详解php命令注入攻击

请允许我对PHP命令注入攻击进行详细讲解。首先，我们需要理解什么是命令注入攻击。

什么是命令注入攻击？

命令注入是通过向应用程序的输入参数中注入恶意代码来执行非预期的操作的攻击方式。一般来说，这种攻击方式主要针对那些需要用户输入数据并拼接到执行命令或查询数据的SQL语句中的Web应用程序，PHP是其中的一种语言。

攻击过程

一个典型的PHP命令注入攻击，主要经历以下步骤：

1. 发现漏洞：黑客首先会浏览网站，检查是否存在包含用户输入内容的表单或其他输入字段，这很容易在源代码或Web应用程序源代码中找到。

2. 构造攻击负载：黑客会首先输入常见的注入参数，如单引号、双引号或反斜杠，以检测输入内容是否被正确校验或过滤。如果输入内容被过滤了，他可能会使用URL编码等技术进行绕过，或构造特殊字符串进行攻击。例如：

' or 1=1-- -
上述内容是一个常见的攻击注入载荷，意思是查询数据库时把条件设置为“真”，从而绕过正常认证流程。

1. 执行攻击代码：如果黑客成功注入了恶意代码，他们可以利用该漏洞执行任何他们想要的命令，包括操作Web应用程序内部的敏感数据，如数据库、文件系统等。例如：

cat /etc/passwd
上述代码会读取存储在Linux /etc/目录中的passwd文件的内容。

防御措施

避免PHP命令注入攻击的最佳方法是对输入数据进行恰当的验证、过滤和转义，以确保所有输入都按照预期的方式进行处理。以下是一些方法：

1. 使用PHP内置的函数对输入执行过滤或转义：

$input = filter_var($input, FILTER_SANITIZE_STRING);
$output = escapeshellarg($input);

1. 使用白名单和黑名单技术来限制用户输入：

将用户输入限制为白名单中的有效字符（如数字、字母和特殊符号），并在输入字段中显示警告消息，以指示用户输入不符合要求。

另一方面，防止输入黑名单中的无效代码。例如，可以使用PHP的 preg_match() 函数检查输入是否包含危险字符，例如反单引号、分号和管道符号。

1. 给应用程序设置正确的权限：对敏感数据和应用程序文件使用正确的权限，并仅允许授权用户访问这些文件和数据。

示例说明

下面是两个关于PHP命令注入攻击的示例，分别是PHP中执行系统命令和在PHP中查询数据库。

示例1：PHP中执行系统命令

下面是PHP代码（存在漏洞）：

<?php
$output = shell_exec('/bin/ls -lha /tmp');
echo "<pre>$output</pre>";
?>

这段代码执行“ls”命令以获取“/tmp”目录的详细列表，并将其输出到浏览器。

攻击者可能会使用如下恶意负载进行攻击：

'; cat /etc/passwd; #

完成上述注入之后，尝试访问该程序，将会导致黑客成功执行命令“/bin/ls -lha /tmp”; cat /etc/passwd; #”，既列出了/tmp目录下的文件名，也输出了/etc/passwd文件的内容，造成了安全漏洞。

为了避免上述漏洞，应该对输入数据进行过滤和验证处理。

示例2：在PHP中查询数据库

以下是一个示例PDO查询：

<?php
$servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDBPDO";
try {
  $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
  $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  $stmt = $conn->prepare("SELECT * FROM MyGuests WHERE lastname='".$_GET['lastname']."'");
  $stmt->execute();

  // 设置结果集返回为关联数组
  $result = $stmt->setFetchMode(PDO::FETCH_ASSOC);
  foreach($stmt->fetchAll() as $k=>$v) {
    echo "Firstname: {$v['firstname']} - Lastname: {$v['lastname']}<br>";
  }
} catch(PDOException $e) {
  echo "Connection failed: " . $e->getMessage();
}
?>

在此脚本中，我们使用了预处理语句来避免SQL注入漏洞，但是我们没有检查用户在$_GET['lastname'] 中输入的数据。攻击者可以通过注入一些额外的代码来进行攻击，比如：

lastname=' UNION SELECT * from users WHERE 1=1; # <--这是一个注释符

用户可以在查询参数中注入代码，会导致查询返回MyGuests和users 联合的表。

为了避免此漏洞，我们应该正确地过滤和验证数据，并使用预处理语句来避免SQL注入攻击。