DVWA通关之命令注入（command injection）

时间 2021-01-30

标签 php linux shell windows 数组安全服务器 session 函数学习栏目 PHP 繁體版

原文原文链接

DVWA通关之命令注入（command injection）

难度等级：low

过关思路

咱们先将其难度设置为low，看到其界面以下：

经过分析得知，该功能是输入一个IP地址，而后经过ping进行测试，先输入127.0.0.1和www.baidu.com测试以下：

127.0.0.1php

www.baidu.comlinux

能够看到，IP地址和域名都是可以ping通的，接下来就是使用命令拼接测试了，

输入127.0.0.1 | whoamishell

命令注入成功。windows

命令汇总，通过测试，如下命令都可注入成功。

127.0.0.1|whoami数组

127.0.0.1&whoami安全

127.0.0.1000 || whoami服务器

127.0.0.1 && whoamisession

注意：有空格和无空格有时会有意想不到的效果函数
作完了固然得看一下源码：学习

能够看到，该代码没有对用户的输入作任何的过滤，直接使用shell_exec函数执行用户输入，这是很是危险的。

难度等级：medium

过关思路

这里过关思路和low一致，也没啥可说的，咱们主要看一下源码就行。
源代码以下：

经过分析，能够看出，medium关卡比low关卡多了一个黑名单。其经过数组的方式将&&和;进行了过滤，即将其替换为空。可是，这种过滤基本上仍是跟没有过滤差很少，由于黑名单里的过滤太少了，黑名单也不安全。

难度等级：high

过关思路

上手先测试几个前面的payload，发下好多都被过滤了，可是还有几个能够用：

127.0.0.1 || whoami

127.0.0.1|whoami

127.0.0.1000||whoami

咱们直接看源代码：

能够看到，此次的黑名单过滤明显的多了起来，可是也发现（多是故意给咱们漏出来的😂），其在过滤的时候，没有过滤|而是过滤了|+空格，因此，该代码只是遇到单单一个|，不会进行过滤。

难度等级：impossible

过关思路

这关基本上是不存在安全风险的，之因此放在这里，看成一个关卡，应该也是为了让咱们学习一下怎么进行过滤，咱们仍是直接看源代码吧。
源代码以下：

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

一波代码审计，咱们发现，此次的过滤和前面的两关没有任何类似之处，而是直接换了一种思路，也就是咱们所说的白名单。其控制了用户的输入，不在控制用户的输入哪些不能用，而是控制用户的输入哪些能用。

咱们仍是慢慢从函数入手分析：

checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

这段代码是控制了用户身份信息，在每次和服务器交互之时，服务器会随机给用户分配一个ID，用做用户的身份凭证，这样也就断绝了假冒用户的事件发生。

$target = stripslashes( $target );

stripslashes函数用于删除输入中的反斜杠。

$octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ))

而这段代码是控制了用户只能输入IP地址，没法使用域名。且在用户输入IP地址后，使用explode函数以.为分割，将IP地址分割为数组，最后判断数组的个数是否为4。能够说，过滤确实很绝，可是也有一个很差之处就是屏蔽掉了域名。

总结

掌握有关命令执行的知识 windows 或 linux 下:

命令执行漏洞（| || & && 称为管道符）

command1 && command2 先执行 command1，若是为真，再执行 command2

command1 | command2 只执行 command2

command1 & command2 先执行 command2 后执行 command1

command1 || command2 先执行 command1，若是为假，再执行 command2

windows：（1）|（2）||（3）&（4）&&

linux：（1）|（2）||（3）;（4）&&

命令注入的相关系统函数：

① system()

② exec()

③ shell_exec()

④ passthru()

⑤ popen()

⑥ ``(反引号)