基本定义

命令执行漏洞是指攻击者可以随意执行系统命令，分为远程代码执行和系统命令执行两类。

原理

程序应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命
令拼接到正常命令中，从而造成命令执行攻击。

两个条件

• 用户能够控制的函数输入
• 存在可以执行代码或者系统命令的危险函数

命令执行漏洞产生的原因

• 由于开发人员编写源码时，没有针对代码中可执行的特殊函数入口做过滤，导致客户端可以提交恶意构造语句，并提交服务端执行
• 命令注入攻击中, Web服务器没有过滤类似system、eval和exec等函数，是该漏洞攻击成功的主要原因。

命令执行漏洞带来的危害

• 继承Web服务程序的权限去执行系统命令（任意代码）或读写文件
• 反弹shell
• 控制整个网站甚至控制服务器
• 进一步内网渗透

管道符号

Linux

• ;前面的执行完执行后面的
• |是管道符，显示后面的执行结果
• ||当前面的执行出错时执行后面的

Windows 

• &前面的语句为假则直接执行后面的
• &&前面的语句为假则直接出错，后面的也不执行
• |直接执行后面的语句
• ||前面出错执行后面的

通用命令符

• command1 && command2        command1执行成功才执行command2
• command1 | command2        只执行command2
• command1 & command2        command1和command2之间互相不影响

命令执行常见场景

• Ping主机
• DNS请求
• Office文档
• 框架缺陷

远程代码执行

远程代码执行的函数

• eval()

<?php
if(isset($_GET['a'])){
	eval($_GET['a']);	
}
else{
	echo "Please input a";
}
?>

• assert()

<?php
if(isset($_GET['a'])){
	assert($_GET['a']);	
}
else{
	echo "Please input a";
}
?>

• preg_replace()

<?php
if(isset($_GET['a'])){
	//Preg_replace("/\[(.*)\]/e",'\\1',$_GET['a']);	
	Preg_replace("/(.*)/e",'\\1',$_GET['a']);
}
else{
	echo "Please input a";
}
?>

• call_user_func()

<?php
if(isset($_GET['a'])){
	call_user_func($_GET['a'],$_GET['b']);
}
else{
	echo "Please input a";
}
?>

• $a($b)

<?php
if(isset($_GET['a'])&isset($_GET['b'])){
	@$a = $_GET['a'];
	@$b = $_GET['b'];
	@$a($b);//函数，可变函数
		//$a就是函数的名
		//$b就是函数的值
		//?a=assert&b=phpinfo()
		//assert(phpinfo());
}else{
	echo "Please input a&b";
}
?>

如果页面中存在这些函数并且对于用户的输入没有做严格的过滤，那么就可能造成远程命令执行漏洞

远程代码执行漏洞的利用payload

系统命令执行的函数

• system()

<?php
if(isset($_GET['a'])){
	system($_GET['a']);	
}
else{
	echo "Please input a";
}
?>

• exec()

<?php
if(isset($_GET['a'])){
	echo exec($_GET['a']);	
}
else{
	echo "Please input a";
}
?>

• shell_exec()

<?php
if(isset($_GET['a'])){
	echo shell_exec($_GET['a']);	
}
else{
	echo "Please input a";
}
?>

• passthru()

<?php
if(isset($_GET['a'])){
	passthru($_GET['a']);	
}
else{
	echo "Please input a";
}
?>

• popen()

<?php
if(isset($_GET['a'])){
	popen("whoami >> 1.txt",'r');
}else{
	echo "Please input a";
}
?>

• 反引号

<?php
if(isset($_GET['a'])){
	echo `whoami`;
}else{
	echo "Please input a";
}
?>

 系统命令执行漏洞payload

命令执行漏洞防御方案

（1）尽量不要执行外部命令
（2）使用自定义函数或函数库来替代外部命令的功能
（3）使用escapeshellarg函数来处理命令参数
escapeshellarg函数会将任何引起参数或命令结束的字符转义，单引号 ' 、替换成 \ 双引号 “ 、替换成 \" 、分号 ;、替换成 \;
（4）使用safe_mode_exec_dir指定要执行程序的主目录（php.ini）
用safe_mode_exec_dir指定要执行程序的主目录，可以把会使用的命令提前放入此路径内
safe_mode = On (打开php的安全模式）
safe_mode_exec_dir = /usr/local/php/bin/