一、整体说明
这三类漏洞都是Web入口高危威胁,常被用于拿下服务器、探测内网、持久化入侵。
二、命令执行漏洞
1.原理
网站代码直接接受用户输入,并拼接调用系统命令,攻击者构造特殊字符拼接恶意指令,在服务器上执行任意系统命令。
常见触发场景:ping检测、文件解压、系统信息查询、IP校验等功能。
2.常见分隔/拼接符号(特征标记)
- Linux:; | || & && ' $()
- Windows:& | || >
作用:截断原有命令,追加执行恶意系统指令
3.典型恶意请求示例
#正常功能:IP连通性测试
/ping.php?ip=127.0.0.1
#恶意构造(Linux)
/ping.php?ip=127.0.0.1;whoami
/ping.php?ip=127.0.0.1 | id
/ping.php?ip=127.0.0.1 && ls -l
#恶意构造(Windows)
/ping.php?ip=127.0.0.1 & whoammi常用恶意指令:whoami(查当前权限)、ipconfig/ifconfig(查网络)、netuser(查帐号)、curl/wget(下载木马)
4.日志与流量特征
1.Web日志
- URL参数包含;|&等分隔符+系统命令关键词
- 状态码多为200,部分命令报错会出现500
- 单IP短时间批量请求不同命令,多为工具自动化攻击
2.系统日志
- Windows:出现4688进程命令执行事件ID
- Linux:history历史命令、/var/log/secure会记录异常调用痕迹
5.应急排查步骤
1.日志筛选特征字符与命令
#Nginx日志筛选命令执行特征
grep -iE "\;|\||\&|whoami|ifconfig|ipconfig|curl|wget" /var/log/nginx/access.log2.定位漏洞页面,确认执行权限:whoami返回网站运行账号,判断权限高低
3.全盘排查:是否被下载木马、创建后门账号、开启端口监听
4.检查定时任务、开机自启,防止持久化后门
6.应急处置&加固
临时处置
- WAF拦截命令分隔符、系统命令关键词
- 临时下线存在漏洞的功能页面
- 封禁攻击IP/IP段
长期加固
- 代码层禁止直接拼接用户输入到命令系统
- 输入严格白名单校验,仅允许合法IP、字符
- 网站运行帐号做权限降级,禁止高权限执行系统指令
三、SSRF服务端请求伪造
1.原理
服务器端主动发起网络请求的功能(图片加载、地址解析、接口转发)存在漏洞,攻击者诱导服务器去访问任意内外网地址。
核心危害:以服务器身份探测内网、攻击内网主机、读取本地文件、发起端口扫描
2.常见触发场景
图片远程加载、URL转码、站内代理、在线爬虫、地址预览等功能
3.协议与利用方式(识别重点)
- **HTTP/HTTPS:**对内网主机、端口进行扫描,访问内网Web服务
- **FIle:**读取服务器本地敏感文件(file:///etc/passwd、file://C:/windows/system32/drivers/etc/hosts)
Dict/Telnet:对内网端口暴力破解、交互访问
4.典型恶意请求
#探测内网主机
?url=http://192.168.1.100:3389
#读取本地文件(Linux)
?url=file:///etc/passwd
#读取本地文件(Windows)
?url=file://C:/Windows/hosts
#访问内网数据库/缓存服务
?url=http://127.0.0.1:63795.日志&流量特征
1.Web日志
请求参数存在url=、link=等字段,值为内网IP、本地回环127.0.0.1、file://协议
短时间大量不同内网端口请求,判定为内网扫描
2.流量特征
受害服务器主动向内网多IP/端口发起TCP连接
出现非常规协议(file://)请求
6.应急排查步骤
1.日志筛选关键词
grep -iE "url=file://|127.0.0.1|192.168." /var/log/nginx/access.log2.梳理请求目标:区分是本地文件读取、内网扫描还是内网服务攻击
3.检查内网资产:对应端口/主机是否被进一步入侵
4.核查服务器本地敏感文件是否泄露
7.应急处置&加固
临时处置
- WAF拦截内网IP段、file://、dict://等危险协议
- 临时关闭风险的URL转发、远程加载功能
- 对内网边界临时收紧访问策略
长期加固
- 禁用非必要协议:file、dict、gopher等
- 白名单限制请求目标:仅允许外网合法域名,禁止内网IP、本地回环地址
- 限制请求端口,仅开放80、443等常用业务端口
四、弱口令风险
1.原理
管理员/业务账号使用简单密码(纯数字、弱字典、默认密码),攻击者通过暴力破解、字典猜解登陆系统,是入侵最常见入口,覆盖Web后台、SSH、RDP、数据库、路由器、各类管理系统。
2.常见弱口令类型
- 默认密码:admin/admin、root/root、test/test、123456
- 简单组合:手机号、生日、连续数字/字母、公司名简写
- 空密码、同账号密码
3.应用场景与对应特征
1)Web后台弱口令(80/443端口)
- 请求特征:大量重复POST请求,路径固定为登录接口
- 请求参数固定:username、password批量变化
- 日志:同IP高频访问登录接口,状态码交替出现200/302(失败/跳转登录成功)
2)Linux SSH弱口令(22端口)
- 日志:/var/log/secure大量Failed password,穿插Accepted password
- 辅助命令:lastb
3)Windows RDP弱口令(3389)
- 日志:安全日志大量4625登录失败事件ID
- netstat -ano可见3389端口频繁外部连接
4)数据库弱口令(3306/1433端口)
- 流量:对应数据库端口高频连接尝试
- 风险:直接拖库、篡改数据、执行系统命令
4.应急排查步骤
1.定位登录接口/端口,结合日志统计爆破IP
#筛选Web登录类POST请求
grep "POST" access.log | grep -i "login"
#统计高频攻击IP
awk '{print $1}' access.log | sort |uniq -c | sort -nr2.核查帐号状态:是否存在陌生IP成功登录
3.遍历全量账号,检查是否存在弱口令、默认账号
4.检查登录后行为:是否上传木马、创建后门账号、篡改数据
5.应急处置&加固
临时处置
- 防火墙/WAF封禁爆破IP,配置登录接口频率限制(防暴力破解)
- 立即修改所有弱口令、默认密码
- 临时关闭外网可访问的高危端口(如3389、22),或限制登录IP段
长期加固
- 强制密码复杂度:字母+数字+特殊符号,长度>=8位,定期更换
- 开启登录二次验证、IP白名单
- 关闭无用默认账号、匿名帐号
- 配置登录失败锁定策略