实战演练：使用Command Injection Payload List发现和利用Web应用漏洞

Command Injection Payload List是一个专注于命令注入漏洞检测与利用的实用资源集合，能够帮助安全测试人员和开发人员有效识别Web应用中的命令注入风险。通过这份全面的payload列表，你可以快速验证应用程序是否存在命令注入漏洞，从而采取针对性的防护措施。

什么是命令注入漏洞？

命令注入（Command Injection）是一种严重的Web安全漏洞，攻击者通过在应用程序中注入恶意操作系统命令，从而在服务器上执行未授权操作。这种漏洞通常出现在应用程序将用户输入直接传递给系统shell执行的场景中，由于缺乏严格的输入验证和过滤，导致攻击者可以篡改原本的命令逻辑。

命令注入的危害

OS command injection是一种可使攻击者完全控制受影响网站和底层Web服务器的关键漏洞。除了完全破坏Web服务器本身外，攻击者还可以利用命令注入漏洞在组织的内部基础设施中转移攻击，潜在访问Web服务器可以访问的任何系统。他们还可能在组织内创建持久的立足点，即使在修复原始漏洞后仍能继续访问受感染的系统。

如何使用Command Injection Payload List？

环境准备

首先需要克隆项目仓库到本地：

git clone https://gitcode.com/gh_mirrors/co/command-injection-payload-list

基本检测方法

1. 识别潜在注入点：在Web应用中寻找可能执行系统命令的功能点，如文件上传、搜索功能、系统信息查询等
2. 选择合适的Payload：根据目标操作系统（Unix或Windows）选择对应的payload
3. 插入Payload进行测试：将payload插入到输入字段中，观察应用程序响应
4. 验证漏洞是否存在：通过查看命令执行结果或响应时间差异判断漏洞是否存在

常用Payload示例

Unix系统Payload

以下是一些适用于Unix/Linux系统的常用命令注入payload：

;id;
|id
`id`
$(id)
/bin/ls -al
cat /etc/passwd
;netstat -a;

Windows系统Payload

适用于Windows系统的常用命令注入payload：

;ipconfig /all
|dir C:\
&net user
&&systeminfo
ping -n 3 127.0.0.1

漏洞修复建议

如果发现应用程序存在命令注入漏洞，应采取以下修复措施：

1. 避免使用系统命令：尽可能使用编程语言内置函数替代直接调用系统命令
2. 严格输入验证：对用户输入进行严格的白名单验证，只允许特定字符和格式
3. 使用安全的API：使用不支持命令链和重定向的命令API，如Java的Runtime.exec和ASP.NET的Process.Start
4. 最小权限原则：以最低权限运行应用程序，限制命令执行的权限范围

参考资源

• OWASP Command Injection
• Testing for Command Injection (OTG-INPVAL-013)
• CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

通过Command Injection Payload List，安全测试人员可以系统地检测和验证Web应用中的命令注入漏洞，帮助开发人员构建更安全的应用程序。记住，预防命令注入的关键在于严格的输入验证和安全的编码实践。