从BUUCTF SSRF题看Linux命令行的隐秘攻击面在CTF竞赛和实际渗透测试中SSRF服务器端请求伪造常被视作简单的内网探测工具但2017年HITCON这道题却展示了它如何与Linux命令行特性结合实现从信息泄露到远程代码执行的质变。本文将深入拆解这道经典题目背后的技术原理揭示那些容易被忽视的命令行魔法。1. 题目环境与代码审计的关键发现当我们拿到这道BUUCTF题目时首先映入眼帘的是一个看似简单的PHP文件操作功能。但仔细分析后会发现代码中隐藏着几个关键危险点$data shell_exec(GET . escapeshellarg($_GET[url])); file_put_contents(basename($info[basename]), $data);这段代码的核心问题在于使用了shell_exec直接执行系统命令虽然使用了escapeshellarg进行过滤但采用的GET命令本身存在特性文件写入操作与命令执行结果直接关联GET命令的隐秘特性这是Linux下的Perl脚本工具通常位于/usr/bin/GET支持多种协议处理包括file:协议能够与管道符等Shell特性结合使用注意现代Linux系统可能默认不安装GET工具但在CTF环境中常作为考点特意保留2. 从SSRF到RCE的漏洞链构建常规SSRF利用通常止步于内网服务探测但本题通过三个关键步骤实现了突破2.1 目录穿越与信息收集初始利用url./../../参数进行目录穿越GET ./../../../../../etc/passwd通过修改路径深度逐步探测系统关键文件发现/readflag二进制文件的存在。2.2 协议处理器的巧妙利用file:协议的处理成为突破点GET file:/readflag但直接这样执行只会读取文件内容无法执行二进制。需要结合bash特性2.3 命令注入的终极突破通过管道符和bash -c的组合实现RCEGET file:bash -c /readflag|这个payload的精妙之处在于管道符|改变了命令执行上下文bash -c创建了新的shell环境file:协议处理器将整个字符串作为命令执行3. Linux命令行中的危险特性解析这道题展示了Linux命令行中几个容易被忽视的危险特性3.1 非常用命令的潜在风险命令常规用途安全隐患GETHTTP请求工具支持多协议可执行本地文件bash -c执行字符串命令绕过部分命令限制file:本地文件协议可能触发命令执行3.2 特殊字符的魔法效果管道符(|)改变命令执行流重定向符()可能用于文件覆盖反引号()命令替换的隐蔽方式3.3 环境变量注入点GET file:${PATH} $(whoami)这类利用方式在特定环境下可能泄露敏感信息或执行命令。4. 防御方案与安全编码实践针对这类漏洞链建议采用分层防御策略输入过滤层禁用危险协议如file:限制特殊字符|、$、反引号等使用白名单校验URL参数执行隔离层// 安全示例 $allowed_domains [example.com]; if (!in_array(parse_url($_GET[url], PHP_URL_HOST), $allowed_domains)) { die(Invalid URL); }系统加固层移除不必要的命令行工具如GET配置PHP禁用危险函数disable_functions shell_exec,system,passthru使用Docker等容器技术限制文件系统访问5. 实战中的扩展利用思路这种技术组合在真实渗透测试中可能有以下应用场景受限环境下的命令执行通过Web应用间接执行系统命令绕过某些WAF对直接命令注入的检测权限提升的跳板利用应用权限读取敏感文件通过特殊命令特性突破沙箱限制持久化后门写入计划任务或启动脚本利用命令行特性维持访问在最近的一次内部测试中我们发现某系统虽然过滤了常见的;、等符号但忽略了|与file:协议组合的利用方式最终通过类似手法获得了系统权限。这提醒我们安全防御必须考虑各种命令行特性的组合利用可能。