当前位置:   article > 正文

DVWA之命令注入漏洞_dvwa命令注入漏洞

dvwa命令注入漏洞

简介:

命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将不安全的用户提供的数据(表单、Cookie、HTTP表头等)传递给系统shell时,可能会产生命令注入漏洞。在进行攻击时,攻击者提供的操作系统命令通常以易受攻击的应用程序的权限执行。

产生原因:

web服务器没有对用户提交的参数进行有效的检测过滤

操作系统允许一条语句在使用连接符和管道符后执行多条命令

科普Windows命令的连接符【‘&’‘&&’‘||’‘|’】的含义及其用法

一、各个连接符的含义

二、用法演示

1.a && b 2.a & b 3.a || b 4.a | b

一、各个连接符的含义

a && b :代表首先执行前者命令a再执行后命令b,但是前提条件是命令a执行正确才会执行命令b,在a执行失败的情况下不会执行b命令。所以又被称为短路运算符。

(前面的命令执行成功后,它后面的命令才被执行)

a & b:代表首先执行命令a再执行命令b,如果a执行失败,还是会继续执行命令b。也就是说命令b的执行不会受到命令a的干扰。

(表示简单的拼接,A命令语句和B命令语句没有制约关系)

a || b:代表首先执行a命令再执行b命令,如果a命令执行成功,就不会执行b命令,相反,如果a命令执行不成功,就会执行b命令。

(前面的命令执行失败,它后面的命令才被执行)

a | b:代表首先执行a命令,再执行b命令,不管a命令成功与否,都会去执行b命令。

(当第一条命令失败时,它仍然会执行第二条命令,表示A命令语句的输出,作为B命令语句的输入执行。)

low低级

检查源代码

未对代码进行任何过滤,可以直接在后面拼接命令

  • 登陆DVWA平台,选择Low级别然后进入Command Injection模块。

  • 通过页面我们可以看出这是让你输入一个IP地址然后对其进行Ping测试,因此我们先只输入一个地址观察一下。

可以看见这里不仅仅返回了127.0.0.1的Ping检测信息,还返回了刚刚拼接dir命令的结果即当前目录下的文件和子目录的信息。然后我们就可以通过拼接其他命令进行攻击,达到我们的目的。

medium 中级

查看源代码

这段代码的作用就是对输入的字符进行判断若出现‘&&’或‘;’字符则用‘’代替。这样就在一定程度上隔绝了用此类连接符连接的命令注入。这是明显的黑名单做法,可还是不能有效的阻挡命令注入。

  • 我们同样先试一下Low级别的做法,输入127.0.0.1&&dir进行测试,发现失败了。

  • 不过windows下的管道符或者连接符不只有&&,还有以下几种:

command1&command2 无论command1是否执行成功都要执行command2

command1&&command2 只有command1执行成功后才执行command2

command1||command2 只有command1执行失败后才执行command2

command1|command2 将command1的执行结果传递给command2

既然用&&连接测试失败了,我们试一下利用&进行连接,我们输入127.0.0.1进行测试,发现下方成功显示出了命令结果,则表示注入成功。

可见过滤了&&和;

可用127.0.0.1 & whoami

127.0.0.1 & ipconfig

127.0.0.1 | dir

127.0.0.1 & shutdown

可见服务端已接收到关机命令

higth 高级

我们在依次使用不同的连接符或管道符进行测试,我们发现只有管道符 ‘|’ 对命令进行连接才能实现测试。通过刚刚Medium级别,我们同样猜测这里应该同样的采用了黑名单的做法,不过相对于Medium级别的扩大了黑名单的内容。接下来我们看一下High级别的代码:

可见过滤了一系列字符,但是"|"中有一个空格,可以利用这个漏洞借此绕过

127.0.0.1 |netstat

果然如同Medium级别一样采用的是黑名单方法,并扩大了限制的字符,在一定程度上限制了命令注入,但并没有起到实际作用。

impossible 不可能

发现这里还添加了token参数的检验,杜绝了CSRF漏洞的利用,并且这里我们发现在代码中,其限制了输入数据的格式,也就是说这里采用了白名单的做法,只有输入的格式跟白名单的一样才能通过验证,其他的都不行。这样就基本上杜绝了命令注入。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/309288
推荐阅读
相关标签
  

闽ICP备14008679号