当前位置：首页 > article >正文

从一道BUUCTF的SSRF题，聊聊Linux命令行那些“意想不到”的利用姿势（HITCON 2017实战复盘）

article 2026/4/20 1:25:18

从BUUCTF SSRF题看Linux命令行的隐秘攻击面在CTF竞赛和实际渗透测试中SSRF服务器端请求伪造常被视作简单的内网探测工具但2017年HITCON这道题却展示了它如何与Linux命令行特性结合实现从信息泄露到远程代码执行的质变。本文将深入拆解这道经典题目背后的技术原理揭示那些容易被忽视的命令行魔法。1. 题目环境与代码审计的关键发现当我们拿到这道BUUCTF题目时首先映入眼帘的是一个看似简单的PHP文件操作功能。但仔细分析后会发现代码中隐藏着几个关键危险点$data shell_exec(GET . escapeshellarg($_GET[url])); file_put_contents(basename($info[basename]), $data);这段代码的核心问题在于使用了shell_exec直接执行系统命令虽然使用了escapeshellarg进行过滤但采用的GET命令本身存在特性文件写入操作与命令执行结果直接关联GET命令的隐秘特性这是Linux下的Perl脚本工具通常位于/usr/bin/GET支持多种协议处理包括file:协议能够与管道符等Shell特性结合使用注意现代Linux系统可能默认不安装GET工具但在CTF环境中常作为考点特意保留2. 从SSRF到RCE的漏洞链构建常规SSRF利用通常止步于内网服务探测但本题通过三个关键步骤实现了突破2.1 目录穿越与信息收集初始利用url./../../参数进行目录穿越GET ./../../../../../etc/passwd通过修改路径深度逐步探测系统关键文件发现/readflag二进制文件的存在。2.2 协议处理器的巧妙利用file:协议的处理成为突破点GET file:/readflag但直接这样执行只会读取文件内容无法执行二进制。需要结合bash特性2.3 命令注入的终极突破通过管道符和bash -c的组合实现RCEGET file:bash -c /readflag|这个payload的精妙之处在于管道符|改变了命令执行上下文bash -c创建了新的shell环境file:协议处理器将整个字符串作为命令执行3. Linux命令行中的危险特性解析这道题展示了Linux命令行中几个容易被忽视的危险特性3.1 非常用命令的潜在风险命令常规用途安全隐患GETHTTP请求工具支持多协议可执行本地文件bash -c执行字符串命令绕过部分命令限制file:本地文件协议可能触发命令执行3.2 特殊字符的魔法效果管道符(|)改变命令执行流重定向符()可能用于文件覆盖反引号()命令替换的隐蔽方式3.3 环境变量注入点GET file:${PATH} $(whoami)这类利用方式在特定环境下可能泄露敏感信息或执行命令。4. 防御方案与安全编码实践针对这类漏洞链建议采用分层防御策略输入过滤层禁用危险协议如file:限制特殊字符|、$、反引号等使用白名单校验URL参数执行隔离层// 安全示例 $allowed_domains [example.com]; if (!in_array(parse_url($_GET[url], PHP_URL_HOST), $allowed_domains)) { die(Invalid URL); }系统加固层移除不必要的命令行工具如GET配置PHP禁用危险函数disable_functions shell_exec,system,passthru使用Docker等容器技术限制文件系统访问5. 实战中的扩展利用思路这种技术组合在真实渗透测试中可能有以下应用场景受限环境下的命令执行通过Web应用间接执行系统命令绕过某些WAF对直接命令注入的检测权限提升的跳板利用应用权限读取敏感文件通过特殊命令特性突破沙箱限制持久化后门写入计划任务或启动脚本利用命令行特性维持访问在最近的一次内部测试中我们发现某系统虽然过滤了常见的;、等符号但忽略了|与file:协议组合的利用方式最终通过类似手法获得了系统权限。这提醒我们安全防御必须考虑各种命令行特性的组合利用可能。

从一道BUUCTF的SSRF题，聊聊Linux命令行那些“意想不到”的利用姿势（HITCON 2017实战复盘）

相关文章：

从一道BUUCTF的SSRF题，聊聊Linux命令行那些“意想不到”的利用姿势（HITCON 2017实战复盘）

告别VMware！用Arsenal Image Mounter在Windows里直接‘打开’取证镜像，像本地硬盘一样操作

H3C交换机上给不同VLAN配DHCP，一次搞定网关、地址池和DNS（附完整命令）

mysql如何优化索引以减少扫描_mysql高效索引设计原则

RKMEDIA VO图层配置与双屏显示实战

赛元SC95F8617触摸库实战：从电机干扰到人体检测，我的按摩椅项目避坑实录

FPGA设计里选乘法器IP还是写RTL？从面积、时序和易用性帮你决策

从寄存器手册到代码：手把手教你逆向分析ES8311官方驱动配置逻辑

为什么92%的AGI项目在记忆对齐阶段失败？——2026奇点大会实测数据揭示5大认知断层与3步修复协议（含开源Memory-LLM v0.9预览版）

Hexo 博客无法复制 Markdown 本地图片？我写了一个插件

王杨安企cms:批量3000个游戏下载指定链接导入方法！

mysql主从配置作业一主一次

打造优雅的园艺社交互动界面：基于 Vue 的小程序开发实践

计算机毕业设计 | vue+SpringBoot凌云在线阅读平台图书借阅管理系统(附源码)

为什么你的HR数字化项目总失败？AGI原生架构 vs 传统RPA的5维能力对比（附Gartner最新评估矩阵）

如何从图表图像中提取精确数据：WebPlotDigitizer的完整指南

5G流量卡科普与避坑指南：如何选择正规号卡

HarmonyOS原子化服务：轻量化应用的未来形态

避开这些坑！CMOS环形振荡器版图设计与LVS匹配实战心得

从电赛到实战：基于OpenMV与STM32的视觉追踪小车系统设计

LangChain学习笔记--Model I／O 模块部分 1.5 Prompt Template（提示词模板）

STTN算法研究

5G/4G流量卡技术原理与合规选购实战（2026最新）

Wan2.2-I2V-A14B与Dify集成：打造无需编码的AI视频工作流

【IdraScriptsParker】软件启动报错“Run-time error ‘429‘ :ActiveX component can‘ t create object”解决方案

单片机c语言入门

CentOS 7 解决每次开机需手动执行【dhclient ens33】才能联网问题（永久方案）

C语言环境搭建指南

Paper 深读 | LLM驱动的多智能体分层决策新范式

基于Simulink的开关磁阻电机（SRM）非线性转矩脉动抑制