命令执行漏洞

命令执行漏洞的成因：

脚本语言(如PHP )优点是简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要-些除去web的特殊功能时,就需要调用一些外部程序。当应用需要调用一些外部程序去处理内容的情况下, 就会用到些执行系统命令的函数。如PHP中的system、exec. shell exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。

PHP中调用外部程序的主要有以下函数：

system

exec

shell_exec

passthru

popen

proc_popen

全局搜索这些函数，观察是否可以控制。

命令执行漏洞的防御：

可控点为待执行的程序

<?php

$arg = $_GET[‘cmd’];

if($arg){

system(“$arg”);

}

?>

[if !supportLists]l [endif]/?cmd=id

[if !supportLists]l [endif]/?cmd=pwd

[if !supportLists]l [endif]/?cmd=ifconfig

可控点是传入程序的整个参数（无引号包裹）

<?php

$arg = $_GET[‘cmd’];

if($arg){

system(“ping -c 3 $arg”);

}

?>

我们能够控制的点是程序的整个参数，我们可以直接用&&或|等等，利用与、或、管道命令来执行其他命令。

/?cmd=127.0.0.1| ifconfig

可控点是某个参数的值（有双引号包裹）

<?php

$arg = $_GET[‘cmd’];

if($arg){

system(“ls -al \”$arg\””);

}

?>

闭合双引号。

/?cmd=/home” | ifconfig;”

可控点是某个参数的值（有单引号包裹）

<?php

$arg = $_GET[‘cmd’];

if($arg){

system(“ls -al  ‘$arg’ ”);

}

?>

在单引号内的话，只是一个字符串，因此想要执行命令必须闭合单引号。

/cmd?=/home’ |ifconfig’

命令执行漏洞的防御：

1、能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable functions中禁用之。

2、对于可控点是程序参数的情况，使用escapeshellcmd函数进行过滤。

3、对于可控点是程序参数的值的情况，使用escapeshellarg函数进行过滤。

4、参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义。