命令注入攻擊

PHP中可以使用下列5個函數來執行外部的應用程序或函數

system、exec、passthru、shell_exec、“(與shell_exec功能相同)

函數原型

string system(string command, int &return_var)

      command 要執行的命令

      return_var 存放執行命令的執行后的狀態值

string exec (string command, array &output, int &return_var)

      command 要執行的命令

      output 獲得執行命令輸出的每一行字符串

      return_var 存放執行命令后的狀態值

void passthru (string command, int &return_var)

      command 要執行的命令

      return_var 存放執行命令后的狀態值

      string shell_exec (string command)

      command 要執行的命令

漏洞實例

例1:

//ex1.php 
$dir = $_GET["dir"]; 
if (isset($dir)) 
{ 
    echo "
"; 
    system("ls -al ".$dir); 
    echo "

我們提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd

提交以后，命令變成了 system("ls -al | cat /etc/passwd");

eval注入攻擊

eval函數將輸入的字符串參數當作PHP程序代碼來執行

函數原型:

mixed eval(string code_str) //eval注入一般發生在攻擊者能控制輸入的字符串的時候

//ex2.php 
$var = "var"; 
if (isset($_GET["arg"])) 
{ 
    $arg = $_GET["arg"]; 
    eval("\$var = $arg;"); 
    echo "\$var =".$var; 
} 
?> 

當我們提交http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就產生了；

動態函數

php 
func A() 
{ 
    dosomething(); 
} 
func B() 
{ 
    dosomething(); 
} 
if (isset($_GET["func"])) 
{ 
    $myfunc = $_GET["func"]; 
    echo $myfunc(); 
} 
?> 

程序員原意是想動態調用A和B函數，那我們提交http://www.sectop.com/ex.php?func=phpinfo漏洞產生

防范方法

1、盡量不要執行外部命令

2、使用自定義函數或函數庫來替代外部命令的功能

3、使用escapeshellarg函數來處理命令參數

4、使用safe_mode_exec_dir指定可執行文件的路徑

esacpeshellarg函數會將任何引起參數或命令結束的字符轉義，單引號“’”，替換成“\’”，雙引號“"”，替換成“\"”，分號“;”替換成“\;”

用safe_mode_exec_dir指定可執行文件的路徑，可以把會使用的命令提前放入此路徑內

safe_mode = On

safe_mode_exec_dir = /usr/local/php/bin/