51人参与 • 2011-03-22 • 脚本攻防
与其他编程语言一样,powershell 脚本容易受到注入攻击。 当用户向包含额外命令的易受攻击的函数提供输入时,会发生注入攻击。 易受攻击的函数运行额外的命令,这可能是严重的安全漏洞。 例如,恶意用户可能会滥用易受攻击的函数在远程计算机上运行任意代码,从而损害该计算机并获取对网络上其他计算机的访问权限。
powershell 代码注入漏洞涉及包含脚本代码的用户输入。 用户输入添加到易受攻击的脚本中,由 powershell 分析和运行。
function get-processbyid { param ($procid) invoke-expression -command "get-process -id $procid" }
get-processbyid 函数按其 id 值查找本地进程。 它采用任何类型的 $procid 参数。 然后将 $procid 转换为字符串,并插入到使用 invoke-expression cmdlet 分析和运行的另一个脚本中。 传入有效的进程 id 整数时,此函数正常工作。
get-processbyid $pid npm(k) pm(m) ws(m) cpu(s) id si processname ------ ----- ----- ------ -- -- ----------- 97 50.09 132.72 1.20 12528 3 pwsh
但是,$procid 参数未指定类型。 它接受任何可以包含其他命令的任意字符串值。
get-processbyid "$pid; write-host 'pwnd!'"
在此示例中,函数正确检索了由 $pid 标识的进程,但也运行了注入脚本 write-host 'pwnd!'。
npm(k) pm(m) ws(m) cpu(s) id si processname ------ ----- ----- ------ -- -- ----------- 92 45.66 122.52 1.06 21736 3 pwsh pwnd!
可以为 $procid 参数指定类型。
function get-processbyid { param ([int] $procid) invoke-expression -command "get-process -id $procid" } get-processbyid "$pid; write-host 'pwnd!'"
get-processbyid: line | 7 | get-processbyid "$pid; write-host 'pwnd!'" | ~~~~~~~~~~~~~~~~~~~~~~~~~ | cannot process argument transformation on parameter 'procid'. cannot convert value "8064; write-host 'pwnd!'" to type "system.int32". error: "the input string '8064; write-host 'pwnd!' was not in a correct format."
此处,$procid 输入参数仅限于整数类型,因此,当传入不能转换为整数的字符串时,会发生错误。
不要使用 invoke-expression
无需使用 invoke-expression,直接调用 get-process,让 powershell 的参数绑定器验证输入。
function get-processbyid { param ($procid) get-process -id $procid } get-processbyid "$pid; write-host 'pwnd!'"
get-process: line | 5 | get-process -id $procid | ~~~~~~~ | cannot bind parameter 'id'. cannot convert value "8064; write-host 'pwnd!'" to type "system.int32". error: "the input string '8064; write-host 'pwnd!' was not in a correct format."
作为最佳做法,应避免使用 invoke-expression,尤其是在处理用户输入时。 invoke-expression 很危险,因为它会分析和运行你提供的任何字符串内容,使其容易受到注入攻击。 最好依赖于 powershell 参数绑定。
但是,有时使用 invoke-expression 是不可避免的,你还需要处理用户字符串输入。 可以使用每个字符串输入变量周围的单引号安全地处理用户输入。 单引号可确保 powershell 分析程序将用户输入视为单个字符串文本。
function get-processbyid { param ($procid) invoke-expression -command "get-process -id '$procid'" } get-processbyid "$pid; write-host 'pwnd!'"
get-process: cannot bind parameter 'id'. cannot convert value "8064; write-host " to type "system.int32". error: "the input string '8064; write-host' was not in a correct format."
但是,此版本函数对于防范注入攻击还不是完全安全的。 恶意用户仍然可以在其输入中使用单引号来注入代码。
get-processbyid "$pid'; write-host 'pwnd!';'"
npm(k) pm(m) ws(m) cpu(s) id si processname ------ ----- ----- ------ -- -- ----------- 97 46.08 183.10 1.08 2524 3 pwsh pwnd!
使用 escapesinglequotedstringcontent() 方法
若要防止用户插入自己的单引号字符来利用函数,必须使用 escapesinglequotedstringcontent() api。 这是 powershell system.management.automation.language.codegeneration 类的静态公共方法。 此方法通过转义用户输入中包含的任何单引号来确保用户输入的安全性。
function get-processbyid { param ($procid) $procidclean = [system.management.automation.language.codegeneration]:: escapesinglequotedstringcontent("$procid") invoke-expression -command "get-process -id '$procidclean'" } get-processbyid "$pid'; write-host 'pwnd!';'"
get-process: cannot bind parameter 'id'. cannot convert value "8064'; write-host 'pwnd!';'" to type "system.int32". error: "the input string '8064'; write-host 'pwnd!';'' was not in a correct format."
使用 injection hunter 检测易受攻击的代码
injection hunter 是 lee holmes 编写的模块,其中包含用于检测代码注入漏洞的 powershell 脚本分析器规则。 使用以下命令之一从 powershell 库安装模块:
# use powershellget v2.x install-module injectionhunter # use powershellget v3.x install-psresource injectionhunter
$rulepath = (get-module -list injectionhunter).path invoke-scriptanalyzer -customrulepath $rulepath -path .\invoke-dangerous.ps1
rulename severity scriptname line message -------- -------- ---------- ---- ------- injectionrisk.invokeexpression warning invoke-dan 3 possible script injection risk via the gerous.ps1 invoke-expression cmdlet. untrusted input can cause arbitrary powershell expressions to be run. variables may be used directly for dynamic parameter arguments, splatting can be used for dynamic parameter names, and the invocation operator can be used for dynamic command names. if content escaping is truly needed, powershell has several valid quote characters, so [system.management.automation.languag e.codegeneration]::escape* should be used.
