2. 程式人生 > >DVWA 黑客攻防實戰(四)命令列注入(Command Injection)

DVWA 黑客攻防實戰(四)命令列注入(Command Injection)

阿新 發佈:2018-12-25

文章會討論 DVWA 中低、中、高、不可能級別的命令列注入

這裡的需求是在伺服器上可以 ping 一下其他的伺服器

低階

如果你是從 初步認識網路漏洞這篇檔案過來的,可以跳過低階的。

這裡的需求是在伺服器上可以 ping 一下其他的伺服器

低階

低階程式碼是這樣。和之前的文章 內容是一樣的。就複製黏貼一下方便看

Hacker 試下輸入 192.168.31.130; cat /etc/apache2/apache2.conf;

瞬間爆炸, 竟然是直接執行 shell 的結果。再看看程式碼

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

竟然沒有任何的引數校驗!這主機安全可以說是形同虛設。 Hacker 竟然不廢任何力氣,就得到一個 weshell 了!接下來的攻擊主要是就看攻擊者的想象力了,什麼改掉你的檔案,什麼建立個新頁面做負載均衡,批量將 php 重名了。。。

中級

中級程式碼有做了一點引數校驗

<?php 

if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Get input 
    $target = $_REQUEST[ 'ip' ]; 

    // Set blacklist 
    $substitutions = array( 
        '&&' => '', 
        ';'  => '', 
    ); 

    // Remove any of the charactars in the array (blacklist). 
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 

    // Determine OS and execute the ping command. 
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 
        // Windows 
        $cmd = shell_exec( 'ping  ' . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( 'ping  -c 4 ' . $target ); 
    } 

    // Feedback for the end user 
    echo "<pre>{$cmd}</pre>"; 
} 

?>

會將有;&&都移除了。

Hacker 試了一下 || cat /etc/apache2/apache2.conf 。。。注入成功。而 || 的意思是第一條命令執行失敗就會執行下一條。。。

Hacker 又試了一下 & cat /etc/apache2/apache2.conf。。。注入也成功。 &是後臺執行,然後再執行新的程式碼。

主要是過濾太少的引數了。

高階

高階的話就過濾的引數比較多。

<?php 

if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Get input 
    $target = trim($_REQUEST[ 'ip' ]); 

    // Set blacklist 
    $substitutions = array( 
        '&'  => '', 
        ';'  => '', 
        '| ' => '', 
        '-'  => '', 
        '$'  => '', 
        '('  => '', 
        ')'  => '', 
        '`'  => '', 
        '||' => '', 
    ); 

    // Remove any of the charactars in the array (blacklist). 
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 

    // Determine OS and execute the ping command. 
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 
        // Windows 
        $cmd = shell_exec( 'ping  ' . $target ); 
    } 
    else { 
        // *nix 
        $cmd = shell_exec( 'ping  -c 4 ' . $target ); 
    } 

    // Feedback for the end user 
    echo "<pre>{$cmd}</pre>"; 
} 

?>

|cat /etc/apache2/apache2.conf 就可以了,因為 substitutions 中的 | 後面有個空格, |+<space>才會被替換 。。。有點無語

不可能

<?php 

if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $target = $_REQUEST[ 'ip' ]; 
    $target = stripslashes( $target ); 

    // Split the IP into 4 octects 
    $octet = explode( ".", $target ); 

    // Check IF each octet is an integer 
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together. 
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3]; 

        // Determine OS and execute the ping command. 
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 
            // Windows 
            $cmd = shell_exec( 'ping  ' . $target ); 
        } 
        else { 
            // *nix 
            $cmd = shell_exec( 'ping  -c 4 ' . $target ); 
        } 

        // Feedback for the end user 
        echo "<pre>{$cmd}</pre>"; 
    } 
    else { 
        // Ops. Let the user name theres a mistake 
        echo '<pre>ERROR: You have entered an invalid IP.</pre>'; 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

不能級別,添加了 token 用來對付 CSRF 跨域請求攻擊。還對引數進行真正的驗證,只有 ip 引數才能夠 ping。如果是我寫的話可能會用估計會用正則表示式。這個方式驗證也可以了。

