一、整体说明这三类漏洞都是Web入口高危威胁常被用于拿下服务器、探测内网、持久化入侵。二、命令执行漏洞1.原理网站代码直接接受用户输入并拼接调用系统命令攻击者构造特殊字符拼接恶意指令在服务器上执行任意系统命令。常见触发场景ping检测、文件解压、系统信息查询、IP校验等功能。2.常见分隔/拼接符号特征标记Linux | || ‘ $()Windows: | || 作用截断原有命令追加执行恶意系统指令3.典型恶意请求示例#正常功能IP连通性测试 /ping.php?ip127.0.0.1 #恶意构造Linux /ping.php?ip127.0.0.1;whoami /ping.php?ip127.0.0.1 | id /ping.php?ip127.0.0.1 ls -l #恶意构造Windows /ping.php?ip127.0.0.1 whoammi常用恶意指令whoami查当前权限、ipconfig/ifconfig查网络、netuser查帐号、curl/wget下载木马4.日志与流量特征1.Web日志URL参数包含;|等分隔符系统命令关键词状态码多为200部分命令报错会出现500单IP短时间批量请求不同命令多为工具自动化攻击2.系统日志Windows出现4688进程命令执行事件IDLinuxhistory历史命令、/var/log/secure会记录异常调用痕迹5.应急排查步骤1.日志筛选特征字符与命令#Nginx日志筛选命令执行特征 grep -iE \;|\||\|whoami|ifconfig|ipconfig|curl|wget /var/log/nginx/access.log2.定位漏洞页面确认执行权限whoami返回网站运行账号判断权限高低3.全盘排查是否被下载木马、创建后门账号、开启端口监听4.检查定时任务、开机自启防止持久化后门6.应急处置加固临时处置WAF拦截命令分隔符、系统命令关键词临时下线存在漏洞的功能页面封禁攻击IP/IP段长期加固代码层禁止直接拼接用户输入到命令系统输入严格白名单校验仅允许合法IP、字符网站运行帐号做权限降级禁止高权限执行系统指令三、SSRF服务端请求伪造1.原理服务器端主动发起网络请求的功能图片加载、地址解析、接口转发存在漏洞攻击者诱导服务器去访问任意内外网地址。核心危害以服务器身份探测内网、攻击内网主机、读取本地文件、发起端口扫描2.常见触发场景图片远程加载、URL转码、站内代理、在线爬虫、地址预览等功能3.协议与利用方式识别重点HTTP/HTTPS对内网主机、端口进行扫描访问内网Web服务FIle读取服务器本地敏感文件file:///etc/passwd、file://C:/windows/system32/drivers/etc/hosts)Dict/Telnet:对内网端口暴力破解、交互访问4.典型恶意请求#探测内网主机 ?urlhttp://192.168.1.100:3389 #读取本地文件Linux ?urlfile:///etc/passwd #读取本地文件Windows ?urlfile://C:/Windows/hosts #访问内网数据库/缓存服务 ?urlhttp://127.0.0.1:63795.日志流量特征1.Web日志请求参数存在url、link等字段值为内网IP、本地回环127.0.0.1、file//协议短时间大量不同内网端口请求判定为内网扫描2.流量特征受害服务器主动向内网多IP/端口发起TCP连接出现非常规协议file//请求6.应急排查步骤1.日志筛选关键词grep -iE urlfile://|127.0.0.1|192.168. /var/log/nginx/access.log2.梳理请求目标区分是本地文件读取、内网扫描还是内网服务攻击3.检查内网资产对应端口/主机是否被进一步入侵4.核查服务器本地敏感文件是否泄露7.应急处置加固临时处置WAF拦截内网IP段、file://、dict://等危险协议临时关闭风险的URL转发、远程加载功能对内网边界临时收紧访问策略长期加固禁用非必要协议file、dict、gopher等白名单限制请求目标仅允许外网合法域名禁止内网IP、本地回环地址限制请求端口仅开放80、443等常用业务端口四、弱口令风险1.原理管理员/业务账号使用简单密码纯数字、弱字典、默认密码攻击者通过暴力破解、字典猜解登陆系统是入侵最常见入口覆盖Web后台、SSH、RDP、数据库、路由器、各类管理系统。2.常见弱口令类型默认密码admin/admin、root/root、test/test、123456简单组合手机号、生日、连续数字/字母、公司名简写空密码、同账号密码3.应用场景与对应特征1Web后台弱口令80/443端口请求特征大量重复POST请求路径固定为登录接口请求参数固定username、password批量变化日志同IP高频访问登录接口状态码交替出现200/302(失败/跳转登录成功2)Linux SSH弱口令22端口日志/var/log/secure大量Failed password穿插Accepted password辅助命令lastb3Windows RDP弱口令3389日志安全日志大量4625登录失败事件IDnetstat -ano可见3389端口频繁外部连接4数据库弱口令3306/1433端口流量对应数据库端口高频连接尝试风险直接拖库、篡改数据、执行系统命令4.应急排查步骤1.定位登录接口/端口结合日志统计爆破IP#筛选Web登录类POST请求 grep POST access.log | grep -i login #统计高频攻击IP awk {print $1} access.log | sort |uniq -c | sort -nr2.核查帐号状态是否存在陌生IP成功登录3.遍历全量账号检查是否存在弱口令、默认账号4.检查登录后行为是否上传木马、创建后门账号、篡改数据5.应急处置加固临时处置防火墙/WAF封禁爆破IP配置登录接口频率限制防暴力破解立即修改所有弱口令、默认密码临时关闭外网可访问的高危端口如3389、22或限制登录IP段长期加固强制密码复杂度字母数字特殊符号长度8位定期更换开启登录二次验证、IP白名单关闭无用默认账号、匿名帐号配置登录失败锁定策略