什么是RCE?
Remote Command/Code Execute,远程命令或代码执行。通过构造特殊的字符串,将数据提交至Web应用程序,并利用该方式执行外部程序或系统命令实施攻击,类似于SQL注入。
Web应用程序使用了一些可以执行系统命令或代码的函数,而且对用户提交的数据过滤不严格,导致黑客可以利用服务器执行命令或代码。
php相关函数:
- eval(string $code);
- assert()函数
- preg_replace()函数
- call_user_func()函数
- exec()/shell_exec()函数
- 反撇号,作为命令来执行
当然不是只有以上的方式才是实现rce,这几个是最典型的函数,还有其他的函数就又大家以后去收集了
下面我们来看看远程代码执行
eval()函数 **,**我们在www目录下创建一个名为rce的文件夹,并且创建rce.php文件,写入以下代码
php
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
eval($_GET["code"]);
?>
去访问这个文件,然后传入参数,?code=echo 8-2;可以看到页面回显了6。
如果是一个恶意代码呢,?code=phpinfo(); 回显了php等其他相关信息
assert()函数,assert函数的本意并不是要执行代码,而是程序员用来调试代码用的。但是,如果第一个参数是字符串,它将会被 assert() 当做 PHP 代码来执行。先来看代码
php
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
assert($_GET['code']);
?>
**preg_replace函数,**preg_replace ( mixed $pattern , mixed $replacement , mixed $subject)
搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。如果所替换内容为可执行函数,则该函数会被执行。
e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码。
php
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
//assert($_GET['code']);
//这里可以将phpinfo,替换成$_GET['code']
preg_replace("/www/e","phpinfo()","www.com");
?>
**call_user_func()函数,**这个函数输入的不是函数,而是函数名,?code=phpinfo
php
<?php
//防止中文乱码
header("content-type:text/html;charset=utf8");
//eval($_GET["code"]);
//assert($_GET['code']);
//preg_replace("/www/e","phpinfo()","www.com");
call_user_func($_GET['code']);
?>
下面是远程命令执行
exec()、shell_exec()函数
这里就可以输入ipconfig,whoami,在我们输入ipconfig时,我们发现只有一行的回显,这是因为返回时有多行信息,所以就返回最后一行,所以我们就可以换一个函数
php
<?php
echo exec($_GET['cmd']);
?>
这个时候再传入ipconfig,信息就完整了
php
<?php
//echo exec($_GET['cmd']);
echo shell_exec($_GET['cmd']);
?>
反撇号
这个键在Esc键的下方,Tab键的上方,被反撇号包起来的的内容会被当做命令去执行,但是内部不允许使用单引号,双引号等,所以直接上代码
php
<?php
//echo exec($_GET['cmd']);
//echo shell_exec($_GET['cmd']);
$cmd = $_GET['cmd'];
echo `$cmd`;
?>
接下来看看命令连接符
下面几个命令作为练习,和验证
php
<?php
//echo exec($_GET['cmd']);
//echo shell_exec($_GET['cmd']);
//$cmd = $_GET['cmd'];
//echo `$cmd`;
//pwd是linux下的命令在windows中不会有任何操作
echo `whoami&&ipconfig`;
echo `pwd&&ipconfig`;
?>
趁热打铁,我们来到pikachu靶场,进入第一个环境
这里提示要我们输入一个ip地址进去,我这里输入127.0.0.1,可以看到正确执行了,这些乱码其实是pikachu内置的编码和浏览器不一致导致的
当然输入一个域名也是可以的,这里我输入的百度的
接下来就可以练习命令连接符,这里去ping127.0.0.1一定可以执行,通过&&的连接后面的命令一定可以执行,如果你的靶场搭建在linux操作系统中相应的命令要发生变换
php
//比如输入
127.0.0.1&&whoami
127.0.0.1&&ipconfig
接下来看看evel,最简单的输入phpinfo(); ,或者echo 10-2; 。
rce漏洞该怎么防御呢,对用户输入的符号做替换,进行严格的过滤,还可以进行输入内容的特征来详细的过滤,比如第一个ping,在这个环境中他只想让我们输入Ip地址,那我们就可以根据Ip地址的特点,点分十进制,首先将输入的内容以点号来分割,校验这四个部分是不是都是数字,只要有一个部分不是数字,那便返回错误。