漏洞挖掘从黑盒到白盒实战教学<\/h1>

概述<\/h2>

本文基于奇安信攻防社区分享的漏洞挖掘案例，详细分析某设备固件中从黑盒测试到白盒审计发现的多个安全漏洞，重点覆盖命令注入<\/strong>漏洞的挖掘方法与技术细节。<\/p>

一、漏洞背景<\/h2>
1.1 受影响文件<\/h3>

xxxxxxxcmd.php<\/code>：Web接口文件，存在命令注入漏洞。<\/li>
二进制文件 xxxxxonitor<\/code>：处理Socket通信并执行系统命令。<\/li> <\/ul> 1.2 影响版本<\/h3> 固件 2.x 和 3.x 版本（1.x 版本未受影响）。<\/li> 漏洞源于版本更新后引入的 exec()<\/code> 函数。<\/li> <\/ul> 二、漏洞详情<\/h2> 2.1 无回显命令注入（xxxxxxxcmd.php<\/code>）<\/h3> 2.1.1 触发参数<\/h4> 前端通过 xxxxxug_cmd<\/code> 参数传入命令。<\/li> 参数传递至后端后，通过 Socket 发送消息：eachMsg("ECMD$DBGCMD")<\/code>。<\/li> <\/ul> 2.1.2 执行流程<\/h4> 消息发送至本地 Socket 服务。<\/li> 二进制文件 xxxxxonitor<\/code> 处理消息。<\/li> 若消息前缀为 "ECMD"<\/code>，进入命令执行分支。<\/li> <\/ol> 2.1.3 核心代码分析（IDA 反编译）<\/h4> if<\/span> (!<\/span>strncmp(s_1, "ECMD"<\/span>, 4uLL<\/span>)) { <\/span><\/span> strcpy((char<\/span> *<\/span>)s_5, "\/usr\/local\/apache\/htdocs\/ExecCmd.txt"<\/span>); <\/span><\/span> sub_423458(6LL<\/span>, "recv commond(%s)"<\/span>, s_1); <\/span><\/span> \/\/ ... 省略部分代码 ... <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>strncmp(&<\/span>src__2, "cd"<\/span>, 2uLL<\/span>)) { <\/span><\/span> \/\/ 处理 cd 命令 <\/span><\/span><\/span><\/span> } else<\/span> { <\/span><\/span> sprintf((char<\/span> *<\/span>)s_4, "nohup %s > %s 2>&1 &"<\/span>, &<\/span>src__2, (const<\/span> char<\/span> *<\/span>)s_5); <\/span><\/span> system((const<\/span> char<\/span> *<\/span>)s_4); \/\/ 命令注入点 <\/span><\/span><\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>2.1.4 漏洞利用<\/h4> 构造参数：xxxxxug_cmd=ECMD$(恶意命令)<\/code><\/li> 实际执行：nohup 恶意命令 > \/usr\/local\/apache\/htdocs\/ExecCmd.txt 2>&1 &<\/code><\/li> 执行结果写入 ExecCmd.txt<\/code>，可通过 Web 访问该文件获取回显。<\/li> <\/ul> 2.2 有回显命令注入（同一接口）<\/h3> 2.2.1 漏洞位置<\/h4> 同一文件 xxxxxxxcmd.php<\/code> 存在第二个命令注入点（未详细展开）。<\/li> 通过相同参数 xxxxxug_cmd<\/code> 触发，但直接回显结果。<\/li> <\/ul> 2.3 时区设置功能命令注入<\/h3> 2.3.1 触发参数<\/h4> 传入参数格式："TSE:$TIMEZONE"<\/code><\/li> <\/ul> 2.3.2 核心代码<\/h4> if<\/span> (!