漏洞原理：

应用系统设计需要给用户提供指定的远程命令操作的接口，比如：路由器，防火墙，入侵检测等设备的web管理界面。一般会给用户提供一个ping操作的web界面

用户从web界面输入目标IP，提交后台会对改IP地址进行一次ping测试并返回测试结果

如果设计者在完成改功能时，没有做严格的安全控制，则可能会导致攻击者通过该接口在正常指令之后恶意拼接其他命令，让后台进行执行，从而获得后台服务器权限

防御措施

1. 设计者尽可能少设计使用一些命令执行函数。
2. 若有必要使用，那么必须对特殊函数做过滤，对用户输入的命令做检查，对客户端提交的变量在进入执行命令前做好过滤和检查等。

指令举例：

DVWA测试：

impossibel代码解析：