命令执行及代码执行

最新推荐文章于 2024-06-13 19:21:41 发布
最新推荐文章于 2024-06-13 19:21:41 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: web漏洞 文章标签: 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51822230/article/details/115911783
版权

命令执行及代码执行漏洞原理

命令执行和代码执行漏洞是因为在代码中有进行执行的函数,但是有没有对用户可控数据进行过滤,所以形成了这个漏洞。

在执行时的连接符

command1&command2    两个命令同时执行
command1&&command2   只有前面命令执行成功,后面命令才继续执行
command1;command2    不管前面命令执行成功没有,后面的命令继续执行
command1||command2    顺序执行多条命令,当碰到执行正确的命令后将不执行后面的命令

命令执行常见函数

  1. system:执行一个外部的应用程序并显示输出的结果。
  2. exec:执行一个外部的应用程序。
  3. shell_exec:执行shell命令并返回输出的结果的字符串。
  4. passthru:执行一个UNIX系统命令并显示原始的输出。
  5. popen():打开到命令参数中指定的程序的管道,如果发生错误,则返回false。
  6. proc_open: 执行一个命令,并且打开用来输入/输出的文件指针。

代码执行常见函数

  1. eval() :把字符串按照 PHP 代码来计算。
  2. assert():判断是否为字符串,是则当成代码执行。php官方在php7中更改了assert函数。在php7.0.29之后的版本不支持动态调用。
  3. call_user_fuc():调用函数。
  4. call_user_fuc_array():调用函数,参数为数组。

判断注入点
1.找到网页命令执行的功能区。

比如这里就是一个ping的功能区。
在这里插入图片描述2.如果说有源码就在我们上面的常见函数中进行查找,看是否使用了函数。

3.基于各种框架的漏洞,如strut2框架的远程代码执行漏洞。利用exp进行利用。

参考文章

命令执行和代码执行漏洞

聊一聊代码、命令执行

hsxiaowu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
命令执行代码执行
weixin_45253622的博客
03-26 6080
命令执行 简介 命令执行通常因为指web应用在服务器上拼接系统命令而造成的漏洞。 命令执行直接调用操作系统命令。在操作系统中,“&、|、I"都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,造成命令执行漏洞。 场景 该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能,或者一些站点提供如ping、nslo
代码执行命令执行
weixin_62707591的博客
06-05 1941
代码执行顾名思义就是将用户输入的内容作为脚本代码进行执行的一类漏洞,此类漏洞影响很大,在权限较大的情况下可以直接接管服务器。
命令执行代码执行
最新发布
wbplife的博客
06-13 494
PHP应用在调用命令执行函数执行系统命令的时候,如果将前端用户的输入数据作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行漏洞。由于PHP程序未对前端用户提交的数据进行严格过滤或限制,从而导致传入的字段被带入到命令执行函数中作为参数执行,造成GetShell或接管服务器权限等高危害的Web漏洞!# 出网-有回显方法一:然后写入Webshell方法二:反弹shell方法三:远程下载木马文件# 出网-无回显方法一:反弹shell方法二:远程下载木马文件。
代码执行命令执行
weixin_30611509的博客
03-30 953
  代码执行漏洞与命令执行漏洞也是常见的危险Web漏洞,两者名字听上去差不多,但是却有着本质上的不同。代码执行漏洞是把代码注入到Web服务器中执行,而命令执行漏洞执行的系统命令 ,这篇博客会对这两种漏洞的产生原因与修复方式进行介绍。 0x01 代码执行漏洞的产生原因   代码执行漏洞主要有两种产生原因:代码执行函数和动态函数执行,在php中还存在双引号执行的情况。常见的导致代码执行的...
Java代码执行shell命令的实现
08-25
"Java代码执行shell命令的实现" Java代码执行shell命令的实现是指在Java程序中调用操作系统的shell命令,实现与操作系统交互的功能。下面将详细介绍Java代码执行shell命令的实现方法。 环境准备 在执行shell命令...
java执行Linux命令的方法
09-04
最后,通过调用`process.waitFor()`等待命令执行完成。 ```java private void shell(String cmd) { // ... Process process = Runtime.getRuntime().exec(cmds); StreamGobbler errorGobbler = new ...
Go代码审计:Gitea远程命令执行漏洞链
02-24
在modules/lfs/server.go文件中,PostHandler是POST请求的处理函数:可见,其中间部分包含对权限的检查:在没有权限的情况下,仅执行了requireAuth函数:这个函数做了两件事,一是写入WWW-Authenticate
java代码执行linux系统命令
05-27
java代码执行linux系统命令
Java程序执行CMD命令代码实现
06-16
Java程序是如何执行CMD命令的,就是需要RunTime、Process类而已。 具体代码在文档中
代码执行&命令执行详解
weixin_56714714的博客
07-25 4484
代码执行 什么是代码执行? 当应用在调用一些能将字符串转换成代码的函数时,没有考虑到用户是否能够控制这个字符串传入一些恶意代码,将造成代码注入漏洞 https://www.anquanke.com/post/id/229611 详细介绍 为什么存在代码执行漏洞? 应用有时候会考虑代码的简洁性,灵活性,会在代码中调用 eval之类的函数 利用方式 比如可以利用PHP的文件操作写入一个shell文件 PHP代码执行* eval() //把字符串作为PHP代码执行 assert() //检查一个断言是
执行代码
回忆独殇的专栏
04-29 548
从理论上来讲,在HTML文档中任何地方加加入javas
代码执行漏洞总结
yukinorong的博客
08-29 457
PHP代码执行漏洞总结 参考博文: http://blog.csdn.net/kuangmang/article/details/27170309 http://blog.csdn.net/fuckcat_2333/article/details/52125951 代码执行函数 php中可以执行代码的函数有: eval()、assert()、``、system()、exec()、shell_e...
命令执行(Command Injection)与代码执行(Code execution)
qwzf
08-09 6683
前言 Web学习进行时,最近又学习了命令执行代码执行漏洞。于是记录了学习过程。 命令执行代码执行基础 简介 命令执行漏洞概念: 命令执行漏洞,就是指用户通过浏览器或其他辅助程序提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。 通俗的讲:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、s...
如何执行代码
weixin_42602241的博客
12-30 1964
执行代码,首先需要有一个代码编辑器或者集成开发环境(IDE)。常见的代码编辑器有 Sublime Text、Notepad++ 等,常见的 IDE 有 Visual Studio、Eclipse、PyCharm 等。 接下来,在代码编辑器或 IDE 中编写代码,保存文件后就可以执行了。执行的方式因语言而异。 对于脚本语言(如 Python、JavaScript、Perl 等),可以使用命令行工具...
文件包含及代码执行命令执行
j1044957016的博客
06-01 2529
文件包含,代码执行命令执行常见的函数,以及如何绕过过滤
命令执行
shy的博客
08-14 355
Command 1&&Command 2 先执行Command 1,执行成功后执行Command 2,否则不执行Command 2 Command 1&Command 2 先执行Command 1,不管是否成功,都会执行Command 2   Command 1 | Command 2 “|”是管道符,表示将Command 1的输出作为Command 2...
命令执行函数和代码执行函数区别
06-11
命令执行函数和代码执行函数的区别在于它们通常用于不同的应用场景。命令执行函数是用于执行系统命令的函数,通常用于与操作系统交互,例如在命令行终端中执行命令。而代码执行函数则是用于执行一段程序代码的函数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值