<\/span>strncmp(s_1, "TSE"<\/span>, 3uLL<\/span>)) { <\/span><\/span> sprintf(s_6, "\/root\/timezone.shell %s &"<\/span>, (const<\/span> char<\/span> *<\/span>)s_4); <\/span><\/span> system(s_6); \/\/ 命令注入点 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>2.3.3 漏洞利用<\/h4> 参数 $TIMEZONE<\/code> 未过滤，可注入任意命令：例如：TSE:;id > \/tmp\/exploit<\/code><\/li> 实际执行：\/root\/timezone.shell ;id > \/tmp\/exploit &<\/code><\/li> <\/ul> <\/li> <\/ul> 2.4 用户创建功能命令注入（固件 2.x\/3.x）<\/h3> 2.4.1 漏洞场景<\/h4> 系统创建用户时调用二进制文件，存在命令注入。<\/li> 3.x 版本该接口需鉴权，但可结合认证绕过漏洞利用。<\/li> <\/ul> 2.4.2 利用链<\/h4> 通过其他 RCE 漏洞或认证绕过读取用户密码。<\/li> 解密密码后模拟登录获取 Cookie。<\/li> 调用用户创建接口触发命令注入。<\/li> <\/ol> 三、漏洞挖掘技巧总结<\/h2> 3.1 黑盒测试重点<\/h3> 参数模糊测试<\/strong>：对所有输入参数尝试命令注入 payload（如 $(id)<\/code>、;id<\/code>）。<\/li> 回显识别<\/strong>：注意无回显漏洞需通过输出重定向到文件（如 ExecCmd.txt<\/code>）。<\/li> 接口鉴权绕过<\/strong>：寻找未鉴权接口或鉴权逻辑缺陷。<\/li> <\/ol> 3.2 白盒审计重点<\/h3> 危险函数追踪<\/strong>：搜索 system<\/code>、exec<\/code>、popen<\/code> 等函数调用。<\/li> 参数传递链<\/strong>：从前端参数到后端执行，跟踪数据流是否未过滤。<\/li> 版本对比<\/strong>：对比历史版本代码，关注新增或修改的敏感逻辑。<\/li> <\/ol> 3.3 二进制审计补充<\/h3> 对二进制文件（如 xxxxxonitor<\/code>）使用 IDA 分析：识别字符串常量（如 "ECMD"<\/code>）。<\/li> 分析 strncmp<\/code>、sprintf<\/code> 等函数的使用风险。<\/li> <\/ul> <\/li> <\/ul> 四、修复建议<\/h2> 输入过滤<\/strong>：对所有用户输入严格过滤（白名单机制）。<\/li> 避免命令执行<\/strong>：改用 PHP 内置函数替代系统命令（如 mkdir<\/code> 代替 system("mkdir")<\/code>）。<\/li> 权限最小化<\/strong>：Web 服务以低权限用户运行。<\/li> 鉴权加固<\/strong>：敏感接口需强制鉴权且避免硬编码密钥。<\/li> <\/ol> 附录：常用命令注入 Payload<\/h2> 类型<\/th> Payload 示例<\/th> 适用场景<\/th> <\/tr> <\/thead> 空格绕过<\/td> ${IFS}id<\/code><\/td> 过滤空格时<\/td> <\/tr> 回显重定向<\/td> id > \/tmp\/out<\/code><\/td> 无回显漏洞<\/td> <\/tr> 后台执行<\/td> id &<\/code><\/td> 避免阻塞<\/td> <\/tr> 管道符<\/td> `id<\/td> tee \/tmp\/out`<\/td> <\/tr> <\/tbody> <\/table> 免责声明<\/strong>：本文仅用于安全教学与研究，请勿用于非法用途。<\/p>

类型<\/th>	Payload 示例<\/th>	适用场景<\/th> <\/tr> <\/thead>
空格绕过<\/td>	`${IFS}id<\/code><\/td>`	过滤空格时<\/td> <\/tr>
回显重定向<\/td>	`id > \/tmp\/out<\/code><\/td>`	无回显漏洞<\/td> <\/tr>
后台执行<\/td>	`id &<\/code><\/td>`	避免阻塞<\/td> <\/tr>
管道符<\/td>	`id<\/td>	tee \/tmp\/out`<\/td> <\/tr> <\/tbody> <\/table> 免责声明<\/strong>：本文仅用于安全教学与研究，请勿用于非法用途。<\/p>