- 0
- 0
- 约1.55千字
- 约 3页
- 2026-07-17 发布于湖南
- 举报
命令执行、代码执行面试题
请解释操作系统命令注入漏洞的原理,并给出三个高危函数示例原理:攻击者通过构造恶意输入,使应用程序将未经验证的用户输入拼接至系统命令中执行。
高危函数:
。PHP:system()、exec()、passthru()
。Python:os.system()、subprocess.call()
。Java:Runtime.getRuntime().exec()
如何利用PHP的eva1()函数实现代码执行?写出攻击Payload及防御方案Payload:?code=eval($POST[cmd]);
防御:禁用eval()、使用disablefunctions禁用危险函数、实施输入内容沙箱检测。
描述Java反序列化漏洞导致远程代码执行(RCE)的攻击链
攻击链:
1.攻击者构造恶意序列化对象(如ApacheCommonsCollections的InvokerTransformer)
2.应用反序列化时触发TransformerChain执行系统命令
3.防御:升级安全版本、使用SerialKiller过滤恶意对象,
如何通过文件上传漏洞实现命令执行?写出利用条件及案例
条件:上传路径可访问、文件后缀解析漏洞(如Apache多后缀解析)。
案例:上传shel1.php.jpg触发PHP解析,通过蚁剑连接执行system(“who
原创力文档

文档评论(0)