RCE漏洞原理及危害、相关危险函数

首先先了解什么是RCE漏洞(Remote Code|Command Execute)：

由于程序中预留了执行代码或者命令的接口，并且提供了给用户使用的界面，导致被黑客利用， 控制服务器。

漏洞原理：

代码执行漏洞原理：

传入php代码到执行函数的变量，客户端可控，并且没有做严格的过滤，攻击者可以随意输入他想执行的代码，并且这些代码在服务端执行

代码执行漏洞危害：

攻击者可以通过RCE继承web用户的权限，执行php代码，如果web的权限比较高的话，就可以读写目标服务器任意文件的内容，甚至控制整个网站

与代码执行漏洞相关的危险函数：

  eval()   将字符串当作php代码执行
  assert()   将字符串当作php代码执行
  preg_replace()   将字符串正则匹配后替换
  call_user_func()   回调函数
  array_map()    回调函数

命令执行漏洞原理：

应用在调用这些函数执行系统命令的时候，如果将用户输入作为系统命令的参数拼接到命令行中，如果没对用户的输入进行过滤的话，就会造成命令执行漏洞

命令执行漏洞危害：

  1.继承web服务器程序权限，去执行系统命令
  2.继承web服务器权限，读写文件
  3.反弹shell
  4.控制整个网站，控制整个服务器

与命令执行漏洞危险函数：

  system()   将字符串当作os命令执行
  exec()       将字符串当作os命令执行，但只输出命令执行的最后一行，约等于没有回显
  shell_exec()   将字符串当作os命令执行
  passthru()      将字符串当作os命令执行
  popen()           能过执行os命令，相当于把命令执行结果输出到一个文件内
  ``单引号

相关函数的使用详情看php手册

拿靶场DVWA的命令注入模块来练手

输入一个ip地址，然后提交，它会拿提交的ip地址去ping，然后返回，ping127.0.0.1看看，显示ping通返回数据

我们试试执行多条命令，一个一个的去试一下，发现有的可以，有的不行

  127.0.0.1 & whoami
  127.0.0.1 && whoami
  127.0.0.1 | whoami
  127.0.0.1.1 || whoami
  127.0.0.1；whoami

选择ping 127.0.0.1 &whoami，然后把ping的内容和用户都显示出来了，这些是黑盒测试

接下来看看它的源代码

  <?php

  if( isset( $_POST[ 'Submit' ]  ) ) {
      // Get input
      $target = $_REQUEST[ 'ip' ];

      // Determine OS and execute the ping command.
      if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
          // Windows
          $cmd = shell_exec( 'ping  ' . $target );
      }
      else {
          // *nix
          $cmd = shell_exec( 'ping  -c 4 ' . $target );
      }

      // Feedback for the end user
      echo "<pre>{$cmd}</pre>";
  }

  ?>

代码分析

  1.是否点击了提交按钮；

  2.服务器通过GPC 方式获取了一个IP 地址，赋值给了$target 变量；

  3.命令拼接ping $target ，ping 127.0.0.1；由shell_exec() 运行拼接后的命令；

  4.当web 用户点击提交按钮的时候，服务器执行了1 条命令；

防御漏洞的方法：

  1.尽量不要使用eval等危险函数的使用，如果要是使用则要进行严格的过滤
  2.preg_replace()函数放弃使用/e修饰符
  3.尽量减少危险函数的使用，并在php.ini配置文件中disable_functions中禁用
  disable_functions=system，assert
  4.参数值尽量用引号包裹，并在拼接前调用addslashes() 进行转义

原文始发于微信公众号（船山信安）：RCE漏洞原理及危害、相关危险函数