当前位置:网站首页>【 command execution and middleware loopholes 】

【 command execution and middleware loopholes 】

2022-08-03 05:41:00 A piece of paper - barren


前言

Common cybersecurity interview questions


题目


1.命令执行原理,常见函数,危害,和防护

原理:
应用程序有时需要调用一些执行命令的函数,由于服务器对代码中可执行的特殊函数入口没有做过滤,并且用户能够控制这些函数中的参数时,就可以将恶意命令拼接到正常命令中,从而造成命令执行攻击.
命令执行漏洞可以分为远程命令执行(代码执行)和系统命令执行两类
常见危险函数也分为两类:代码执行函数和命令执行函数.

Use of pipe characters:
windows:

&前面的语句为假则直接执行后面的
&&前面的语句为假则直接出错,后面的也不执行 
|直接执行后面的语句 
||前面出错执行后面的

Linux:

;前面的执行完执行后面的
| 管道符,上一条命令的输出,as input to the next command
||当前面的执行出错时执行后面的
& It will be executed regardless of whether the preceding statement is true or false 
&& Only the preceding statement is true,The following statement will be executed

利用条件:
*用户能够控制的函数输入
*存在可以执行代码或者系统命令的危险函数

危害:
*继承Web服务程序的权限去执行系统命令或读写文件
*反弹shell
*控制整个网站甚至控制服务器
*进一步内网渗透

常见函数:

远程命令(php代码)执行漏洞----php代码执行
eval(),assert()

<?php
	eval($_GET['pass']) //eval(),assert() 把字符串当代码执行
?>

<?php
	assert($_GET['pass']);
?>

preg_replace()
call_user_func()
call_user_func_array()
$a($b)

It is also possible to use remote command execution:
*?a=print(FILE); //获取当前绝对路径

__LINE__       文件中的当前行号
__FILE__       文件的完整路径和文件名.如果用在被包含文件中,则返回被包含的文件名
__DIR__        文件所在的目录.如果用在被包括文件中,则返回被包括的文件所在的目录
*?a=var_dump(file_get_contents('c:\windows\system32\drivers\etc\hosts')); //读取文件
*?a=var_dump(file_put_contents($_POST[1],$_POST[2]));
POST写入
1=shell.php&2=<?php phpinfo()?>    //写个shell插进去--You can write a sentence into the Trojan horse

系统命令执行漏洞 ----Execution of system commands
允许系统命令执行的函数有:

*system()   
*exec() 
*shell_exec()  
*passthru() 
*popen()
*反引号

System commands execute other exploits:

*?a=type C:\windows\system32\drivers\etc\hosts   //查看文件
*?a=cd    chdir                                 //查看当前绝对路径
*?a=echo "<?php phpinfo();?>" > E:\xampp\htdocs\php\os\phpinfo.php   
写shell(phpinfo.php)插进去 --- 内容<?Php phpinfo() ?>  可以换成 一句话木马,Check the current path first

防护:
(1)尽量不要执行外部命令
(2)使用自定义函数或函数库来替代外部命令的功能
(3)使用escapeshellarg函数来处理命令参数,escapeshellarg函数会将任何引起参数或命令结束的字符转义,单引号“‘”替换成“’”,双引号""“替换成“””,分号“;”替换成“;”
(4)使用safe_mode_exec_dir指定要执行程序的主目录(php.ini),可以把会使用的命令提前放入此路径内safe_mode= On(打开php的安全模式)

safe_mode_exec_dir= /usr/local/php/bin/

2.Middleware vulnerability principle and utilization

IIS
1.IIS 6.0

1.后缀解析 /xx.asp;.jpg.服务器默认不解析 ; 号及其后面的内容,相当于截断.
2.目录解析 /xx.asp/xx.jpg (xx.asp目录下任意解析)
3.默认解析 xx.asa xx.cer xx.cdx
4.RCE CVE-2017-7269

2.IIS 7.0-7.5

1.在Fast-CGI开启状态下,在文件路径后加上 /xx.php ,即 xx.jpg/xx.php 会被解析为php文件

3.PUT漏洞

1.开启WebDAV
2.Have a guest user,And the guest user has upload permission
3.Any file can be uploaded

4.File name guessing

1.IIS 8.0Previous versions supported short filename guessingHTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种,需要安装ASP.NET.
而IIS 8.0之后的版本只能通过OPTIONS和TRACEThe method guessed successfully,但是没有ASP.NET的限制.
2.before the folder name6位字符带点”.”,扫描程序会认为是文件而不是文件夹,最终出现误报
3.不支持中文文件名

Apache
1.后缀解析

test.php.x1.x2.x3 ( x1,x2,x3 为没有在 mime.types 文件中定义的文件类型)
Apache 将从右往左开始判断后缀,若x3为非可识别后缀,则判断x2,直到找到可识别后缀为止,然后对可识别后缀进行解析

2.htaccess

当AllowOverride被启用时,上传启用解析规则的.htaccess,覆盖apache主配置文件

3.目录遍历

配置 Options +Indexes 时Apache存在目录遍历漏洞.

4.CVE-2017-15715

%0A 绕过上传黑名单

Nginx

1.Fast-CGI关闭

在Fast-CGI关闭的情况下, Nginx 仍然存在解析漏洞: 在文件路径(xx.jpg)后面加上 %00.php , 即 xx.jpg%00.php 会被当做 php 文件来解析

2.Fast-CGI开启

在Fast-CGI开启状态下,在文件路径后加上 /xx.php ,则 xx.jpg/xx.php 会被解析为php文件

3.CVE-2013-4547

a.jpg\x20\x00.php

4.配置错误

a.目录穿越
If similar exists in the config location /foo {
     alias /bar/; } 的配置时,/foo../ 会被解析为 /bar/../ This leads to the occurrence of directory traversal.
b.目录遍历
配置中 autoindex on 开启时,Nginx中存在目录遍历漏洞.

Tomcat
1.CVE-2017-12615

1.PUT方法上传任意文件
2.但限制了jsp后缀的上传,绕过办法:
a.Windows下不允许文件以空格结尾,以PUT /a001.jsp%20 HTTP/1.1上传到 Windows会被自动去掉末尾空格  
b.Windows NTFS流Put/a001.jsp::$DATA HTTP/1.1  
c. /在文件名中是非法的,也会被去除(Linux/Windows)Put/a001.jsp/http:/1.1 

2.CVE-2020-1938

CVE-2020-1938为Tomcat AJP文件包含漏洞

3.弱口令&war远程部署

在tomcat8环境下默认进入后台的密码为tomcat/tomcat,未修改造成未授权即可进入后台

4.CVE-2019-0232

1.CVE-2019-0232为Apache Tomcat RCE
v.manager App暴力破解
后台密码用base64编码传输,抓包解密即可得到后台密码,也可以进行爆破

Weblogic

i.CVE-2017-10271 反序列化漏洞
ii.CVE-2018-2628 反序列化命令执行漏洞
iii.CVE-2018-2894 Weblogic 任意文件上传漏洞
iv.CVE-2020-14882 Weblogic 管理控制台未授权远程命令执行漏洞
v.SSRF Weblogic SSRF漏洞
vi.弱口令

总结

This issue focuses on command execution and middleware vulnerabilities.

原网站

版权声明
本文为[A piece of paper - barren]所创,转载请带上原文链接,感谢
https://yzsam.com/2022/215/202208030510043153.html