应急响应——Web漏洞：命令执行+SSRF+弱口令

一、整体说明

这三类漏洞都是Web入口高危威胁，常被用于拿下服务器、探测内网、持久化入侵。

二、命令执行漏洞

1.原理

网站代码直接接受用户输入，并拼接调用系统命令，攻击者构造特殊字符拼接恶意指令，在服务器上执行任意系统命令。

常见触发场景：ping检测、文件解压、系统信息查询、IP校验等功能。

2.常见分隔/拼接符号（特征标记）

• Linux：； | || & && ‘ $()
• Windows:& | || >

作用：截断原有命令，追加执行恶意系统指令

3.典型恶意请求示例

#正常功能：IP连通性测试 /ping.php?ip=127.0.0.1 #恶意构造（Linux） /ping.php?ip=127.0.0.1;whoami /ping.php?ip=127.0.0.1 | id /ping.php?ip=127.0.0.1 && ls -l #恶意构造（Windows） /ping.php?ip=127.0.0.1 & whoammi

常用恶意指令：whoami（查当前权限）、ipconfig/ifconfig（查网络）、netuser（查帐号）、curl/wget（下载木马）

4.日志与流量特征

1.Web日志

• URL参数包含;|&等分隔符+系统命令关键词
• 状态码多为200，部分命令报错会出现500
• 单IP短时间批量请求不同命令，多为工具自动化攻击

2.系统日志

• Windows：出现4688进程命令执行事件ID
• Linux：history历史命令、/var/log/secure会记录异常调用痕迹

5.应急排查步骤

1.日志筛选特征字符与命令

#Nginx日志筛选命令执行特征 grep -iE "\;|\||\&|whoami|ifconfig|ipconfig|curl|wget" /var/log/nginx/access.log

2.定位漏洞页面，确认执行权限：whoami返回网站运行账号，判断权限高低

3.全盘排查：是否被下载木马、创建后门账号、开启端口监听

4.检查定时任务、开机自启，防止持久化后门

6.应急处置&加固

临时处置

1. WAF拦截命令分隔符、系统命令关键词
2. 临时下线存在漏洞的功能页面
3. 封禁攻击IP/IP段

长期加固

1. 代码层禁止直接拼接用户输入到命令系统
2. 输入严格白名单校验，仅允许合法IP、字符
3. 网站运行帐号做权限降级，禁止高权限执行系统指令

三、SSRF服务端请求伪造

1.原理

服务器端主动发起网络请求的功能（图片加载、地址解析、接口转发）存在漏洞，攻击者诱导服务器去访问任意内外网地址。

核心危害：以服务器身份探测内网、攻击内网主机、读取本地文件、发起端口扫描

2.常见触发场景

图片远程加载、URL转码、站内代理、在线爬虫、地址预览等功能

3.协议与利用方式（识别重点）

• HTTP/HTTPS：对内网主机、端口进行扫描，访问内网Web服务
• FIle：读取服务器本地敏感文件（file:///etc/passwd、file://C:/windows/system32/drivers/etc/hosts)

• Dict/Telnet:对内网端口暴力破解、交互访问

4.典型恶意请求

#探测内网主机 ?url=http://192.168.1.100:3389 #读取本地文件（Linux） ?url=file:///etc/passwd #读取本地文件（Windows） ?url=file://C:/Windows/hosts #访问内网数据库/缓存服务 ?url=http://127.0.0.1:6379

5.日志&流量特征

1.Web日志

请求参数存在url=、link=等字段，值为内网IP、本地回环127.0.0.1、file：//协议

短时间大量不同内网端口请求，判定为内网扫描

2.流量特征

受害服务器主动向内网多IP/端口发起TCP连接

出现非常规协议（file：//）请求

6.应急排查步骤

1.日志筛选关键词

grep -iE "url=file://|127.0.0.1|192.168." /var/log/nginx/access.log

2.梳理请求目标：区分是本地文件读取、内网扫描还是内网服务攻击

3.检查内网资产：对应端口/主机是否被进一步入侵

4.核查服务器本地敏感文件是否泄露

7.应急处置&加固

临时处置

1. WAF拦截内网IP段、file://、dict://等危险协议
2. 临时关闭风险的URL转发、远程加载功能
3. 对内网边界临时收紧访问策略

长期加固

1. 禁用非必要协议：file、dict、gopher等
2. 白名单限制请求目标：仅允许外网合法域名，禁止内网IP、本地回环地址
3. 限制请求端口，仅开放80、443等常用业务端口

四、弱口令风险

1.原理

管理员/业务账号使用简单密码（纯数字、弱字典、默认密码），攻击者通过暴力破解、字典猜解登陆系统，是入侵最常见入口，覆盖Web后台、SSH、RDP、数据库、路由器、各类管理系统。

2.常见弱口令类型

• 默认密码：admin/admin、root/root、test/test、123456
• 简单组合：手机号、生日、连续数字/字母、公司名简写
• 空密码、同账号密码

3.应用场景与对应特征

1）Web后台弱口令（80/443端口）

• 请求特征：大量重复POST请求，路径固定为登录接口
• 请求参数固定：username、password批量变化
• 日志：同IP高频访问登录接口，状态码交替出现200/302(失败/跳转登录成功）

2)Linux SSH弱口令（22端口）

• 日志：/var/log/secure大量Failed password，穿插Accepted password
• 辅助命令：lastb

3）Windows RDP弱口令（3389）

• 日志：安全日志大量4625登录失败事件ID
• netstat -ano可见3389端口频繁外部连接

4）数据库弱口令（3306/1433端口）

• 流量：对应数据库端口高频连接尝试
• 风险：直接拖库、篡改数据、执行系统命令

4.应急排查步骤

1.定位登录接口/端口，结合日志统计爆破IP

#筛选Web登录类POST请求 grep "POST" access.log | grep -i "login" #统计高频攻击IP awk '{print $1}' access.log | sort |uniq -c | sort -nr

2.核查帐号状态：是否存在陌生IP成功登录

3.遍历全量账号，检查是否存在弱口令、默认账号

4.检查登录后行为：是否上传木马、创建后门账号、篡改数据

5.应急处置&加固

临时处置

1. 防火墙/WAF封禁爆破IP，配置登录接口频率限制（防暴力破解）
2. 立即修改所有弱口令、默认密码
3. 临时关闭外网可访问的高危端口（如3389、22），或限制登录IP段

长期加固

1. 强制密码复杂度：字母+数字+特殊符号，长度>=8位，定期更换
2. 开启登录二次验证、IP白名单
3. 关闭无用默认账号、匿名帐号
4. 配置登录失败锁定策略