bWAPP----OS Command Injection

OS Command Injection

界面：

给一个域名，它帮你返回DNS

代码：

<div id="main">

    <h1>OS Command Injection</h1>

    <form action="<?php echo($_SERVER["SCRIPT_NAME"]);?>" method="POST">

        <p>

        <label for="target">DNS lookup:</label>
        <input type="text" id="target" name="target" value="www.nsa.gov">

        <button type="submit" name="form" value="submit">Lookup</button>

        </p>

    </form>
    <?php

    if(isset($_POST["target"]))                                                      //获取域名，如果存在输入
    {

        $target = $_POST["target"];

        if($target == "")                                                           //如果域名为空
        {

            echo "<font color="red">Enter a domain name...</font>";              //请输入域名

        }

        else
        {

            echo "<p align="left">" . shell_exec("nslookup  " . commandi($target)) . "</p>";   

        }

    }

    ?>

</div>

shell_exec — 通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回。

 

 

防御部分

function commandi($data)
{

    switch($_COOKIE["security_level"])
    {

        case "0" :

            $data = no_check($data);
            break;

        case "1" :

            $data = commandi_check_1($data);
            break;

        case "2" :

            $data = commandi_check_2($data);
            break;

        default :

            $data = no_check($data);
            break;

    }

    return $data;

}

?>

1.low

low级别没有过滤

加一个；就能实现恶意

 

2.medium

function commandi_check_1($data)
{
    
    $input = str_replace("&", "", $data);
    $input = str_replace(";", "", $input);
    
    return $input;
    
}

过滤了&和；将他们替换为空

用  |  可以绕过

3.high

function commandi_check_2($data)
{
   
    return escapeshellcmd($data);
    
}

escapeshellcmd函数功能：

反斜线（）会在以下字符之前插入： &#;`|*?~<>^()[]{}$, x0A 和 xFF。 ' 和 " 仅在不配对儿的时候被转义。 在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。