墨守之道

Web安全靶场DVWA

Web服务安全架构与实践。

0x01 背景

学习Web安全技术,除了要理清漏洞的原理之外,更好可以针对Web漏洞进行复现。Web漏洞的产生的原因,很多时候是因为Web代码的安全性出现问题,在各种Web开发语言中,PHP语言开发的Web系统的漏洞,被利用的情况比较常见。

DVWA作为安全靶场软件,集合了各种常见的漏洞PHP代码。安全靶场有很多种,DVWA是众多靶场中的一个,对于经典的PHP的Web漏洞,DVWA虽然不能说表现的多么惊艳,但对于模拟漏洞的现场,用于复现测试,可以达到预期效果,例如:WebShell执行这种漏洞的复现,可以轻松的用DVWA进行漏洞现场还原。

DVWA提供了常见的SQL注入、XSS注入、XShell执行、CSRF、上传执行等多种漏洞模拟,同时使用者可以阅读PHP源代码,安全测试人员对源代码进行审计,学习漏洞代码的样式。

0x02 命令执行

以命令执行漏洞的代码为例,以下:

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
  // Get input
  $target = $_REQUEST[ 'ip' ];

  // Determine OS and execute the ping command.
  if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
    // Windows
    $cmd = shell_exec( 'ping  ' . $target );
  }
  else {
    // *nix
    $cmd = shell_exec( 'ping  -c 4 ' . $target );
  }

  // Feedback for the end user
  $html .= "<pre>{$cmd}</pre>";
}

?>

0x03 代码漏洞

这段代码的本意是,只考虑让用户在表单中提交一个IP地址,然后由PHP程序通过shell_exec系统调用执行Ping指令,去测试用户提交的IP的是否可以Ping通。但是因为没有考虑到,用户可能输入IP以外的数据,比如其他可执行指令,造成其他命令被一起执行,程序的设计者没有对输入提交的IP地址以外的非法数据做恰当的过滤。

在生产环境中如果出现了类似的情况,我们可以考虑在Web防火墙,对用户提交的表单内容,尝试做一些过滤。同时可以考虑在PHP程序执行阶段,监控shell_exec执行的其他的新的命令进程,在内存的调用栈变化信息、 观察对应生成的火焰图像,给出报警提示。

0x04 发现威胁的手段

在《墨守之道-Web服务安全架构与实践》这本书,就出现了以DVWA模拟漏洞执行,通过尝试在WAF系统上创建安全检测规则,拦截用户非法提交的非IP以外的参数。也同时基于OpenRest Xray的动态跟踪技术,基于云原生语言YSQL等工具,实践了如何发现PHP的命令执行漏洞在被利用时,如何获得PHP执行栈的信息、有对应的CPU火焰图的特征。

0x05 总结

DVWA不算很复杂的靶机项目,但足以复现典型的PHP命令执行漏洞。在命令执行漏洞之外,DVWA还提供很多其他的漏洞案例,可以提供给安全测试人员进行操作实践,漏洞代码审计学习,也可作为攻防演练的霸机环境,测试安防系统威胁发现的能力。