命令执行和代码执行漏洞

命令执行漏洞

命令执行直接调用操作系统命令。其原理是，在操作系统中，“&、|、||”都可以作为命令连接符使用，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，将用户的输入作为系统命令的参数拼接到命令行中，在没有过滤用户输入的情况下，造成命令执行漏洞。

command1&command2    两个命令同时执行
command1&&command2   只有前面命令执行成功，后面命令才继续执行
command1;command2    不管前面命令执行成功没有，后面的命令继续执行
command1||command2    顺序执行多条命令，当碰到执行正确的命令后将不执行后面的命令

命令执行常用场景

猜哪里会用到命令，比如测试网络这种地方

PHP中常见命令执行函数 

• system()：执行一个外部的应用程序的输入并显示输出的结果
• exec()：执行一个外部的应用程序，但不显示输出的结果
• passthru()：执行一个系统命令并显示原始的输出
• shell_exec()：执行shell命令并返回输出的结果的字符串
•  `` ：与shell_exec函数的功能相同
• popen()
• proc_open()
• pcntl_exec()：需要开启pcntl扩展

命令执行漏洞防御：

• 进入命令执行的函数或者方法之前，对参数进行过滤
• 参数的值尽量用引号包裹（单引号变量不解析），并在拼接前调用addslashes进行转义
• 禁止能执行系统命令的含食宿，可在php的配置文件中设置 disable_functions

代码执行漏洞 

应用程序在调用一些能够将字符串转换为代码的函数（如PHP中的eval()，eval可以将字符串当做函数进行执行）时，没有考虑用户是否控制这个字符串，将造成代码执行漏洞。一般很难通过黑盒查找漏洞，大部分都是根据源代码判断代码执行漏洞。

PHP中代码执行函数

• eval()：将字符串当做函数进行执行（需要传入一个完整的语句），执行后会输出一个hello
• assert()：判断是否为字符串，是则当成代码执行。php官方在php7中更改了assert函数。在php7.0.29之后的版本不支持动态调用。
• 7.0之后的demo:
• call_user_func()：回调函数，可以使用is_callable查看是否可以进行调用
• call_user_fuc_array()：回调函数，参数为数组
• create_function()：创建匿名函数
• preg_replace()：当php版本小于7时，当为 /e 时代码会执行
• array_map()：为数组的每个元素应用回调函数
• array_filter()：依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true，则 array 数组的当前值会被包含，在返回的结果数组中。数组的键名保留不变。
• usort()：使用自定义函数对数组进行排序
• ${}：中间的php代码将会被解析

一句话木马就是利用的代码执行漏洞：

<?php @eval($_POST[x]);?>

代码执行漏洞防御

• 保证用户不能轻易接触 eval()函数 的参数或者用正则严格判断输入的数据格式
• 字符串使用单引号包裹，并在插入前进行 addslashes()
• 对preg_replace()放弃使用e修饰符，保证第二个参数中对于正则匹配出的对象，用单引号包裹