命令执行知识

最新推荐文章于 2024-07-21 22:49:36 发布
最新推荐文章于 2024-07-21 22:49:36 发布
阅读量379 收藏
点赞数
分类专栏: 安全 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48829044/article/details/125376800
版权

一、代码执行原理

代码执行是指应用程序在调用⼀些能够将字符串转换为代码的函数时,没有考虑用户是否控制这个字符串,将造成代码执行漏洞,使得用户能利用任意脚本代码(PHP)。

  • webshell含义
    webshell 就是以网页文件形式存在的一种命令/代码执行环境,也可以将其称做为一种网页后门。由于 webshell 其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。一句话木马、小马、大马都可以叫 webshell。
  • 代码执行函数

eval():是一个语言结构,把字符串按照PHP代码执行,该字符串必须是合法的PHP代码,且必须以分号结尾

<?php eval($_POST['hudou']);?>

assert():是一个函数,把字符串按照PHP代码执行
create_function():根据传递的参数创造一个匿名函数

$a=create_function(",$_POST['para']);$a();

二、命令执行原理

代码执行漏洞应用有时需要调用⼀些执行系统命令的函数,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。简单来说就是:”靠执行脚本代码调用操作系统命令“

命令执行函数:system()、exec()、shell_exec()、passthru()、popen()、porc_popen()

