命令执行漏洞:
属于代码执行漏洞的范畴
命令执行漏洞的原理:
在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令
- command1|command2 直接执行后面的语句
- command1&command2 两个命令同时执行
- command1&&command2 只有前面命令执行成功,后面命令才继续执行
- command1;command2 不管前面命令执行成功没有,后面的命令继续执行
- command1||command2 顺序执行多条命令,当碰到执行正确的命令后将不执行后面的命令
命令执行模型
任何脚本语言都可以调用操作系统命令
区别命令执行漏洞和代码执行漏洞:
命令执行漏洞直接调用操作系统命令,而代码执行漏洞通过执行脚本来调用操作系统命令
PHP命令执行
执行外部应用程序的常用函数system()、shell_exec()、exec()、passthru()
- 命令执行:
如:
<?php
$host = $argv[1];
system("ping ".$host);//执行ping命令
?>
使用PHP.EXE执行此文件
注:使用PHP.EXE传递参数时,参数中如果有空格,一般在windows下使用双引号,Linux下使用单引号括起来,否则无法执行。
-
代码执行
eval()函数,可以动态的执行php代码,语句必须以分号结尾
如:webshell中
<?php eval($_REQUEST('code'));?>
-
动态函数调用
如:
<?php function A(){ return "A()"; } function B(){ return "B()"; } $fun = $_REQUEST['fun']; echo $fun();//调用动态函数 ?>
php解析器可以根据
$fun
的值来调用对应的函数,虽然方便,但是危险,当$fun
的值为phpinfo时$fun
对应phpinfo()如:
<?php $fun = $_GET['fun']; $par = $_GET['par']; $fun($par); ?>
当
$fun
为system,$par
为net user 时,会执行函数system("net user")后果可想而知-
PHP函数代码执行漏洞
常见的函数有preg_replace()、ob_start()、array_map()等函数
如:
<?php $arr = $_GET['arr']; $array = array(1,2,3,4,5); $new_array = array_map($arr,$array); ?>
array_map()函数的作用是返回用户自定义函数处理后的数组。
-
Java命令执行
- Runtime类,该类中提供了exec方法用以在单独的进程中执行指定的字符命令。
框架漏洞
Java三大框架:Hibernate、Spring、Struts
- Struts2代码执行漏洞
- Thinkphp命令执行漏洞
- weblogic
- shiro
- laravel
- springboot