【渗透测试】命令执行漏洞的原理、利用方式、防范措施

命令执行漏洞的原理、利用方式、防范措施

一、原理

1. 定义与触发条件

命令执行漏洞（RCE） 分为远程命令执行（Remote Command Execution）和远程代码执行（Remote Code Execution），攻击者可通过构造恶意输入，诱使服务器执行非预期命令或代码。其核心触发条件包括：

• 未过滤用户输入：应用程序直接拼接用户输入到系统命令或代码中（如ping 192.168.0.25 & ipconfig）。
• 危险函数调用：使用shell_exec、exec、system、eval等敏感函数。
• 配置缺陷：如Apache错误配置AddHandler或Nginx路径解析漏洞。

2. 攻击链流程图

二、利用方式

1. 利用手法与分类

(1) 系统命令注入

• 符号绕过：利用&、&&、|、;分割命令（如ping 127.0.0.1 | whoami）。
• 编码绕过：使用Base64、URL编码混淆命令（如echo d2hvYW1p | base64 -d | bash）。

(2) 代码执行漏洞

• 动态函数调用：通过eval执行用户输入（如eval($_GET['code'])）。
• 反序列化漏洞：利用不安全反序列化操作触发代码执行（如PHP的unserialize()）。

(3) 框架漏洞利用

• Struts2历史漏洞：如S2-045、S2-048，攻击者可构造恶意HTTP头（如Content-Type）触发远程代码执行。

2. 案例

1. 禅道项目管理系统漏洞

   • 漏洞：旧版本存在权限绕过与命令执行漏洞，攻击者通过构造恶意请求无需登录即可执行任意命令。
   • 影响：攻击者可控制服务器，执行文件操作、部署后门等。
   • 修复：升级至官方修复版本，禁用危险函数并校验输入参数。

2. Pikachu靶场命令执行漏洞

   • 漏洞：后台未过滤用户输入的IP地址，直接拼接至ping命令。
   • 利用：输入192.168.0.25 & ipconfig，服务器执行额外命令并返回结果。
   • 防御：使用escapeshellarg转义参数，限制命令执行权限。

3. 西部数据My Cloud设备漏洞

   • 漏洞：公共网关接口脚本存在硬编码凭证，攻击者可执行任意命令。
   • 影响：本地用户可提权至root权限，控制网络存储设备。

三、防范措施

1. 输入过滤与验证

• 白名单校验：仅允许合法字符（如IP地址仅含数字和.）。

  $ip = $_GET['ip'];
  if (!preg_match('/^[0-9.]+$/', $ip)) {die("Invalid IP!");
  }
  

• 转义特殊字符：使用escapeshellarg或escapeshellcmd处理命令参数。

2. 禁用危险函数

• PHP配置：在php.ini中禁用eval、system等函数。

  disable_functions = eval, system, shell_exec, passthru
  

3. 安全开发

• 使用安全API：替代直接执行系统命令（如PHP的filter_var()验证输入）。
• 框架防护：启用Struts2的安全配置，限制动态方法调用。

4. 服务加固

• 最小权限原则：运行Web服务的用户权限限制为只读/必要目录。
• 日志监控：记录所有命令执行操作，检测异常行为（如频繁执行whoami）。

四、结语

漏洞本质

命令执行漏洞的核心是**“信任用户输入并将其作为代码执行”**。防御需从输入过滤、函数禁用、权限控制等多层面入手。

漏洞自查清单

1. 是否直接拼接用户输入至系统命令？
2. 是否禁用eval、system等危险函数？
3. 是否启用白名单校验和转义机制？
4. Web服务是否以低权限运行？

思考题

• 为什么escapeshellarg比简单过滤更安全？
  （提示：escapeshellarg会转义所有可能干扰Shell命令的字符，而正则过滤可能遗漏边缘情况。）

参考资源

1. OWASP命令注入指南：https://cheatsheetseries.owasp.org/ 。
2. Struts2漏洞库：CVE数据库（搜索CVE-2017-5638等）。
3. PHP安全编程规范：PHP官方文档 。