命令注入漏洞

接口：POST localhost:5000/snmp
請求參數(shù)：
{"host":"test","asset_type":"pc","version":"1`touch /tmp/test.txt`","community":"public"}

注入成功分析

從接口名稱，以及接口請求方法可以看出镜沽，這是一個對snmp管理對接口芒篷，那么何為snmp呢？

簡單網(wǎng)絡(luò)管理協(xié)議（SNMP)是一個與網(wǎng)絡(luò)設(shè)備交互的簡單方法孟岛，一個網(wǎng)絡(luò) 設(shè)備以守護進程的方式運行SNMP代理瓶竭，該守護進程能夠響應(yīng)來自網(wǎng)絡(luò)的各種請求信息督勺。
該SNMP代理提供大量的對象標(biāo)識符（OID－Object Identifiers）。一個OID是一個唯一的鍵值對斤贰。該代理存放這些值并讓它們可用智哀。
一個SNMP管理器（客戶）可以向代理查詢鍵值對中的特定信息。由于OID都非常長荧恍，使得人們難以記住瓷叫，或者對他非常感冒。
因此块饺，人們就設(shè)計了一種將數(shù)字OID翻譯為人們可讀的格式赞辩。這種翻譯映射被保存在一個被稱為 "管理信息基礎(chǔ)"（Management Infomation Base) 或MIB的、可傳遞的無格式文本文件里授艰。
使用SNMP或者向SNMP設(shè)備查詢辨嗽，你不需要使用MIB，但是淮腾，如果沒有MIB糟需，你就得猜測你正在查看的數(shù)據(jù)是什么。
某些情況下谷朝，不使用MIB也非常簡單洲押，例如查看主機名、磁盤使用率數(shù)字圆凰，或者端口狀態(tài)信息杈帐。
SNMP v3 在前面的版本上增加了安全能力和遠程配置能力，SNMPv3結(jié)構(gòu)為消息安全和VACM（View-based Access Control Model）引入了USM（User-based Security Model）专钉。這個結(jié)構(gòu)支持同時使用不同的安全機制挑童，接入控制，消息處理模型跃须。SNMP v3 也引入使用SNMP SET命令動態(tài)配置 SNMP agent而不失MIB對象代表agent配置站叼。

這些動態(tài)配置支持能夠增加，刪除菇民，修改和配置遠程或本地實體尽楔。

SNMP V3有三個可能的安全級別: noAuthNoPriv, authNoPriv, 和 authPriv.
noAuthNoPriv 級別指明了沒有認證或私密性被執(zhí)行. 
authNoPriv 級別指明了認證被執(zhí)行但沒有私密性被執(zhí)行. 
authPriv 級別指明了認證和私密性都被執(zhí)行.

auth---認證 支持MD5 or SHA;

priv---加密 支持DES or RSA;

接口能被攻擊者注入成功的原因是，開發(fā)者需要根據(jù)參數(shù)構(gòu)造相應(yīng)的snmp控制臺執(zhí)行命令第练。在參數(shù)驗證不夠嚴謹?shù)那闆r下阔馋，會將攻擊者構(gòu)造的參數(shù)帶入到命令中執(zhí)行。

從請求body中可以看出娇掏，攻擊者注入了一條創(chuàng)建文件的命令touch /tmp/test.txt垦缅，因為開發(fā)者安全能力不足，或者沒有考慮到該情況驹碍，導(dǎo)致命令被執(zhí)行

接口請求后壁涎，可以在服務(wù)器中查看該文件是否被創(chuàng)建凡恍，從而驗證是否被成功注入

root@1596979f06df:/tmp# ls
tmpm89hn269
root@1596979f06df:/tmp# ls
test.txt  tmpm89hn269

可以看到，成功生成了文件怔球。那如果攻擊者將該命令改為執(zhí)行腳本嚼酝，那危害就會幾何放大。

那竟坛，我們該如何修復(fù)此類漏洞呢闽巩？

命令注入修復(fù)

1、該接口担汤，我明確知道版本號是1涎跨、2、3崭歧，因此隅很，我可以判斷版本號是否在這些值內(nèi)，如果不在范圍內(nèi)率碾，就return返回叔营，中斷程序的執(zhí)行，有效防止命令注入所宰。

2绒尊、也可以做類型判斷，將版本號強勢轉(zhuǎn)成int類型仔粥，然后判斷版本號是否在該版本列表內(nèi)婴谱，如果不是，也中斷程序執(zhí)行躯泰。

我在代碼中采用的是將該值做類型轉(zhuǎn)換谭羔，可以過濾掉其他不必要的字符。

比如參數(shù) version 的值是 "2`touch /tmp/test.txt`"斟冕，進行類型轉(zhuǎn)換( intval($version) )后，該值就被轉(zhuǎn)換成了數(shù)字 2缅阳，將注入字符串給過濾掉了磕蛇，修復(fù)了該注入漏洞。

擴展

命令注入漏洞十办，大多都是在字符串中夾雜了可執(zhí)行的命令腳本秀撇。而我們通過程序，在終端執(zhí)行命令的時候向族，又會隱秘的執(zhí)行注入命令呵燕，因此過濾這些特殊字符，可以很有效的防范此類注入件相。

而這些特殊字符中再扭，又以反引號（`）為最氧苍。從我們的安全測試報告中可以總結(jié)出，大部分的注入腳本都是被反引號包裹者的泛范，因此過濾這類字符就可以防止大部分的腳本注入攻擊让虐。