当前位置:网站首页>【 command execution and middleware loopholes 】
【 command execution and middleware loopholes 】
2022-08-03 05:41:00 【A piece of paper - barren】
前言
Common cybersecurity interview questions
题目
1.命令执行原理,常见函数,危害,和防护
原理:
应用程序有时需要调用一些执行命令的函数,由于服务器对代码中可执行的特殊函数入口没有做过滤,并且用户能够控制这些函数中的参数时,就可以将恶意命令拼接到正常命令中,从而造成命令执行攻击.
命令执行漏洞可以分为远程命令执行(代码执行)和系统命令执行两类
常见危险函数也分为两类:代码执行函数和命令执行函数.
Use of pipe characters:
windows:
&前面的语句为假则直接执行后面的
&&前面的语句为假则直接出错,后面的也不执行
|直接执行后面的语句
||前面出错执行后面的
Linux:
;前面的执行完执行后面的
| 管道符,上一条命令的输出,as input to the next command
||当前面的执行出错时执行后面的
& It will be executed regardless of whether the preceding statement is true or false
&& Only the preceding statement is true,The following statement will be executed
利用条件:
*用户能够控制的函数输入
*存在可以执行代码或者系统命令的危险函数
危害:
*继承Web服务程序的权限去执行系统命令或读写文件
*反弹shell
*控制整个网站甚至控制服务器
*进一步内网渗透
常见函数:
远程命令(php代码)执行漏洞----php代码执行
eval(),assert()
<?php
eval($_GET['pass']) //eval(),assert() 把字符串当代码执行
?>
<?php
assert($_GET['pass']);
?>
preg_replace()
call_user_func()
call_user_func_array()
$a($b)
It is also possible to use remote command execution:
*?a=print(FILE); //获取当前绝对路径
__LINE__ 文件中的当前行号
__FILE__ 文件的完整路径和文件名.如果用在被包含文件中,则返回被包含的文件名
__DIR__ 文件所在的目录.如果用在被包括文件中,则返回被包括的文件所在的目录
*?a=var_dump(file_get_contents('c:\windows\system32\drivers\etc\hosts')); //读取文件
*?a=var_dump(file_put_contents($_POST[1],$_POST[2]));
POST写入
1=shell.php&2=<?php phpinfo()?> //写个shell插进去--You can write a sentence into the Trojan horse
系统命令执行漏洞 ----Execution of system commands
允许系统命令执行的函数有:
*system()
*exec()
*shell_exec()
*passthru()
*popen()
*反引号
System commands execute other exploits:
*?a=type C:\windows\system32\drivers\etc\hosts //查看文件
*?a=cd chdir //查看当前绝对路径
*?a=echo "<?php phpinfo();?>" > E:\xampp\htdocs\php\os\phpinfo.php
写shell(phpinfo.php)插进去 --- 内容<?Php phpinfo() ?> 可以换成 一句话木马,Check the current path first
防护:
(1)尽量不要执行外部命令
(2)使用自定义函数或函数库来替代外部命令的功能
(3)使用escapeshellarg函数来处理命令参数,escapeshellarg函数会将任何引起参数或命令结束的字符转义,单引号“‘”替换成“’”,双引号""“替换成“””,分号“;”替换成“;”
(4)使用safe_mode_exec_dir指定要执行程序的主目录(php.ini),可以把会使用的命令提前放入此路径内safe_mode= On(打开php的安全模式)
safe_mode_exec_dir= /usr/local/php/bin/
2.Middleware vulnerability principle and utilization
IIS
1.IIS 6.0
1.后缀解析 /xx.asp;.jpg.服务器默认不解析 ; 号及其后面的内容,相当于截断.
2.目录解析 /xx.asp/xx.jpg (xx.asp目录下任意解析)
3.默认解析 xx.asa xx.cer xx.cdx
4.RCE CVE-2017-7269
2.IIS 7.0-7.5
1.在Fast-CGI开启状态下,在文件路径后加上 /xx.php ,即 xx.jpg/xx.php 会被解析为php文件
3.PUT漏洞
1.开启WebDAV
2.Have a guest user,And the guest user has upload permission
3.Any file can be uploaded
4.File name guessing
1.IIS 8.0Previous versions supported short filename guessingHTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种,需要安装ASP.NET.
