WEB 漏洞 - RCE 代码及命令执行漏洞全解

一、引言

在网络安全领域，RCE（远程代码执行）漏洞中的代码执行和命令执行是两种危害较大的漏洞类型，理解它们对于保障 Web 应用安全至关重要。

二、什么是代码执行和命令执行漏洞

（一）代码执行漏洞

代码执行漏洞是指攻击者能够在目标 Web 应用中执行恶意的脚本代码。在 Web 应用开发中，程序员为了实现功能的灵活简洁，可能会在代码中调用代码执行函数来处理数据。然而，如果没有对输入的数据进行充分的验证和过滤，尤其是没有考虑到用户可能输入的恶意内容，就可能导致代码执行漏洞。这种漏洞可能出现在各种脚本类型的 Web 应用中，比如 PHP、Java、Python 等。攻击者利用此漏洞，可以执行与目标应用脚本类型相关的恶意代码，实现诸如读取、写入、删除文件或上传文件等恶意操作。

（二）命令执行漏洞

命令执行漏洞则是攻击者可以在目标服务器上执行系统命令。当 Web 应用在开发过程中，需要执行一些与操作系统相关的操作时，可能会调用执行系统命令的函数。如果对用户输入的数据验证不足，攻击者就可以通过构造恶意输入，让服务器执行其指定的系统命令。这类似于在本地的命令提示符（Windows 的 cmd 或 Linux 的终端）中执行命令，攻击者可以利用此漏洞查看服务器信息、读写文件、删除文件等，严重威胁服务器安全。

三、漏洞原理

（一）共同成因

大部分 Web 漏洞（包括这两种）的形成通常需要两个条件：可控变量和漏洞函数。可控变量是指攻击者可以通过某种方式（如 URL 传参）改变其值的变量。漏洞函数则是对这个可控变量进行操作的函数，不同的函数操作可能导致不同类型的漏洞。例如，在代码执行漏洞中，可能是将输入的字符串当作代码执行的函数；在命令执行漏洞中，可能是调用操作系统执行命令的函数。

（二）代码执行漏洞原理

以 PHP 为例，当应用中存在类似

eval()

这样的函数，并且该函数处理的变量是用户可控的（如通过 GET 或 POST 请求传递的参数）时，如果没有对参数内容进行严格检查，攻击者就可以传入恶意的 PHP 代码，这些代码会被

eval()

函数当作正常的 PHP 代码执行。这种情况在其他脚本语言中类似，只是执行代码的函数和语法有所不同。

（三）命令执行漏洞原理

同样以 PHP 为例，当使用

system()

、

exec()

等执行系统命令的函数时，如果函数的参数是用户可控制的，且没有足够的过滤，攻击者就可以输入恶意的系统命令，让服务器执行。而且，由于不同操作系统（如 Windows 和 Linux）的命令语法不同，攻击时需要根据目标服务器的操作系统类型来构造合适的命令。

四、漏洞检测步骤及示例

（一）检测方法概述

漏洞检测分为白盒和黑盒两种方向。白盒检测是在有目标应用源代码的情况下，通过分析代码来查找漏洞；黑盒检测则是在没有源代码时，通过使用网络扫描工具（如 AWVS、Xray 等）、利用网上公开的漏洞信息，或者根据目标应用的功能和参数值手工检测来判断是否存在漏洞。

