远程代码执行漏洞探讨.pdfVIP

代码执行的探讨

安全小课堂第十二期代码执行是我的一把备用，你的一不留神我就能轻易出入家，运气好赶上框架级

应用那备用就不是一把了，甚至提权成宿主去操控一切。

代码执行因其简单的特点，流行于各大圈。本期，咱们邀请到了360安全专家genxor和唯品会

安全专家来和大家聊一聊代码执行。☺

1豌豆妹能说说代码执行的原理么？小新由于开发人员编写源码，没有针对代码中可执行的特殊函数

做过滤，导致客户端可以提交构造语句提交，并交由服务器端执行。命令注入中WEB服务器没有过滤类

似system(),eval()，exec()等函数是该成功的最主要。

豌豆妹那现状呢？小丸子因其简单的特点，流行于各大圈。现在最主要的，也是目前案例最多的，可能是

struts2的利用了。再就是去年的java反序列。反序列化这个东⻄，其实是一门老手艺了，很久以前php就流行过

相关利用，具体可以参看superhei、fly。比如php里面unserialize函数的利用。系统层面早期的栈溢出，MS03-

026、MS04-011、MS05-039、MS06-040、MS08-067。

葫芦娃代码执行出现的范围较广，一般的应用程序，如浏览器，adobeflashplayer，还有操作系统都会有相关

的导致代码执行。近年来代码执行方面的，出镜最多的可能就属struts2了，这个框架在国内应

用于各大门户。现在android也出现了很多代码执行的。像堆溢出，栈溢出，整型溢出，类型，

useafterfree，越界，格式化字符串等都会导致代码执行。

2豌豆妹那代码执行出现的形式有哪些呢？哆啦A梦web层面先说java。比如利用表达式注入、调用反射

类、xslt注入、服务端模板注入、操控容器的classLoader等。php层面的话，比如利用一些函数比如

system、shell_exec、passthru等。

小新还有一种形式，就是shellshock那种，bash令执行，实际上是加载不安全的环境变量导致，bash的

代码底层在解析环境变量的时候出现问题，导致可以注入任意代码，这个有点儿类似于php里面的

create_function命令执行，根源都是由于底层函数对用户传入的变量没有严格过滤，导致命令注入。

3豌豆妹大家都知道代码执行都是简单，能详细给说说危害到底有多大么？

小丸子命令执行，对于者来说是打开缺口的绝好方法，可长驱直入控制内网，甚至。

葫芦娃危害概述就是者可以通过调用的方式来让被计算机设备执行程序，从而控制计算机；

从危害范围来讲，代码执行的影响范围很广，例如去年关于安卓libStagefright的一系列号称影响

95%安卓的安全，者只需给受影响系统发送条彩信就可以控制。

4豌豆妹那如何预防代码执行的侵入呢？能说说防御措施么。

小新开发程序时，要假定所有输入都是可疑的，尝试对所有输入提交可能执行命令的构造语句进行严格的检查或者

控制外部输入，系统命令执行函数的参数不允许外部传递。

哆啦A梦简单来说，卡住点很关键。对输入的数据不仅要验证数据的类型，还要验证其格式、长度、范围和内

容。

小丸子我举个比较详细的例子。拿struts2来举例。在执行ognl之前设置，在struts-default.xml配置

strutcludedClasses限制一些类。也就是说，卡住ognl的，设置，过滤其执行命令的通道。除了安全

编码，在安全应急时，要抓住特征，快速定位有的程序和系统；在补丁程序未开发完时，抓住代码特

征，对输入数据