RCE(remote command/code execute)概述
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
远程系统命令执行
一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口
比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上
一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器
现在很多的甲方企业都开始实施自动化运维,大量的系统操作会通过"自动化运维平台"进行操作。在这种平台上往往会出现远程系统命令执行的漏洞。
远程代码执行
同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。 不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。
因此,如果需要给前端用户提供操作类的API接口,一定需要对接口输入的内容进行严格的判断,比如实施严格的白名单策略会是一个比较好的方法。
Windows系统命令拼接
- “|”:管道符,前面命令标准输出,后面命令的标准输入。例如:help |more
- “&” commandA & commandB 先运行命令A,然后运行命令B
- “||” commandA || commandB 运行命令A,如果失败则运行命令B
- “&&” commandA && commandB 运行命令A,如果成功则运行命令B
开始我们的实验
exec"ping" 远程命令模块
我们直接输入: 127.0.0.1 & ipconfig 。我们发现出现了乱码
我们可以执行以下步骤
1. 同时按"win + R" ,并输入 regedit 进入注册表
2. 找到 HKEY_CURRENT_USERConsole\%SystemRoot%_system32_cmd.exe,如果该项下已存在 CodePage 项,则把值改为十进制 "65001",点击确定即可;
如果不存在,在该项下(HKEY_CURRENT_USERConsole)新建一个 DWORD(32位值),命名为 "CodePage",值设为 "65001"。然后关闭注册表管理器。
刷新,再次输入 192.168.43.116 & ipconfig
这就说明,后台没有做严格的处理,我们可以先输入目标ip通过命令拼接,输入一些命令
可以看下源代码(路径如下) 使用了shell_exec()函数,直接将ip和命令拼接起来,实现了远程的命令执行
现在开始我们的
exec"evel" 远程代码模块
先随意输入一个值,
我们再输入一句php代码 phpinfo();
结果
可以看下源代码(路径如下)对输入的信息没有做任何处理,又使用了eval()这种比较危险的函数,从而执行了代码。