相關推薦

DVWA 黑客攻防實戰命令注入Command Injection

文章會討論 DVWA 中低、中、高、不可能級別的命令列注入 這裡的需求是在伺服器上可以 ping 一下其他的伺服器 低階 如果你是從 初步認識網路漏洞這篇檔案過來的,可以跳過低階的。 這裡的需求是在伺服器上可以 ping 一下其他的伺服器 低階 低階程式碼是這樣。和之前的文章 內容是一樣

DVWA 黑客攻防實戰檔案包含 File Inclusion

檔案包含(file Inclusion)是一種很常見的攻擊方式,主要是通過修改請求中變數從而訪問了使用者不應該訪問的檔案。還可以通過這個漏洞載入不屬於本網站的檔案,比如一個 webshell 從而實現網站控制。下面一起來看看 DVWA 中的檔案包含漏洞。 低階 原本也不知道是什麼意思,然後嘗試點選一下

DVWA 黑客攻防實戰暴力破解 Brute Froce

暴力破解,簡稱”爆破“。不要以為沒人會對一些小站爆破。實現上我以前用 wordpress 搭建一個部落格開始就有人對我的站點進行爆破。這是裝了 WordfenceWAF 外掛後的統計的情況。 裝了 WordfenceWAF 看到報告就深刻感受到國際友人對我這破站的安全性的深刻關懷了。你不封他們的 ip ,他

DVWA 黑客攻防實戰十一 儲存型 XSS 攻擊 Stored Cross Site Scripting

上一篇文章會介紹了反射型 XSS 攻擊。本文主要是通過 dvwa 介紹儲存型 XSS 攻擊。儲存型 XSS 攻擊影響範圍極大。比如是微博、貼吧之類的,若有注入漏洞,再假如攻擊者能用上一篇文章類似的程式碼獲取使用者的 cookies,想想如果程式碼中再加入自動轉發功能,每個看過那條微博的使用者都會被偷 cook

DVWA 黑客攻防實戰十三JS 攻擊 JavaScript Attacks

新版本的 DVWA 有新東西,其中一個就是這個 JavaScript 模組了。 玩法也挺特別的,如果你能提交 success 這個詞,成功是算你贏了。也看得我有點懵逼。 初級 如果你改成 “success” 提交一下會出現了這個,Invalid token。這是什麼回事呢? 你可以開啟控制檯(F1

DVWA 黑客攻防實戰十五 繞過內容安全策略 Content Security Policy (CSP) Bypass

看到標題,是否有點疑惑 CPS 是什麼東東。簡單介紹一下就是瀏覽器的安全策略,如果 標籤,或者是伺服器中返回 HTTP 頭中有 Content-Security-Policy 標籤 ,瀏覽器會根據標籤裡面的內容,判斷哪些資源可以載入或執行。阮一峰老師也有關於CSP 的文章,大家可以看看 看回 DVWA

《自己動手寫java虛擬機器》學習筆記-----命令工具java

專案地址:https://github.com/gongxianshengjiadexiaohuihui 首先是Cmd的類 /** * @ClassName Cmd * @Description TODO * @Author Mr.G * @Date 2018/10/9 9:40

《自己動手寫java虛擬機器》學習筆記-----命令工具go

     專案地址:https://github.com/gongxianshengjiadexiaohuihui 在今年三月份的時候,看過這本書,但是可能知識儲備不足,許多東西都一知半解,導致看到一半就看不下去了,現在覺得自己進步挺大的,決定重新拾起這本書,並且把

遠端桌面登入Ubuntu系統ubuntu下命令設定wifi自動連線

    由於各種條件的限制,有時候在進行ubuntu嵌入式開發的時候不得不使用命令列來操作。我在筆記本上設定了一個wifi熱點,希望我的開發板(Odroid-XU3)開機後自動連線上指定的wif熱點,這樣我就可以通過遠端桌面的方式登入到開發板的系統中。實現這一過程,主要的步

