Question

常见WEB攻击之命令注入

Answer 1

Command
Injection，即命令注入攻击，是指由于嵌入式应用程序或者web应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。

在命令注入的漏洞中，最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是web应用程序员在应用PHP语言中一些具有命令执行功能的函数时，对用户提交的数据内容没有进行严格的过滤就带入函数中执行而造成的。例如，当黑客提交的数据内容为向网站目录写入PHP文件时，就可以通过该命令注入攻击漏洞写入一个PHP后门文件，进而实施进一步的渗透攻击。

原理：Web应用在调用这些函数执行系统命令的时候，在没有做好过滤用户输入的情况下，如果用户将自己的输入作为系统命令的参数拼接到命令行中，就会造成命令注入的漏洞。

命令注入攻击是如何形成的?

嵌入式应用程序或者web应用程序有时需要调用一些系统命令的函数，如Linux
C中的system(),exec(),shell-exec()等等，当用户能够控制这些函数中的参数时，就可以将恶意参系统命令拼接到正常命令中，从而造成命令注入攻击设备系统。

命令注入的形成需要如下三个条件：

1、使用了内部调用shell的函数：system()，exec()等。

2、将外界传入的参数没有足够的过滤，直接传递给内部调用shell的函数。

3、参数中shell的元字符没有被转义。

危害：继承嵌入式应用程序或者web应用程序的权限去执行系统命令读写执行文件，导致系统有可能会被恶意攻击或者泄露系统用户信息。

Answer 2

即 Command Injection。是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。

在Web应用中，有时候会用到一些命令执行的函数，如php中system、exec、shell_exec等，当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时，就会造成命令执行漏洞。

黑客将构造好的命令发送给web服务器，服务器根据拼接命令执行注入的命令，最后讲结果显示给黑客。

以DVWA为例，下面使用ping命令测试IP，正常输入一个IP或者域名会返回一个正常的返回结果。
当输入恶意构造的语句 www.baidu.com && netstat -an，会把后面的语句也给执行了：

执行结果：

PHP的常见命令执行函数：
system()，exec()，shell_exec()，passthru()

1、system（）

system — 执行外部程序，并且显示输出

常规用法：

使用PHP执行：
php test1.php www.baidu.com

exec — 执行一个外部程序

3、shell_exec()

shell_exec — 通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回。

4、passthru()

passthru() 函数与 exec() 函数类似，执行外部程序并且显示原始输出。

Windows：

用^转义<

如果加上单引号会写不进去，如果加双引号会把双引号一起写进去，所以要用^转义<

Linux：

linux下需要用来转义<，不过很多php都默认开启gpc，可以先用16进制转换一句话再用xxd命令把16进制还原.

<?php eval($_POST[pass]);>
转换为16进制：
3c3f706870206576616c28245f504f53545b706173735d293b3e

由于我用的是Linux，所以使用payload写入一句话：

写入成功：

1、采用白名单，或使用正则表达式进行过滤。

2、不要让用户可以直接控制eval()、system、exec、shell_exec等函数的参数。

3、在进入执行命令函数和方法前，对变量进行过滤，对敏感字符进行转义。