技术分享:PHP之命令执行与文件包含分析

技术分享:PHP之命令执行与文件包含分析
首先要分清命令执行跟代码执行的区别。

区别:命令执行只是针对系统命令,而远程代码执行针对的是编程代码,两者互不能替换。

命令执行

技术分享:PHP之命令执行与文件包含分析

当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。

漏洞原因

命令执行漏洞是源代码中直接调用了执行系统命令的函数,并且没有做任何过滤,导致在没有指定绝对路径的情况下就执行命令。

比如struts2的命令执行漏洞,权限就很大的。

如:php中的system函数、exec函数、popen函数passthru,shell_exec函数,都可执行系统命令。

system()输出并返回shell结果。 
exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。 
passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。 

popen()proc_open() 不会直接返回执行结果,而是返回一个文件指针。

下面是我用虚拟机模拟的php环境:

技术分享:PHP之命令执行与文件包含分析

虚拟机中写入根目录下一个调用system()函数的php文件,参数是cmd,咱们本地测试一下,如下图:

技术分享:PHP之命令执行与文件包含分析

技术分享:PHP之命令执行与文件包含分析

好的,可以看到咱们本地可以通过cmd参数执行虚拟机上的系统命令,这就是命令执行漏洞的原理。

技术分享:PHP之命令执行与文件包含分析

代码执行漏洞

应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。

技术分享:PHP之命令执行与文件包含分析

Php:eval()、assert()、preg_replace()、create_function()等。

Javascript:eval

Vbscript:Execute、Eval

Python: exec

技术分享:PHP之命令执行与文件包含分析

下面还是使用php环境演示代码执行:

使用eval()函数执行php代码,使用REQUEST变量接受getpost,cookie方式传参。

技术分享:PHP之命令执行与文件包含分析

本地测试如下:

技术分享:PHP之命令执行与文件包含分析

可以获取php探针,还很很大的用处,这里演示最常见的。

咱们常用的一句话木马就是利用的代码执行函数来完成操作的。

文件包含漏洞

简 介:  

服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。文件包含漏洞,可以读取系统中的敏感文件,源代码文件等。也可以造成恶意代码执行。

漏洞原因:  

文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。

主要包括本地文件包含和远程文件包含两种形式

 

PHP中文件包含函数有以下四种: 

require()

require_once()

include()

include_once()

include是当代码执行到它的时候才加载文件,发生错误的时候只是给一个警告,然后继续往下执行;

require是只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行;

require一般是用于文件头包含类文件、数据库等等文件,include一般是用于包含html模版文件;

如果读取的内容是php,则内容会被当成php执行,不是php则会读取到文件内容(用来读取/etc/passw等等配置文件的敏感信息。

本地包含:  

下面是我虚拟机搭建的php环境来复现漏洞:

可以看到咱们写的代码,file参数没有经过任何过滤直接带入了include的函数,咱们控制file参数就可以执行恶意操作。

技术分享:PHP之命令执行与文件包含分析

好,咱们本机试验一下,我在虚拟机c盘下新建了一个txt文件,里面写了phpinfo的语句。

可以看到,包含的文件里面是php代码就会以php来执行。

注意:../是跳到上级目录。./是当前目录。

技术分享:PHP之命令执行与文件包含分析

那么,我在E盘下新建一个txt文件,里面写入飞猪。

技术分享:PHP之命令执行与文件包含分析

我们可以看到如果不是php的内容,就可以直接读取出来,那么就可以遍历去读取其他敏感信息内容了,网上有很多别的大佬收集好的win&linux下的敏感信息路径,我就不罗嗦了额。

远程包含漏洞:  

PHP的配置文件allow_url_fopenallow_url_include设置为ONinclude/require等包含函数可以加载远程文件,如果远程文件没经过严格的过滤,导致了执行恶意文件的代码,这就是远程文件包含漏洞。

还是利用上面写的include函数的php文件,完成此次远程包含操作。

我在另一个虚拟服务器上网站根目录新建了feizhu.txt里面写了读取phpinfo()的信息。

也可以直接写一个php后缀的文件,都可以的。

技术分享:PHP之命令执行与文件包含分析

好,咱们本地测试一下,如图:

技术分享:PHP之命令执行与文件包含分析

可以看到成功了加载了phpinfo的文件。

此篇主要讲解的php的漏洞形成的原因,便于学习理解。

未经允许不得转载:PHP100中文网 - 中国第一档PHP资源分享门户 » 技术分享:PHP之命令执行与文件包含分析

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