DVWA 黑客攻防演練CSRF 攻擊 Cross Site Request Forgery

這麼多攻擊中,CSRF 攻擊,全稱是 Cross Site Request Forgery,翻譯過來是跨站請求偽造可謂是最防不勝防之一。比如刪除一篇文章,新增一筆錢之類,如果開發者是沒有考慮到會被 CSRF 攻擊的,一旦被利用對公司損失很大的。 低階 介面如下,目的是實現修改密碼 低階

以前寫的兩本書《安全之路:Web滲透技術及實戰案例解析第2版》和《黑客攻防實戰加密與解密》

Web滲透技術及實戰案例解析 黑客攻防實戰加密與解密 應一些朋友的要求,我重新將書封面和購買地址發一下說明一下:www.antian365.com原來域名轉移到國外去了。現在國家對境外域名在國內訪問必須實名制,進行備份啥的,情況你懂的。最近正在制作《黑客攻防實戰加密與解密》的視頻課程,對黑客攻防過程遇

最新黑客攻防實戰從入門到精通第二版_學習筆記

 最新黑客攻防實戰從入門到精通(第二版)_學習筆記 第一章管理員賬戶攻防策略 學習要點: 破解管理員賬戶 設定管理密碼保障賬戶安全 禁用Guest賬戶保障系統安全 禁用共享資

實戰Java高併發程式設計、鎖的優化及注意事項

在多核時代,使用多執行緒可以明顯地提升系統的效能。但事實上,使用多執行緒會額外增加系統的開銷。對於單任務或單執行緒的應用來說,其主要資源消耗在任務本身。對於多執行緒來說,系統除了處理功能需求外,還需要維護多執行緒環境特有的資訊,如執行緒本身的元資料,執行緒的排程,執行緒上下文的切換等。 4.1有

mysql 命令操作高階sql語句

1.union,連線兩個以上的select語句的結果組合到一個結果集中,多個select語句中相同的資料會被刪除,多個union的select語句必須列數相同,比如第一個select選擇兩個列,那麼後續所有union的select語句都必須是兩列,不要求列的屬性一致,可以用u

輕鬆學習Ionic 修改應用圖示及新增啟動畫面更新官方命令工具自動生成

 <platform name="android">              <icon src="res/android/ldpi.png" density="ldpi" />              <icon src="res/android/mdpi.png" de

《SpringBoot實戰版》讀書筆記-- 入門

1、SpringBoot最重要的四個核心:自動配置、起步依賴、命令列介面、Actuator(Springboot提供對應用系統的自省和監控的整合功能,可以對應用系統進行配置檢視、相關功能統計等)。     Springboot自動配置消除了傳統Spring應用程式中的很多樣板

《SpringBoot實戰版》讀書筆記-- SpringCloud入門

1、現階段,單塊式架構師一份程式碼,部署和伸縮都是基於單個單元進行的,優點在於易於部署,但是面臨著可用性低、伸縮性差、集中釋出的生命週期以及違反單一功能原則。這就是SpringCloud的優勢所在,微服務的出現解決了這個問題。2、微服務將按照邊界拆分成單個服務,體現出分散式的

Systemtap 學習表示式,命令傳遞引數

$ptr->member ptr是一個在被探測的上下文中可以獲得的核心中的指標 二、通過stap命令列傳入的引數。 字面量可以是在雙引號中的string,也可以是整數值。通過在stap命令結尾

訊息中介軟體——RabbitMQ命令與管控臺的基本操作!

前言 在前面的文章中我們介紹過RabbitMQ的搭建:RabbitMQ的安裝過以及各大主流訊息中介軟體的對比:,本章就主要來介紹下我們之前安裝的管控臺是如何使用以及如何通過命令列進行操作。 1. 命令列操作 1.1 基礎服務的命令操作 rabbitmqctl stop_app:關閉應用 rabbitm

單元測試實戰種覆蓋詳解、測試例項

理論部分 前言 單元測試,就是對某一段細粒度的Java程式碼的邏輯測試。程式碼塊一般指一個Java 方法本身,所有外部依賴都需要mock掉,僅關注程式碼邏輯本身。   需要注意,單測的一個大前提就是需要清楚的知道自己要測試的程式塊所預期的輸入輸出,然後根據這個預期和程式邏輯來書寫case。