漏洞原理:
应用系统设计需要给用户提供指定的远程命令操作的接口,比如:路由器,防火墙,入侵检测等设备的web管理界面。一般会给用户提供一个ping操作的web界面
用户从web界面输入目标IP,提交后台会对改IP地址进行一次ping测试并返回测试结果
如果设计者在完成改功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口在正常指令之后恶意拼接其他命令,让后台进行执行,从而获得后台服务器权限
防御措施
- 设计者尽可能少设计使用一些命令执行函数。
- 若有必要使用,那么必须对特殊函数做过滤,对用户输入的命令做检查,对客户端提交的变量在进入执行命令前做好过滤和检查等。
指令举例:
DVWA测试:
impossibel代码解析: