dvwa命令执行漏洞分析

dvwa靶场命令执⾏漏洞

high难度的源码:

target = trim(_REQUEST[ 'ip' ]);是一个接收id值的变量

array_keys()函数功能是返回包含原数组中所有键名的一个新数组。

str_replace() 函数如下,把字符串 "Hello world!" 中的字符 "world" 替换为 "Shanghai":

str_replace("world","Shanghai","Hello world!");

shell_exec()函数是执行Linux命令函数,可以获取全部数据

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
	// Get input
	$target = trim($_REQUEST[ 'ip' ]);

	// Set blacklist
	$substitutions = array(
		'&'  => '',
		';'  => '',
		'| ' => '',
		'-'  => '',
		'$'  => '',
		'('  => '',
		')'  => '',
		'`'  => '',
		'||' => '',
	);

	// Remove any of the charactars in the array (blacklist).
	$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}

	// Feedback for the end user
	$html .= "<pre>{$cmd}</pre>";
}

?>

这段源码中的substitutions是一个php关联数组,它交互过滤了所有的特殊字符,将他们置为空,但是经过观察'| ' => ''有一段空格,没有成功过滤:

$substitutions = array(
		'&'  => '',
		';'  => '',
		'| ' => '',
		'-'  => '',
		'$'  => '',
		'('  => '',
		')'  => '',
		'`'  => '',
		'||' => '',
	);

impossible难度的源码:

这段代码中加入了CSRF token,如果user的token值与更改密码时的token值不相等或者不存在seesion_token值,便会报错,这样就防止了伪造攻击

stripslashes()函数:过滤字符串中的反斜杠。

explode()函数:将所有的字符串打散成为数组。

is_numeric() 函数:用于检测变量是否为数字或数字字符串。

Anti-CSRF token:同时对参数ip进行严格的限制,只有"数字.数字.数字.数字"的输入才会被接受,因此不存在命令注入漏洞。

防范措施:获取要测试的IP,利用函数根据.将其分割成4个数值,再重新拼接后进行测试。

$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

限制了只有数字.数字.数字.数字才会接受,所以杜绝了命令注入漏洞

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$target = $_REQUEST[ 'ip' ];
	$target = stripslashes( $target );

	// Split the IP into 4 octects
	$octet = explode( ".", $target );

	// Check IF each octet is an integer
	if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
		// If all 4 octets are int's put the IP back together.
		$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

		// Determine OS and execute the ping command.
		if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
			// Windows
			$cmd = shell_exec( 'ping  ' . $target );
		}
		else {
			// *nix
			$cmd = shell_exec( 'ping  -c 4 ' . $target );
		}

		// Feedback for the end user
		$html .= "<pre>{$cmd}</pre>";
	}
	else {
		// Ops. Let the user name theres a mistake
		$html .= '<pre>ERROR: You have entered an invalid IP.</pre>';
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>
相关推荐
秋窗721 天前
记录部署dvwa靶场踩的几个坑
靶场·dvwa
一路向北_.2 个月前
CTFshow 命令执行 web37-web40
网络安全·web·命令执行
luo_guibin3 个月前
VMware搭建DVWA靶场
dvwa·搭建靶场
玥轩_5213 个月前
网络安全 DVWA通关指南 DVWA Weak Session IDs(弱会话)
安全·web安全·网络安全·靶场·系统安全·dvwa·弱会话
玥轩_5213 个月前
网络安全 DVWA通关指南 DVWA Stored Cross Site Scripting (存储型 XSS)
安全·web安全·网络安全·php·xss·dvwa
玥轩_5213 个月前
网络安全 DVWA通关指南 DVWA SQL Injection (Blind SQL盲注)
sql·安全·web安全·网络安全·dvwa·sql盲注
网安小t3 个月前
ctfshow-命令执行
网络安全·渗透测试·命令执行
Xlucas5 个月前
DVWA中命令执行漏洞细说
dvwa·命令执行漏洞
玥轩_5215 个月前
网络安全 DVWA通关指南 DVWA Brute Force (爆破)
android·安全·web安全·网络安全·密码学·dvwa·爆破
穿鞋子泡脚5 个月前
sql注入-报错注入
数据库·sql·web安全·渗透测试·dvwa