1. 从PING功能到命令注入的漏洞挖掘第一次看到这个ACTF2020新生赛的Exec题目时我差点以为就是个简单的网络测试题。毕竟页面上只有一个PING功能的输入框看起来人畜无害。但作为一个老CTF选手我深知越是简单的界面越可能暗藏玄机。我先做了最基本的测试输入127.0.0.1页面正常返回了PING的结果。这时候我注意到题目名称叫Exec这个命名立刻引起了我的警觉。在PHP中exec()和system()这类函数是命令注入漏洞的高发区。于是我尝试在PING地址后面加了个分号输入127.0.0.1; ls结果服务器竟然返回了当前目录的文件列表这个发现让我兴奋不已因为这确认了存在命令注入漏洞。在实际渗透测试中这种看似无害的功能往往是突破口。很多开发者会觉得不就是个PING功能吗能有什么危险却不知道当用户输入直接拼接到系统命令时就打开了潘多拉魔盒。我记得去年审计一个企业系统时就是在类似的网络工具页面发现了严重漏洞。2. 命令注入漏洞的深度利用确认漏洞存在后接下来就是深度利用了。我首先尝试了127.0.0.1; uname -a来获取系统信息返回结果显示这是一台Linux服务器。这一步很重要因为知道了操作系统类型后续的攻击才能有的放矢。然后我尝试列出根目录127.0.0.1; ls /。在返回的结果中我注意到有个名为flag的文件特别显眼。这时候心跳加速了因为按照CTF的惯例这很可能就是我们要找的目标。但直接读取可能会触发过滤机制于是我用了点小技巧127.0.0.1; tac /flag。这里使用tac而不是cat是为了绕过可能的简单过滤。在实际渗透中信息收集是关键。除了查看文件我还建议尝试这些命令whoami查看当前用户权限ifconfig查看网络配置find / -name flag全盘搜索flag文件3. 命令分隔符的妙用命令注入的核心在于如何巧妙地分隔原始命令和我们注入的恶意命令。在这个案例中分号(;)是最简单的分隔符表示顺序执行多条命令。但实际场景中我们可能需要尝试更多分隔符管道符(|)将前一个命令的输出作为后一个命令的输入逻辑运算符(和||)根据前一个命令的执行结果决定是否执行后续命令后台执行符()让命令在后台运行命令替换($()或反引号)先执行括号或反引号内的命令我曾在一次实战中遇到过分号被过滤的情况最后用成功实现了注入。还有一次所有常见分隔符都被过滤了但我通过变量拼接的方式绕过了防护127.0.0.1; ac;bat;$a$b /flag4. CTF中的实用绕过技巧在真实的CTF比赛或渗透测试中很少会遇到完全不设防的系统。这时候就需要一些绕过技巧了。除了上面提到的变量拼接还有几个实用的方法编码绕过比如使用base64编码命令127.0.0.1; echo dGFjIC9mbGFn | base64 -d | bash通配符使用当关键字符被过滤时127.0.0.1; cat /fla?空格替代当空格被过滤时127.0.0.1; cat${IFS}/flag命令嵌套通过子命令执行127.0.0.1; $(echo tac /flag)记得有次比赛过滤了所有特殊字符我最后通过制表符(Tab)完成了注入。这种经验告诉我永远要多准备几套方案。5. 从CTF到实战的思考虽然这个ACTF题目比较简单但它完美展示了命令注入漏洞的整个攻击链条。从最初的功能测试到漏洞识别再到最后的漏洞利用每一步都需要细致的观察和思考。在实际的Web应用安全评估中我通常会特别关注这些功能点任何调用系统命令的功能文件上传和处理功能系统信息查询功能网络工具类功能(如PING、traceroute等)防御方面我有几点建议永远不要相信用户输入必须严格过滤使用白名单而非黑名单机制尽量使用语言原生函数替代系统命令调用设置严格的权限控制遵循最小权限原则最后要提醒的是在真实环境中发现漏洞后一定要遵守负责任的披露流程先联系厂商修复切勿擅自利用。技术是把双刃剑用对地方才能创造价值。