而IIS 8.0之后的版本只能通过OPTIONS和TRACEThe method guessed successfully,但是没有ASP.NET的限制.
2.before the folder name6位字符带点”.”,扫描程序会认为是文件而不是文件夹,最终出现误报
3.不支持中文文件名
Apache
1.后缀解析
test.php.x1.x2.x3 ( x1,x2,x3 为没有在 mime.types 文件中定义的文件类型)
Apache 将从右往左开始判断后缀,若x3为非可识别后缀,则判断x2,直到找到可识别后缀为止,然后对可识别后缀进行解析
2.htaccess
当AllowOverride被启用时,上传启用解析规则的.htaccess,覆盖apache主配置文件
3.目录遍历
配置 Options +Indexes 时Apache存在目录遍历漏洞.
4.CVE-2017-15715
%0A 绕过上传黑名单
Nginx
1.Fast-CGI关闭
在Fast-CGI关闭的情况下, Nginx 仍然存在解析漏洞: 在文件路径(xx.jpg)后面加上 %00.php , 即 xx.jpg%00.php 会被当做 php 文件来解析
2.Fast-CGI开启
在Fast-CGI开启状态下,在文件路径后加上 /xx.php ,则 xx.jpg/xx.php 会被解析为php文件
3.CVE-2013-4547
a.jpg\x20\x00.php
4.配置错误
a.目录穿越
If similar exists in the config location /foo {
alias /bar/; } 的配置时,/foo../ 会被解析为 /bar/../ This leads to the occurrence of directory traversal.
b.目录遍历
配置中 autoindex on 开启时,Nginx中存在目录遍历漏洞.
Tomcat
1.CVE-2017-12615
1.PUT方法上传任意文件
2.但限制了jsp后缀的上传,绕过办法:
a.Windows下不允许文件以空格结尾,以PUT /a001.jsp%20 HTTP/1.1上传到 Windows会被自动去掉末尾空格
b.Windows NTFS流Put/a001.jsp::$DATA HTTP/1.1
c. /在文件名中是非法的,也会被去除(Linux/Windows)Put/a001.jsp/http:/1.1
2.CVE-2020-1938
CVE-2020-1938为Tomcat AJP文件包含漏洞
3.弱口令&war远程部署
在tomcat8环境下默认进入后台的密码为tomcat/tomcat,未修改造成未授权即可进入后台
4.CVE-2019-0232
1.CVE-2019-0232为Apache Tomcat RCE
v.manager App暴力破解
后台密码用base64编码传输,抓包解密即可得到后台密码,也可以进行爆破
Weblogic
i.CVE-2017-10271 反序列化漏洞
ii.CVE-2018-2628 反序列化命令执行漏洞
iii.CVE-2018-2894 Weblogic 任意文件上传漏洞
iv.CVE-2020-14882 Weblogic 管理控制台未授权远程命令执行漏洞
v.SSRF Weblogic SSRF漏洞
vi.弱口令
总结
This issue focuses on command execution and middleware vulnerabilities.
边栏推荐
猜你喜欢
随机推荐
HoloLens联合发明人:打造理想的全天AR需要解决这些问题
Apache2-XXE vulnerability penetration
一维数组和二维数组的命名以及存储空间
运行 npm run xxx 如何触发构建命令以及启动Node服务等功能?
求因子数量
软件测试 -- 入门 1 软件测试是什么?
解析各种文本的年月日
详解Nurbs曲线
Try setting CHROME_EXECUTABLE to a Chrome executable
-元素之和-
第三次HarmonyOS培训
初识C语言
Greetings(状压DP,枚举子集转移)
用C语言来实现扫雷小游戏
C语言简单实现扫雷小游戏
3559. 围圈报数
【反弹shell与提权】
web安全-PHP反序列化漏洞
-飞机大战-
web安全-命令执行漏洞