（二）手工检测步骤及示例

1. 分析参数值和功能点- 对于一个简单的博客系统，如果只是展示文章，功能简单且参数值只是纯数值，没有发现与脚本代码相关的可疑内容，那么不太可能存在代码执行或命令执行漏洞。但如果参数值看起来与应用脚本相关（如发现类似脚本中的函数名），就需要进一步分析。- 例如，如果参数值中出现了 PHP 中的echo等函数相关的内容，就需要考虑是否可能存在代码执行漏洞，尝试将参数值替换为相关的恶意代码来验证漏洞是否存在。如果参数值经过加密，还需要先解密再进行分析。
2. 案例分析 - 命令执行漏洞检测（以一个靶场案例为例）- 有一个靶场案例，页面中有一个输入 IP 地址并执行的功能。从功能点可以看出，这是一个类似执行ping命令的功能，这里就存在一个可控变量（输入的 IP 地址）。- 通过输入一些特殊内容并观察返回结果，可以分析出它可能存在命令执行漏洞。比如，尝试输入一些不符合 IP 地址格式的内容，查看服务器的反馈。- 进一步分析可以发现，这个应用可能是 Linux 系统（通过返回信息中的server等相关内容判断）。当尝试输入一些 Linux 命令（如ls）并结合ping命令（利用管道符，如127.0.0.1 | ls）时，发现存在前端验证（通过查看页面代码和按钮点击事件等分析）。- 可以通过禁用本地的 JavaScript 验证函数（因为是前端验证）来绕过验证，然后使用工具（如 Postman）发送请求，成功执行命令并查看当前目录下的文件信息。之后，可以尝试进一步的操作，如读取特定文件内容（使用cat或tac等命令）。

五、漏洞防御方案及代码示例

（一）防御方案

1. 输入验证和过滤 在前端和后端都要对用户输入的数据进行严格的验证和过滤。对于前端（使用 vue3 和 ts），在用户输入的地方添加验证逻辑，防止输入包含恶意代码或命令的内容。在后端（使用 Java），对接收的请求参数进行再次验证和过滤，确保数据的安全性。
2. 避免使用危险函数或谨慎使用 尽量避免在代码中使用可能导致代码执行或命令执行漏洞的危险函数。如果必须使用，要对输入数据进行严格的格式检查和限制，确保不会执行用户传入的恶意代码或命令。

（二）前端代码示例（vue3 + ts - 简单的输入验证）

// 在Vue组件中，假设这是一个输入框的提交方法
submitInput() {
  const userInput = this.inputValue; // 获取用户输入的值
  // 简单的验证，这里可以使用更复杂的正则表达式等方式来检查恶意内容
  if (userInput.includes('<script>') || userInput.includes('system(') || userInput.includes('eval(')) {
    alert('输入包含恶意内容');
    return;
  }
  // 继续后续的业务逻辑，如将数据发送到后端
  this.$http.post('/api/processInput', { input: userInput }).then((response) => {
    // 处理成功响应
  }).catch((error) => {
    // 处理错误
  });
}

（三）后端代码示例（Java - 简单的参数验证）

import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.regex.Pattern;

@WebServlet("/api/processInput")
public class InputProcessingServlet extends HttpServlet {
    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String userInput = request.getParameter("input");
        // 检查是否包含恶意内容，这里只是简单示例，可根据实际情况完善
        if (isValid(userInput)) {
            // 在这里处理合法的输入数据
            response.setContentType("text/html");
            PrintWriter out = response.getWriter();
            out.println("<html><body>Input processed successfully.</body></html>");
        } else {
            response.setContentType("text/html");
            PrintWriter out = response.getWriter();
            out.println("<html><body>Invalid input. It may contain malicious content.</body></html>");
        }
    }

    private boolean isValid(String data) {
        // 使用正则表达式检查是否包含可能的恶意脚本或命令相关内容
        return!Pattern.compile("(<script.*?>.*?<\/script>)|(system\\()|(eval\\()", Pattern.CASE_INSENSITIVE).matcher(data).find();
    }
}

（四）Python 代码示例（模拟检测和分析工具 - 简单示例）

import requests

# 模拟检测一个目标URL是否可能存在命令执行漏洞
def detect_command_execution(url, parameter, test_command):
    try:
        payload = {parameter: test_command}
        response = requests.get(url, params=payload)
        if "error" not in response.text.lower() and "forbidden" not in response.text.lower():
            print(f"Possible command execution vulnerability detected at {url} with parameter {parameter}")
        else:
            print(f"No indication of command execution vulnerability at {url} with parameter {parameter}")
    except requests.RequestException as e:
        print(f"Error occurred during detection: {e}")

希望通过以上对代码执行和命令执行漏洞的介绍、原理分析、检测方法和防御代码示例，能帮助大家更好地理解和应对这两种危险的 Web 漏洞，提高 Web 应用的安全性。在实际的安全防护中，需要不断更新和完善防御策略，以应对不断变化的攻击手段。