漏洞描述
命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一
如PHP的命令执行漏洞主要是基于一些函数的参数过滤不足导致,可以执行命令的函数有system( )、exec( )、shell_exec( )、passthru( )、pcntl_execl( )、popen( )、proc_open( )等
当攻击者可以控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击
PHP执行命令是继承WebServer用户的权限,这个用户一般都有权限向Web目录写文件,可见该漏洞的危害性相当大
漏洞原理
应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令
当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行漏洞
漏洞危害
继承Web服务器程序的权限,去执行系统命令或读写文件
反弹shell
控制整个网站,甚至控制整个服务器
漏洞产生的原因
- 没有对用户输入进行过滤或过滤不严 例如,没有过滤&、&&、|、||等连接符
- 系统漏洞造成的命令执行 bash破壳漏洞(CVE-2014-6271),该漏洞可以构造环境变量的值来执行具有攻击力的脚本代码,会影响到bash交互的多种应用,如http、ssh和dhcp等
- 调用的第三方组件存在代码执行漏洞 例如: php(system()、shell_exec()、exec()、eval()) JAVA中的命令执行漏洞(struts2/ElasticsearchGroovy等) ThinkPHP命令执行
命令执行与代码执行的区别
代码执行:执行效果完全依赖于语言本身命令执行:执行效果不受语言本身、命令本身的限制
常见的危险函数
php代码相关
- eval()
- assert()
- preg_replace
- call_user_func()
- call_user_func_array()
- create_function
- array_map
系统命令执行相关
- system()
- passthru()
- exec()
- pcntl_exec()
- shell_exec()
- popen()
- proc_open()
- `(反单引号)
- ob_start()
特殊函数
- phpinfo()
#这个文件里面包含了PHP的编译选项,启动的扩展、版本、服务器配置信息、环境变量、操作系统信息、path变量等非常重要的敏感配置信息
- symlink():
#一般是在linux服务器上使用的,为一个目标建立一个连接,在读取这个链接所连接的文件的内容,并返回内容
- getenv
#获取一个环境变量的值
- putenv($a)
#添加$a到服务器环境变量,但环境变量仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态
命令执行的类型
- 代码层过滤不严格
- 系统的漏洞造成命令注入
- 调用的第三方组件存在代码执行漏洞