02命令执行代码注入漏洞

1、命令执行/代码注入漏洞王朋涛深信服北京安全团队命令执行/代码注入漏洞概述命令执行/代码注入漏洞分类介绍命令执行/代码注入漏洞挖掘方法命令执行/代码注入漏洞攻击防御总结培训提纲命令执行/代码注入漏洞概述命令执行/代码注入漏洞概述命令执行/代码注入漏洞的出现 应用程序直接/间接使用了动态执行命令的危险函数，并且这个函数的运行参数是用户可控的。如php可动态执行系统命令的函数：system、exec、passthru等等，php可动态执行php代码的有eval；jsp可动态执行系统命令的函数有： Runtime.getRuntime().exec(.)；asp/aspx可动态执行asp/aspx代码

2、的有：eval等等。命令执行/代码注入漏洞的本质 程序设计违背了“数据与代码分离”的原则。命令执行/代码注入漏洞分类介绍命令执行/代码注入漏洞分类介绍命令或代码直接注入执行漏洞命令或代码本地包含执行漏洞命令或代码远程包含执行漏洞命令或代码反序列化执行漏洞命令或代码动态变量执行漏洞命令或代码动态函数执行漏洞命令执行/代码注入漏洞分类介绍命令或代码直接注入执行漏洞概述命令注入：应用程序直接使用了危险的可执行系统命令的函数，比如php的system、exec函数等，并且这些函数的运行参数是用户可控的，若过滤不严格，就会增大命令执行漏洞的概率。命令或代码本地包含执行漏洞。代码注入：应用程序直接使用了危

3、险的代码执行函数，如php/asp/aspx的eval函数等，并且这些函数的运行参数是用户可控的，若过滤不严格，就会增大命令执行漏洞的概率。命令执行/代码注入漏洞分类介绍命令直接注入示例1(CGI)系统命令注入执行漏洞示例，就比如去年很火的Bash漏洞，就属于这类漏洞，用户可直接更改HTTP头User-Agent的值，就可引发命令注入，如下图（命令执行结果将从服务器上下载一个php文件到本地）：命令执行/代码注入漏洞分类介绍命令直接注入示例2(PHP)系统命令注入执行漏洞示例，如服务器端用php语言实现，并且有个system.php文件的内容含有如下片段eval(“$_GETarg;”); ，

4、或类似的片段，就会存在此漏洞。如下图：命令执行/代码注入漏洞分类介绍命令直接注入示例2若用户输入的参数arg的值为精心组装过的，如：http:/IP/test.php?arg=cat /etc/passwd最后执行的命令就变成了 system(cat /etc/passwd)，输出结果如下图（显示出了服务器机器上的用户名等敏感信息）：命令执行/代码注入漏洞分类介绍代码直接注入示例1(PHP)代码注入执行漏洞示例，如服务器端用php语言实现，并且有个eval.php文件的内容如下图：命令执行/代码注入漏洞分类介绍代码直接注入示例1若用户输入精心组装过的数据，如：/cmdcode/code/eva

5、l.php?arg=phpinfo()则将执行php代码命令phpinfo()，结果如下图：命令执行/代码注入漏洞分类介绍代码直接注入示例2(Strust2)代码注入执行漏洞示例，如之前红极一时的Strust2漏洞，也是由于未对用户可控参数进行有效的过滤引发的代码注入执行漏洞，如用户输入：http:/XXX/save.action?redirect:$%23a%3d(new java.lang.ProcessBuilder(new java.lang.Stringipconfig,/all).start(),%23b%3d%23a.getInputStream(),%23c%3dnew jav

6、a.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char50000,%23d.read(%23e),%23matt%3d%23context.get(com.opensymphony.xwork2.dispatcher.HttpServletResponse),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()命令执行/代码注入漏洞分类介绍代码直接注入示例2

7、命令执行/代码注入漏洞分类介绍命令或代码本地 /远程文件包含执行漏洞概述命令本地/远程包含漏洞：应用程序直接包含或执行了用户可控的上传脚本文件或远程文件(URL引用文件)，就会触发此漏洞。代码本地/远程包含漏洞：应用程序直接包含了用户可控的上传文件或远程文件(URL引用文件)，就会触发此漏洞，比如php/asp/aspx的include,以及php的include_once、require_once、require等，有些远程文件包含的有些限制条件，比如PHP的就必须打开配置选项：allow_url_fopen，才会成功。命令执行/代码注入漏洞分类介绍命令本地文件包含示例1(360安全卫士)