绕过disable_function():disable_function是写在php.ini配置文件中的禁用PHP中的危险函数

  • 利用LD_PRELOAD环境变量:是Linux系统的一个环境变量,它允许你定义在程序运行前优先加载的动态链接库。

三、命令执行防御

  1. 不执行外部命令
  2. 使用自定义函数或者函数库来代替外部命令的功能
  3. 使用escapeshellarg()、escapeshellcmd()函数来处理命令参数
  4. 禁用一些敏感字符,比如; && cat等连接符与常用命令
努力学习的胡豆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
命令执行基础知识
土拨鼠挖洞中的博客
10-06 8995
  思维导图   命令执行含义   当应用需要调用一些外部程序去处理内容情况下,就会用到一些执行系统命令的函数,比如php中的system、exec、shell_exec、passthru、popen、popc_popen等,当用户调用这些函数时,将恶意系统命令注入到正常命令中,造成命令执行漏洞; PHP可动态执行PHP代码的有eval, jsp有Runtime、ge...
认识duplicate命令
Dillon Oracle博客
08-31 2703
duplicate命令调用非常简单。oracle将实现数据库级复制的大量脚本都进行了封装。 只要准备工作充分,只需要简单的执行一条语句。 除了穿件副本数据库之外,还能用来创建物理standby数据库。 参考文档: duplicate复制数据库 用duplicate创建物理DG     可以看到duplicate的两个用途的命令: duplicate target da
命令执行
m0_55854679的博客
08-10 3712
漏洞原理 部分Web应用程序提供了一些命令执行的操作,例如,想要测试http://www.example.com是否可以正常连接,那么Web应用程序底层就很可能去调用系统操作命令,如果此处没有过滤好用户输入的数据,就很有可能形成系统命令执行漏洞。程序中因为某些功能需要执行系统命令,并通过网页传递参数到后台执行。然而最根本的原因是没有对输入框中的内容进行过滤,导致出现该漏洞,正常情况下输入框只能接收指定类型的数据。 漏洞概述 攻击者通过web应用可以执行系统命令,从而获得敏感信息,进而控制服务器攻击内网。 漏
深入解读命令执行:基本概念、攻击技术和防范应对
weixin_43263566的博客
02-01 2950
命令执行简介、命令执行函数
命令执行——命令执行漏洞概述(一)
Gjqhs的博客
03-01 1471
普及内容 了解命令执行定义 了解命令执行条件 掌握命令执行成因 了解命令执行危害 掌握命令执行实例 掌握管道符号和通用命令符 了解命令执行常见场景 基础概念 命令执行定义 基本定义 命令执行漏洞是指攻击者可以随意执行系统命令,分为远程命令执行(远程代码执行)和系统 命令执行两类 原理 程序应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命 令拼接到正
指令的运行原理及Linux权限解读
weixin_43908419的博客
05-16 598
文本介绍了Linux权限的相关问题
代码执行命令执行
weixin_62707591的博客
06-05 1885
代码执行顾名思义就是将用户输入的内容作为脚本代码进行执行的一类漏洞,此类漏洞影响很大,在权限较大的情况下可以直接接管服务器。
Linux基础知识之基本命令
01-07
一:配置环境变量,实现执行history的时候可以看到执行命令的时间 1.1.在/etc/profile.d/目录下创建一个env.sh文件 touch /etc/profile.d/env.sh 1.2.编辑env.sh nano /etc/profile.d/env.sh 1.3.在文本中加入: ...
命令执行+CSRF
06-11
在IT安全领域,命令执行和CSRF(Cross-Site Request Forgery,跨站请求伪造)是两种常见的漏洞类型,它们对系统的安全性构成严重威胁。在渗透测试中,了解并掌握这两种漏洞的原理、识别方法以及防范策略至关重要。 ...
java执行Linux命令的方法
09-04
最后,通过调用`process.waitFor()`等待命令执行完成。 ```java private void shell(String cmd) { // ... Process process = Runtime.getRuntime().exec(cmds); StreamGobbler errorGobbler = new ...
第一节 命令执行介绍-01
09-15
下面是命令执行漏洞的相关知识点: 一、命令执行漏洞原理 命令执行漏洞的原理是 Web 应用程序接收用户输入,拼接到要执行的系统命令执行。产生的原因有两个: 1、用户输入未过滤或净化:攻击者可以输入恶意命令...
用vbs实现cmd多命令运行功能代码
09-30
标题中的“用vbs实现cmd多命令运行功能代码”指的是使用Visual Basic Script(VBS)编写脚本,以便在Windows的命令行界面(CMD)中连续执行多个DOS命令。这种技术在自动化任务或者需要批处理执行一系列操作的场景中...
初识命令执行【简介、工作原理和利用方式】
01-30 815
本文介绍命令执行概念、漏洞分类、主要漏洞危害、常见命令执行函数和常见防御方式,命令执行的工作原理以及利用方式(包含使用的特殊字符和常用命令)。
细说——命令执行_代码执行
LainWith的博客
10-11 3399
目录原理命令执行漏洞原理代码执行漏洞原理命令执行与代码执行漏洞区别命令执行&代码执行漏洞危害命令执行无回显代码执行函数1- eval()2- assert()-最好不要加上分号作为结尾3- call_user_func()4- create_function()5- array_map()6- call_user_func_array()7- array_filter()8- uasort()函数9- preg_replace()命令执行函数1- system()2-passthru()3- exe
指令执行原理
AlexSmoker的博客
04-07 860
8086的CPU分为执行部件(EU)和总线接口部件(BIU)。 程序指令执行原理: 1)当CS:IP设置好后,BIU会从设置好的地址根据对应架构的指令格式不停的按顺序读取指令,并将指令放在指令队列缓冲器里等待执行控制部件控制电路执行 2)EU检测到指令队列缓冲器里的指令条数大于1条的时候就开始执行从对应队列中取指令执行,对其进行译码,并根据指令要求向EU内各个部件发送控制命令。 3)如果指...
命令执行原理和利用知识
qq_45775897的博客
01-11 2303
一、RCE漏洞概念 远程命令/代码执行漏洞(RCE)是指可以在仅有远程访问权限的情况下执行系统 命令的漏洞,是安全漏洞中危害最大的漏洞之一 二、命令注入 PHP系统命令执行函数: exec() system() passthru() shell_exec() ASP执行系统命令: <%Response.write CreateObject("wscript.shell").exec("cmd.exe/c ipconfig").StdOut.ReadAll%> JSP执行系统命令: Runt
Linux中执行命令
weixin_71169037的博客
04-11 1969
Linux中执行命令
命令执行漏洞
热门推荐
m0_49577923的博客
11-15 1万+
前言: 坚持就是有点麻烦,但是你只要做下去就会感到习惯和快乐的事。 一、命令执行漏洞概念 什么是命令执行漏洞?命令执行漏洞就是服务器端没有对客户端用户输入的命令进行过滤,导致用户可以通过任意拼接系统命令,使服务器端成功执行任意系统命令。为什么客户端能直接对服务器执行命令呢,因为在服务器安装的web程序,web框架和web组件等外部程序有时候去需要调用执行命令的函数,所以如果没有对客户端用户输入的命令进行过滤,就会使得用户通过外部程序直接编写和执行系统的命令函数。 二、命令执行原理 命令执行漏洞主要
Vue3+ element plus 前后分离admin项目安装教程
最新发布
luck332的专栏
07-21 593
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发
monkey命令相关知识
07-13
下面是一些与Monkey命令相关的知识: 1. 启动Monkey:在终端输入以下命令即可启动Monkey: ``` adb shell monkey [options] ``` 其中,`[options]`是可选参数,用于配置Monkey的一些选项,`<event-count>`是指...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值