首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >代码审计day6

代码审计day6

作者头像
发布2020-08-19 16:18:36
3770
发布2020-08-19 16:18:36
举报
文章被收录于专栏:奝-大周奝-大周

命令执行漏洞

命令注入是一种攻击,目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将不安全的用户提供的数据(表单、cookie、HTTP头等)传递给系统shell时,命令注入攻击是可能的。在这种攻击中,攻击者提供的操作系统命令通常以易受攻击的应用程序的特权执行。命令注入攻击可能很大程度上是由于输入验证不足。

命令执行和代码执行的区别

代码执行:执行的效果完全受限于语言本身

命令执行:执行的效果不受限于语言语法本身,不受命令本身限制

命令执行类型:

1.代码层过滤不严 2.系统漏洞 3.第三方组件存在代码执行漏洞

常见函数:

system函数 passthru函数 Exec函数 Shell_exec函数 “

1.system函数

string system( string command[,int &

$command 要执行的命令

$return_var 如果提供此参数,则外部命令执行后的返回状态将会被设置到此变量中

2.passthru函数

string passthru ( string command [, int &

$command 要执行的命令

$return_var 如果提供此参数,Unix命令的返回状态会被记录到此参数

3.Exec函数

string exec ( string command [, array &

$command 要执行的命令

$output 如果提供此参数,会有命令执行的输出填充此数组

return_ var如果同时提供output和

4.Shell_exec函数

string shell_exec ( string $cmd )

$cmd 要执行的命令

反引号(`)则调用此函数

5.过滤函数

Escapeshellcmd() 过滤整条命令

Escapeshellarg() 过滤整个参数

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2020-3-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 命令执行漏洞
    • 命令执行和代码执行的区别
      • 命令执行类型:
      相关产品与服务
      命令行工具
      腾讯云命令行工具 TCCLI 是管理腾讯云资源的统一工具。使用腾讯云命令行工具,您可以快速调用腾讯云 API 来管理您的腾讯云资源。此外,您还可以基于腾讯云的命令行工具来做自动化和脚本处理,以更多样的方式进行组合和重用。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档