8、360安全卫士有个“360电脑专家”功能，可以聊天，在聊天窗口中输入如下图内容，就会触发本地包含漏洞。这个漏洞的原理是360会将聊天内容写入到文件中去，然后显示的时候去读取文件，执行了包含的命令。命令执行/代码注入漏洞分类介绍命令本地文件包含示例1就会看到这奇迹的一幕，弹出命令行了.命令执行/代码注入漏洞分类介绍命令本地文件包含示例2(php) 若服务端代码文件中有个php文件的内容包含有类似代码【require($_GETp);】的片段，就会引发本地包含的漏洞。其中参数p为用户可控的，若p指定为一个用户上传的文件cmd.txt，并且这个txt的内容为 ，就会触发此漏洞命令执行/代码注入漏洞分

9、类介绍命令本地文件包含示例2命令执行/代码注入漏洞分类介绍代码本地文件包含示例1(php) 若服务端代码文件中有个php文件的内容包含有类似代码【require($_GETp);】的片段，就会引发本地包含的漏洞。其中参数p为用户可控的，若p指定为一个用户上传的文件code.txt，并且这个txt的内容为 ，就会触发此漏洞命令执行/代码注入漏洞分类介绍代码本地文件包含示例1命令执行/代码注入漏洞分类介绍命令或代码反序列化执行漏洞概述有些动态脚本语言，如php支持实例对象的序列化传输，然后服务端将实例对象反序列化出来并执行解析后实例的构造函数、析构函数或_wakeup()函数，若这些函数利用了用户

10、可控的参数，则会触发命令/代码注入执行漏洞，原理和之前的直接注入一样。命令执行/代码注入漏洞分类介绍反序列化漏洞示例1若服务端代码文件中有个php文件的内容包含有类似如下图代码片段，就存在反序列化的漏洞。命令执行/代码注入漏洞分类介绍反序列化漏洞示例1访问serialize.php可以获取$class_ser的值为：O:1:a:1:s:4:test;s:19:;命令执行/代码注入漏洞分类介绍反序列化漏洞示例1若用户提交如下图的序列化后的$class_ser的值给参数test，就会执行phpinfo()代码。命令执行/代码注入漏洞分类介绍命令或代码动态变量/函数执行漏洞概述有些动态脚本语言，如p

11、hp，支持变量或函数的动态定义，即运行时可通过参数名来动态组装变量、变量值或函数。若代码中包含有类似如图中类似代码片段，就会存在动态变量/函数的执行漏洞。命令执行/代码注入漏洞分类介绍命令或代码动态变量/函数执行漏洞示例当用户在浏览器中输入：/dynamic.php?dyn_func=system&argument=ipconfig，就相当于执行了系统命令ipconfig，如下图命令执行/代码注入漏洞挖掘方法命令执行/代码注入漏洞挖掘方法挖掘方法从漏洞的本质以及前面的示例中可以明显的看出，输入点是一切注入的根源，挖掘漏洞就是寻找这些输入点，寻找方法主要有： - 白盒审计 - 黑盒审计 - 灰盒

12、审计 命令执行/代码注入漏洞挖掘方法白盒审计概述白盒审计，就是指手上已经有份完整的源码，然后分析源码，选择一切用户可控的输入点，然后分析这些输入点是否未过滤或过滤不严格，这些点是最易引发注入漏洞，比如常见的XSS、SQL、命令以及代码注入漏洞等。白盒审计方法一般采用人工以及工具相结合的方法。纯工具的相对一些有些逻辑跳转的没法发现，纯人工的效率太低，也容易遗漏，正常情况是使用工具找到所有的输入点，然后人工依次跟踪变量的处理流程。命令执行/代码注入漏洞挖掘方法白盒审计工具Fortify SCA Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流

13、、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。命令执行/代码注入漏洞挖掘方法白盒审计工具Fortify SCA 命令执行/代码注入漏洞挖掘方法白盒审计工具SeaySeay源代码审计系统，Seay源代码审计系统目前只支持PHP，功能包括（一直在更新）： - 高精确度自动白盒审计 ； - mysql数据库管理 ； - 代码高亮； - 黑盒敏感信息泄露一键审计 ； - 函数查询

