這次實驗內容為了解php命令注入攻擊的過程，掌握思路。

命令注入攻擊

命令注入攻擊（Command Injection），是指黑客通過利用HTML代碼輸入機制缺陷(例如缺乏有效驗證限制的表格域)來改變網頁的動態生成的內容。從而可以使用系統命令操作，實現使用遠程數據來構造要執行的命令的操作。
PHP中可以使用下列四個函數來執行外部的應用程序或函數：system、exec、passthru、shell_exec。

信息來源——合天網安實驗室

命令攻擊為什么會形成漏洞？
首先是因為應用需要調用一些執行系統命令的函數，比如上面說的php中的system等函數。其次，當用戶能夠控制這些函數中的參數，就可以將一些惡意的命令拼接到一個正常的命令當中，然后就會造成命令執行漏洞。
所以我們可以得出命令執行漏洞需要的條件：

1. 應用調用的執行系統命令的函數
2. 用戶可以對命令進行控制，從而拼接惡意命令
3. 應用沒有對用戶的輸入進行過濾或者過濾不嚴格

通過命令執行漏洞，我們可以讀寫一些服務器上的文件，并且這些文件是不想讓用戶看到的，比如密碼類的敏感文件。而且，我們可以通過命令打開服務器的遠程服務，這樣就可以拿到服務器的shell，從而操控服務器或者這個網頁。再者，我們還可以對內網進行進一步的滲透。

下面開始實驗。

1.使遠程服務器執行whoami的命令。（whoami命令是查詢當前用戶身份的命令，比如管理員或普通用戶）
打開實驗環境，如下圖所示，我們要使其執行whoami命令。

從返回的結果來看服務器應該是windows系統，后面有補充。

服務器中關鍵代碼如下：

程序獲取GET參數ip，然后拼接到system（）函數中，利用system（）函數執行ping的功能，但是此處沒有對參數ip進行過濾和檢測，導致可以利用管道符執行其它的系統命令，后面有管道符的補充。

“|”在windows中的意思是：把前面的結果當成后面的輸入，我們用ip=127.0.0.1|whoami來試一下

后面的命令執行成功，得到我們的身份是system

“”在windows中的意思是：兩條命令一起執行，先執行前面再執行后面，我們用ip=127.0.0.1whoami來試一下

可以看出whoami命令并沒有成功被執行，原因是在ulr中，“”是一個連接符號，會被轉義成“%26”，那我們直接使用“%26”，它就會被轉義成真正的“”，所以我們不妨使用ip=127.0.0.1%26whoami再試一下

命令執行成功，可以看到服務器執行了兩個命令（ping和whoami），我們的身份是system

“||”在windows中的意思是：當前面一個執行失敗，則執行后面的，我們用ip=127.0.0.1||whoami來試一下

這一次whoami命令并沒有被執行，這是因為前面的命令可以執行，我們只要把前面的命令搞成不能執行的，讓它自動執行下一條命令，根據前面提供的關鍵代碼，我們知道只要傳入了正常的ip地址，命令（ping）就會成功執行，所以我們試試把ip地址消除，用ip=||whoami來試一下

命令執行成功，我們的身份是system

2.使遠程服務器執行ipconfig命令

服務器的關鍵代碼如下

補充一下：

preg_match() 函數用于進行正則表達式匹配，成功返回 1 ，否則返回 0 。
preg_match() 匹配成功一次后就會停止匹配，如果要實現全部結果的匹配，則需使用 preg_match_all() 函數。
header()函數的作用是：發送一個原始 HTTP 標頭[Http Header]到客戶端。標頭 (header) 是服務器以 HTTP 協義傳 HTML 資料到瀏覽器前所送出的字串，在標頭與 HTML 文件之間尚需空一行分隔。

這段代碼對ip地址進行了簡單的過濾，如果它匹配到，它會執行下面system那條命令，如果它沒有匹配到，它就無法執行下面那條命令（即ping），也就是我們開始時看到的界面：

所以，我們想要讓服務器執行ipconfig，首先想到的思路就是讓它發生錯誤，執行失敗，使用雙管道讓它執行ipconfig，接下來我們用ip=127.||ipconfig試一下：

成功

同理，我們使用單管道（ip=127.0.0.1|ipconfig）試一試：

成功

繼續，我們使用“%26”（ip=127.0.0.1%26ipconfig）試一試：

執行了兩個命令，成功！

知識補充

我們可以通過ping命令返回結果中的TTL項查看服務器的操作系統：LINUX——64 WIN2K/NT——128 WINDOWS系列——32 UNIX系列——255（前面為操作系統，后面為TTL值） 通過ping返回結果，看TTL值與哪項最為接近，服務器就是哪個操作系統。

我們ping一下百度的試試

TTL值為52，則它與64之間跨了12個路由，所以它的服務器應該是LINUX。

接下來補充一些常用的管道符：

Windows系統支持的管道符如下：

1. “|”：直接執行后面的語句。
2. “||”：如果前面的語句執行失敗，則執行后面的語句，前面的語句只能為假才行。
3. “”：兩條命令都執行，如果前面的語句為假則直接執行后面的語句，前面的語句可真可假。
4. “”：如果前面的語句為假則直接出錯，也不執行后面的語句，前面的語句為真則兩條命令都執行，前面的語句只能為真。
   

Linux系統支持的管道符如下：

1. “;”：執行完前面的語句再執行后面的語句。
2. “|”：顯示后面語句的執行結果。
3. “||”：當前面的語句執行出錯時，執行后面的語句。
4. “”：兩條命令都執行，如果前面的語句為假則執行執行后面的語句，前面的語句可真可假。
5. “”：如果前面的語句為假則直接出錯，也不執行后面的語句，前面的語句為真則兩條命令都執行，前面的語句只能為真。
   

總結一下：這種需要分析代碼的問題一定不能大意，需要認真讀懂什么意思才能破解它的秘密。這次實驗并不是很難，以前在做CTF——Web題有遇到過，那種跟這個差不多，通過分析代碼構造url獲取flag。

以上所述是小編給大家介紹的php命令注入攻擊詳解整合，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復大家的。在此也非常感謝大家對腳本之家網站的支持！