Low stristr(string,search,before_search) stristr函数搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点),如果未找到所搜索的字符串,则返回 FALSE。参数string规定被搜索的字符串,参数search规定要搜索的字符串(如果该参数是数字,则搜索匹配该数字对应的 ASCII 值的字符),可选参数before_true为布尔型,默认为“false” ,如果设置为 “true”,函数将返回 search 参数第一次出现之前的字符串部分。 php_uname(mode) 这个函数会返回运行php的操作系统的相关描述,参数mode可取值”a” (此为默认,包含序列”s n r v m”里的所有模式),”s ”(返回操作系统名称),”n”(返回主机名),” r”(返回版本名称),”v”(返回版本信息), ”m”(返回机器类型)。 可以看到, 服务器通过判断操作系统执行不同ping命令,但是对ip参数并未做任何的过滤,导致了严重的命令注入漏洞。   漏洞利用 window和linux系统都可以用&&来执行多条命令 先试试127.0.0.1&&dir 127.0.0.1&&net user (不知道为啥,我这net user命令不会执行,cmd都挺正常的)   ps :在这里有必要说一下逻辑运算符“&” “|” 都是什么意思 && :代表首先执行命令a 再执行命令b ,但是前提条件是命令a 执行正确才会执行命令b ,在a 执行失败的情况下不会执行b 命令。所以又被称为短路运算符。 & :代表首先执行命令a 再执行命令b ,如果a 执行失败,还是会继续执行命令b 。也就是说命令b 的执行不会受到命令a 的干扰,在执行效率上来说“&&” 更加高效。 || :代表首先执行a 命令再执行b 命令,如果a 命令执行成功,就不会执行b 命令,相反,如果a 命令执行不成功,就会执行b 命令。 | :代表首先执行a 命令,再执行b 命令,不管a 命令成功与否,都会去执行b 命令。   2、medium等级命令行注入 服务器端对ip参数做了一定过滤,即把”&&” 、”;”删除,本质上采用的是黑名单机制,因此依旧存在安全问题。 但是他并没有过滤“|” ,所以我们依然可以进行注入。 127.0.0.1|net user 127.0.0.1 &dir 127.0.0.1&;&ipconfig   High 黑名单看似过滤了所有的非法字符,但仔细观察到是把”| ”(注意这里|后有一个空格)替换为空字符,于是 ”|”成了“漏网之鱼”。 Command 1 | Command 2 “|”是管道符,表示将Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果。 127.0.0.1|net user   Impossible stripslashes(string) stripslashes函数会删除字符串string中的反斜杠,返回已剥离反斜杠的字符串。 explode(separator,string,limit) 把字符串打散为数组,返回字符串的数组。参数separator规定在哪里分割字符串,参数string是要分割的字符串,可选参数limit规定所返回的数组元素的数目。 is_numeric(string) 检测string是否为数字或数字字符串,如果是返回TRUE,否则返回FALSE。 可以看到,Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。
扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