【学习笔记】命令和代码执行漏洞_命令与代码执行漏洞的研究

作者：不正经 | 2024-05-23 14:12:56

踩

命令与代码执行漏洞的研究

不同之处：命令执行是执行操作系统命令，而代码执行是执行代码语句，代码语句可以具有命令执行能力。

危险注意：php中的system和exec两个函数可以代用外部命令。

代码执行函数：assert和eval和preg_replace

经典案例：file_put_contents()函数来写文件

代码执以外的其他状况导致命令执行：破壳漏洞和imagemagick漏洞

提权：

注意：web的方式执行命令采用非管理员用户，如WWW-DATA

命令执行漏洞：用；的方式分隔命令

防范：少用执行命令函数，php中禁用disable_functions

程序参数情况下，用escapeshellcmd进行过滤

对参数过滤，敏感字符转义

使用json保存数组，当读取时就不用eval了

对eval的使用的用户严格过滤

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/不正经/article/detail/613138