14、； - 正则调试； - 代码调试 ； - 多种字符编码转换； - 函数/变量定位； - 临时记录（可保存）； - 审计报告； - 编辑保存文件； - 自定义规则 ； - 自动升级检测； - 自定义编辑器 ； - POST数据提交；命令执行/代码注入漏洞挖掘方法白盒审计工具Seasy命令执行/代码注入漏洞挖掘方法黑盒审计概述黑盒审计，就是指无法获取到源代码，只能通过现有的WEB应用，进行摸黑测试，测试所有的输入点。通用的方法是使用扫描工具扫描WEB的目录列表以及所有参数列表，并分析扫描报告，查看是否有可疑的输入点。黑盒审计工具常用的有wvs、appscan、nessus、w3af等等，有很多，就

15、不一一列举了，下面就简单的介绍下这几个软件。命令执行/代码注入漏洞挖掘方法黑盒审计工具WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。命令执行/代码注入漏洞挖掘方法黑盒审计工具WVS命令执行/代码注入漏洞挖掘方法灰盒审计概述灰盒审计，就是指结合前面介绍的两种方法（白盒和黑盒审计），边黑盒扫描，边白盒审计，这样就能快速的定位到哪个输入点可疑，并且通过白盒审计，

16、就可迅速的找到并编写POC代码。灰盒审计一般依赖经验，经验越丰富，一般就能很快的定位到问题所在点以及问题重现，快速的编写出exp代码。命令执行/代码注入漏洞攻击防御命令执行/代码注入攻击防御灰盒审计概述基于前面的分析，注入漏洞的根源在于过分的相信了每一位用户，总假设用户的输入是正常的、无害的，而没有进行严格的审查判断以及过滤。由于每一位开发者的经验有限，这些问题总会不知不觉中就被写入到了代码之中，给恶意浏览者有可乘之机。防御方法一般是加强开发者的安全意识，以及规范开发流程和代码质量的严格审核。如果是采用第三方的应用时，在代码质量是无法控制的情况下，就可以采用部署入侵检测防御系统或防火墙进行实时

17、防护。总结介绍了命令执行/代码注入漏洞的本质介绍了命令执行/代码注入漏洞分类介绍了命令执行/代码注入漏洞挖掘方法介绍了命令执行/代码注入漏洞攻击防御措施总结9、静夜四无邻，荒居旧业贫。9月-229月-22Saturday, September 3, 202210、雨中黄叶树，灯下白头人。11:07:4811:07:4811:079/3/2022 11:07:48 AM11、以我独沈久，愧君相见频。9月-2211:07:4811:07Sep-2203-Sep-2212、故人江海别，几度隔山川。11:07:4811:07:4811:07Saturday, September 3, 202213、乍

18、见翻疑梦，相悲各问年。9月-229月-2211:07:4811:07:48September 3, 202214、他乡生白发，旧国见青山。03 九月 202211:07:48 上午11:07:489月-2215、比不了得就不比，得不到的就不要。九月 2211:07 上午9月-2211:07September 3, 202216、行动出成果，工作出财富。2022/9/3 11:07:4811:07:4803 September 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。11:07:48 上午11:07 上午11:07:489月-229、没有失败，只有暂时停止

19、成功！。9月-229月-22Saturday, September 3, 202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。11:07:4811:07:4811:079/3/2022 11:07:48 AM11、成功就是日复一日那一点点小小努力的积累。9月-2211:07:4811:07Sep-2203-Sep-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。11:07:4811:07:4811:07Saturday, September 3, 202213、不知香积寺，数里入云峰。9月-229月-2211:07:4811:07:48September 3, 202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。03 九月 202211:07:48 上午11:07:489月-2215、楚塞三湘接，荆门九派通。九月 2211:07 上午9月-2211:07September 3, 202216、少年十五二十时，步行夺得胡马骑。2022/9/3 11:07:4811:07:4803 September 202217、空山新雨后，天气晚来秋。11:07:48 上午11:07 上午11:07:489月-229、杨柳散和风，青山澹吾虑。9月-229月-22Saturday, September 3, 20221