🔏
Web-Security
  • 目录
  • 基础知识
    • 什么是堡垒机?为什么需要堡垒机?
    • Web安全常见漏洞修复建议
    • Cookie、Session、Token、JWT
    • X-Frame-Options HTTP 响应头
    • Cookie 属性
    • Java Web开发 .action 和 .do的 区别
    • php使用mysql预处理语句防止sql注入 简单讲解及代码实现
  • Web 渗透笔记
    • 信息收集
      • 指纹信息
      • 域名信息
      • 目录信息
      • 端口信息
      • 信息泄露
      • 旁站C段
      • Waf 信息
      • 社工信息
    • 漏洞扫描
  • XSS 漏洞
    • XSS 漏洞 -- 反射型
    • XSS 漏洞 -- 存储型
    • XSS 漏洞 -- 存储型
  • XXE 漏洞
  • CSRF 漏洞
  • SQL注入漏洞
  • 文件上传漏洞
  • 命令执行漏洞
    • Untitled
  • 代码执行漏洞
  • 文件读取漏洞
    • 技术相关
      • 文件读取漏洞的攻防
    • 漏洞实例
      • 图片读取处任意文件读取
      • URL后面加 .jsp::%24DATA 读源码
  • 文件包含漏洞
  • 未授权访问漏洞
  • 通过框架钓鱼漏洞
  • 业务逻辑漏洞
    • 身份认证安全
    • 业务一致性安全
    • 业务数据篡改
    • 用户输入合规性
    • 密码找回漏洞
    • 验证码突破
    • 业务授权安全
    • 业务流程乱序
    • 业务接口调用
      • 短信炸弹漏洞
    • 时效绕过测试
  • 敏感信息泄露
    • phpinfo 信息泄露
    • WEB-INF/web.xml 泄露
    • Apache server-status 信息泄露
    • 内网IP地址泄露
    • 源码泄露
      • 网站源码泄露
      • git 源码泄露
      • SVN 源码泄露
      • hg 源码泄漏
      • DS_Store文件泄漏
    • MessageSolution 邮件归档系统EEA 信息泄露漏洞
    • GitLab Graphql邮箱信息泄露漏洞 CNVD-2021-14193
  • 应用配置错误
    • Untitled
    • 管理员后台泄露
    • SnoopServlet 信息泄露
    • WordPress xmlrpc.php 存在SSRF漏洞
    • 登录页面泄露
    • PHP FastCGI 解析漏洞
    • PHP register_globals 启用
    • 帮助文件泄露
    • IIS 短文件漏洞
    • DNS 域传送漏洞
    • 目录浏览
    • rsync 匿名访问
    • .Net 错误信息泄露
    • FTP 匿名访问
    • 网站安装目录泄露
    • Apache server-status 信息泄露
    • Host 头攻击漏洞
    • Cookie 属性问题
    • 服务器开启option方式
    • TRACE方法未禁用
    • 未加密的__VIEWSTATE参数
    • 不安全的http方法未禁用
    • Phpmyadmin setup 页面配置不当
    • 开启 ASP.NET 调试功能
    • web.config 配置文件泄露
    • 目标页面.Net 错误信息泄露
    • robots.txt 文件泄漏
    • Flash 跨域访问
    • jsonp 跨域请求
    • CORS 漏洞
    • xmlrpc.php 暴力破解密码
    • PHP FastCGI 解析漏洞
    • Kindeditor 编译器目录遍历
    • 支持不安全的TLSv1.0协议
    • SSL 3.0 POODLE攻击信息泄露漏洞
  • 编辑器漏洞
    • kindeditor<=4.1.5 文件上传漏洞利用
  • 解析漏洞
    • IIS 解析漏洞
    • PHP FastCGI 解析漏洞
  • 中间件漏洞
    • IIS 漏洞集合
  • 框架组件漏洞
    • Atlassian Jira
    • Lanproxy
  • 2021 年护网漏洞
    • ⽤友ERP-NC ⽬录遍历漏洞
    • 2021HW期间公布的部分漏洞及利用方式(部分附POC、EXP)
Powered by GitBook
On this page
  • 漏洞简述
  • 漏洞实例
  • 漏洞修复

Was this helpful?

代码执行漏洞

漏洞简述

应用程序在调用一些能够将字符串转换为代码的函数时,如PHP中的eval(),没有考虑用户是否控制这个字符串,造成的代码执行漏洞。

  • 命令执行与代码执行漏洞区别

命令执行漏洞是可以直接调用操作系统命令,代码执行漏洞是靠执行脚本代码调用操作系统命令

  • 命令执行&代码执行漏洞危害

可以执行代码、系统命令进行读写文件、反弹shell等操作,拿下服务器,进一步内网渗透等等。

  • 代码执行,文件读取,命令执行的函数都有哪些

代码执行:eval,pregreplace+/e,assert,calluserfunc,calluserfuncarray,create_function

命令执行:

system(), exec(), shellexec(), passthru() ,pcntlexec(), popen(),proc_open()

文件读取:

filegetcontents(),highlightfile(),fopen(),read file(),fread(),fgetss(), fgets(),parseinifile(),showsource(),file()等

漏洞实例

Discuz 7.x/6.x 全局变量防御绕过导致代码执行

由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。

cd discuz/wooyun-2010-080723/    进到靶机环境目录
service docker start    启动docker
docker-compose up -d    构建环境

启动好后,访问http://your-ip:8080/install/ 来安装discuz 数据库地址填写db,数据库名为discuz,数据库账号密码均为root 安装好后随便访问个帖子,并抓包。 把cookie进行替换

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

漏洞修复

代码执行漏洞修复
1 能使用json 保存数组、对象就使用json,不要将php对象保存成字符串,否则读取的时候需要使用eval。将字符串转化为对象的过程其实是将数据转化为代码的过程,这个过程很容易出现漏洞,像php的unserialize 导致代码执行、struts2的ognl 命令执行等漏洞都是这个过程导致的。
2 对于必须使用eval 的情况,一定要保证用户不能轻易接触eval 的参数(或用正则严格判断输入的数据格式)。对于字符串,一定要使用单引号包裹可控代码,并再插入前进行addslashes,这样就无法闭合单引号,又因为不是双引号包裹,故不能执行 ${} 。
evil('${phpinfo()}')、evil("phpinfo()") 等都不会执行, evil("${phpinfo()}")、evil(phpinfo())、evil(${@phpinfo()}) 都可以执行,因为双引号里面内容会被当作变量解析一次,函数前加 @ 表示执行函数时不报错。
$data = addslashes($data);eval("\$data = deal('$data');");

3 放弃使用preg_replace 的e修饰符,而换用 preg_replace_callback 替代。如果非要使用preg_replace的e模式的话,请保证第二个参数中,对于正则匹配出的对象,用单引号包裹。
4 确保register_globals = off, 若不能自定义php.ini,则应该在代码中控制;其次,熟悉可能造成变量覆盖的函数和方法,检查用户是否能控制变量的来源;最后,养成初始化变量的好习惯。
5 能够往本地写入的函数都需要重点关注,如 file_put_contents(), fwrite(), fputs() 等。
6 在自动化漏洞检测中可以 直接带入类似 ";print(md5(test));$a=" ,匹配返回页面是否有 md5 字符串。
PreviousUntitledNext文件读取漏洞

Last updated 4 years ago

Was this helpful?