwd}
  • 重定向<> bypass

漏洞函数

php相关RCE

代码执行

eval()

1
2
3
4
<?php
show_source(__FILE__);
eval($_GET['cmd']);
?>

assert()

1
2
3
4
<?php
show_source(__FILE__);
assert($_GET['cmd']);
?>

preg_replace(‘’)

1
2
3
4
<?php
show_source(__FILE__);
preg_replace("/hello/e",$_GET["cmd"],"123");
?>

create_function()

1
2
3
4
5
<?php
show_source(__FILE__);
$fun = create_function('',$_GET['cmd']);
$fun();
?>

array_map()

1
2
3
4
<?php
show_source(__FILE__);
array_map('eval',$_GET['cmd']);
?>

array_filter()

1
2
3
4
<?php
show_source(__FILE__);
array_filter('eval',$_GET['cmd']);
?>

call_user_func()

1
2
3
4
<?php
show_source(__FILE__);
call_user_func(eval,$_GET['cmd']);
?>

call_user_func_array()

1
2
3
4
<?php
show_source(__FILE__);
call_user_func_array(eval,array($_GET['cmd']));
?>

uasort()

1
2
3
4
<?php
show_source(__FILE__);
usort($_GET,'ev'.'al');
?>

系统命令执行

system()

1
2
3
4
5
<?php
show_source(__FILE__);
$cmd=$_GET['cmd'];
system($cmd);
?>

passthru()

1
2
3
4
5
<?php
show_source(__FILE__);
$cmd=$_GET['cmd'];
passthru($cmd);
?>

exec()

1
2
3
4
5
<?php
show_source(__FILE__);
$cmd=$_GET['cmd'];
echo exec($cmd);
?>

pcntl_exec()

1
<?php pcntl_exec(“/bin/bash”, array(“run.sh”));?>

shell_exec()

1
2
3
4
5
<?php
show_source(__FILE__);
$cmd=$_GET['cmd'];
echo shell_exec($cmd);
?>

popen()

1
2
3
4
5
6
7
8
<?php
    show_source(__FILE__);
    $command=$_GET['cmd'];
    $fd = popen($command, 'r'); 
    while($s=fgets($fd)){
        print_r($s);
    }
?>

proc_open()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
	show_source(__FILE__);
	$command=$_GET['cmd'];
  	$descriptorspec=array(
        0=>array('pipe','r'),
        1=>array('pipe','w'),
        2=>array('pipe','w')
    );
    $handle=proc_open($command,$descriptorspec,$pipes,NULL);
    if(!is_resource($handle)){
    	die('proc_open failed');
    }
    while($s=fgets($pipes[1])){
    	print_r($s);
    }
    while($s=fgets($pipes[2])){
    	print_r($s);
    }
    fclose($pipes[0]);
    fclose($pipes[1]);
    fclose($pipes[2]);
    proc_close($handle);
?>

ob_start()

1
2
3
4
5
6
7
<?php
show_source(__FILE__);
$cmd1 = 'system';
ob_start($cmd1);
echo "$_GET[cmd]";
ob_end_flush();
?>

Java相关命令执行函数

  • Runtime
  • ProcessBuilder

参考资料

本文作者: yd0ng
本文链接: https://yd0ng.github.io/2020/09/15/%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!

谢谢您的打赏,大家一起加油喔~

支付宝
微信

扫一扫,分享到微信

微信分享二维码

阅读数: 次   
载入天数...载入时分秒...

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

网络安全<br>敬畏技术<br>保持正直