命令执行_代码执行漏洞

远程代码注入漏洞

原理

攻击者可利用代码注入漏洞执行任意代码，来操作服务器

危害

执行任意代码，来操作服务器

操作数据库，插入恶意数据，可能获取 系统权限

攻击修改系统配置，修改网络配置，可能对 服务器及网络造成影响

可以进一步对网络渗透，由于代码注入攻击多半可获取系统权限，对网络的进一步渗透难度大大降低

代码执行、文件读取、命令执行的函数：

文件执行：eval、call_user_func、call_user_func_array 、assert()等

文件读取：fopen()、readfile()、fread()、file()、show_source()等

命令执行：system()、exec()、shell_exec()、passthru()、pcntl_exec() 等;“反引号()

反引号()

实际调用的shell_exec()函数

防御

敏感函数禁用

变量过滤或固定

WAF产品

修复方法

不需要执行远程代码时，可以修改php.ini配置：allow_url_fopen = Off allow_url_include = Off

不要直接导入用户输入的内容

执行代码的参数，或文件名，禁止和用户输入相关，只能由开发人员定义代码内容，用户只能提交“1、2、3”等参数，代表相应代码。

命令执行漏洞

原理：

攻击者通过web应用执行系统命令，获得敏感信息，进而控制服务器攻击内网。

产生条件

应用调用执行命令的函数

将用户输入的内容作为系统参数拼接到命令中

没有对用户输入的内容过滤或过滤不严格

产生原理

应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击。

防御方法

少用执行命令的函数或者禁用

参数值使用引号包括，并在拼接前调用addslashes函数进行转义

在使用动态函数前，确保使用的函数是指定的函数之一

在进入执行命令的函数方法之前，对参数进行过滤，对敏感字符进行转义

对于可控点是程序参数的情况下，使用escapeshellcmd函数进行过滤

严格控制文件名参数值，先判断文件名或文件路径是否合法

危害

继承Web服务程序的权限去执行系统命令或读写文件。

反弹shell（就是控制端监听在某个端口，被控制发起请求到该端口，并将其命令行的输入输出转到控制端）

控制整个网站甚至控制服务器。

为什么需要反弹shell？

反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。在渗透过程中，往往因为端口限制而无法直连目标机器，此时需要通过反弹shell来获取一个交互式shell，以便继续深入。

进一步内网渗透

命令执行漏洞怎么发现？

通过nessus扫描器的Sitemap模块，发现了可疑目录

根据sitemap的目录信息，打开URL:http://x.x.x.x:28076/file/，发现存在未授权访问漏洞，逐个查看里面的文件，蒙了一下dirFiles.jsp的 参数，使用"path"作为参数名可列出目录、文件信息，URL，同样的方法，发现show.jsp存在任意文件读取漏洞

修复方法：

严格控制文件名参数值，先判断文件名或文件路径是否合法可修复漏洞