命令执行漏洞（command_execution）

介绍

即使用者可以直接在Web应用中执行系统命令，从而获取敏感信息或者拿下shell权限。其造成的原因是Web服务器对用户输入命令安全检测不足（比如没加waf），导致恶意代码被执行。

命令执行漏洞原理

在操作系统中，“&、|、||”都可以作为命令连接符使用，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令。

ping

ping用于确定本地主机是否能与另一台主机成功交换(发送与接收)数据包，再根据返回的信息，就可以推断TCP/IP参数是否设置正确，以及运行是否正常、网络是否通畅等。

find命令

Linux find 命令用来在指定目录下查找文件。任何位于参数之前的字符串都将被视为欲查找的目录名。如果使用该命令时，不设置任何参数，则 find 命令将在当前目录下查找子目录与文件。并且将查找到的子目录和文件全部进行显示。

用法参照：Linux find 命令 | 菜鸟教程

cat命令

cat（英文全拼：concatenate）命令用于连接文件并打印到标准输出设备上。

用法参照：Linux cat 命令 | 菜鸟教程