本次搭建OWASP靶机中自带的DWVA靶机对命令注入执行

---

Simple级别

源代码查看

<?php
if( isset( $_POST[ 'submit' ] ) ) {
    $target = $_REQUEST[ 'ip' ];
    // Determine OS and execute the ping command.
    if (stristr(php_uname('s'), 'Windows NT')) { 
        $cmd = shell_exec( 'ping  ' . $target );
        echo '<pre>'.$cmd.'</pre>';        
    } else {     
        $cmd = shell_exec( 'ping  -c 3 ' . $target );
        echo '<pre>'.$cmd.'</pre>';      
    }    
}
?>

关键函数

php_uname(mode) 函数：
mode内容如下：
'a'：此为默认。包含序列 "s n r v m" 里的所有模式。
's'：操作系统名称。例如： FreeBSD。
'n'：主机名。例如： localhost.example.com。
'r'：版本名称，例如： 5.1.2-RELEASE。
'v'：版本信息。操作系统之间有很大的不同。
'm'：机器类型。例如：i386。
shell_exec() 函数：
通过shell执行命令并以字符串的形式返回完整的输出

代码审计：

通过关键函数结合源代码，可以看到原意是通过ping命令和用户输入的信息进行拼接调用shell_exec()函数来执行shell命令，最后回显结果。由于此处只是进行简单凭借，所以通过构造特殊输入内容，可以利用命令注入漏洞来进行执行。

命令注入

核心思想是，通过执行完第一个command后，在执行恶意拼接的command
主要使用的命令拼接符号有 | || & &&

拼接符	使用方法	功能	适用系统
|	command1 | command2	只显示Command2结果	W/L
||	command1 || command2	显示command1和command2结果,Command1不影响2	W/L
&	command1 & command2	显示command1和command2结果,Command1不影响2	W
&&	command1 && command2	显示command1和command2结果,Command1必须正确	W/L
;	command1 ; command2	显示command1和command2结果,Command1不影响2	L

---

Simple测试

| 符号测试
|| 符号测试,Command1正确
|| 符号测试,Command1错误
&& 符号测试,Command1正确
&& 符号测试,Command1错误
; 符号测试

---

Medium级别

源代码查看

<?php
if( isset( $_POST[ 'submit' ] ) ) {
    $target = $_REQUEST[ 'ip' ];
    $substitutions = array(
        '&&' => '',
        ';' => '',
    );
    // Determine OS and execute the ping command.
    if (stristr(php_uname('s'), 'Windows NT')) { 
        $cmd = shell_exec( 'ping  ' . $target );
        echo '<pre>'.$cmd.'</pre>';        
    } else {     
        $cmd = shell_exec( 'ping  -c 3 ' . $target );
        echo '<pre>'.$cmd.'</pre>';      
    }    
}
?>

代码分析

相对于Simple的源代码，此处进行了关键性的黑名单替换,对&&与;进行了过滤，所以可以通过采用未过滤连接符( | 与 || )进行测试。

| 符号测试
当然可以尝试继续利用黑名单的&&符号，可以进行绕过操作，为了更好理解，可以添加代码，查看效果。代码添加部分如下
回显过滤后效果
根据最后黑名单替换结果变为' '的思想，可以输入&;&进行绕过，由于;进入了黑名单，而&与第二个&和黑名单不匹配所以，可以进行绕过。
运行效果如下
成功利用命令注入漏洞
经过测试可进行绕过的payload有
&a& ;&-&;&+&;&_&;
对于这些payload，刚开始不是很理解为什么可以执行，通过在系统呢测试，可以发现，本质上是将中间的符号当做命令执行了
&uname&测试

---

High级别

源代码查看

High等级代码

代码分析

相对于Simple和Medium的源代码，对输入内容进行严格的预处理，通过点.将Ip地址分开，将每部分进行判断是否是数字。

关键函数

stripslashes()：删除反斜杠

反函数：addslashes()函数添加的反斜杠
explode()：将字符串分割后打散为数组

is_numeric()：函数用于检测变量是否为数字或数字字符串

此函数具有漏洞，常见于CTF中获取flag时进行与特定值比较
目前自己未发现有好的绕过方法，详细可以参考资料一栏

思维扩展

可以根据目前High级别的源码，可进行稍作修改，变为正则表达式匹配,自己尝试写出的简单WAF如下：
[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}

参考资料

CSDN：PHP is_numeric()函数安全漏洞
51CTO：PHP 函数漏洞原理解析

实战练习

可参考文章
RCE-命令注入