系统命令注入攻击也是一种古老的攻击手段，是指黑客可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种攻击的实现方式，以及如何配置WAF进行拦截，实验环境仍然使用NPMserv搭建。

打开网站，在地址栏中的网址后面输入“?cmd=所要执行的命令”，如下图所示的http://192.168.1.3/?cmd=net user，可以发现命令能够成功执行。

如果发现一个网站存在这种漏洞，那下面的操作基本就没有什么技术含量了。无非是创建用户，加入管理员组，再开3389等等，具体操作可参考之前的“网站提权”博文。

下面配置WAF来进行防御。

仍是对P-deny策略进行配置，在“基本攻击防护”中创建一条名为“nocmd”的规则，在检测域中设置“参数”，在匹配方式中设置“正则匹配”，在数值中设置正则表达式。

这里根据系统命令注入攻击的特点，我设置如下的正则表达式：

.*?cmd.*

具体如下图所示：

再次进行命令注入，便会报错。

本文出自 “一壶浊酒” 博客，转载请与作者联系！

网络安全系列之十一 系统命令注入攻击