(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111664226.8 (22)申请日 2021.12.3 0 (71)申请人 北京凌云信安科技有限公司 地址 102206 北京市昌平区沙河镇昌平路 97号8幢B802(昌平示范园) (72)发明人 董丽萍　 (51)Int.Cl. G06F 21/57(2013.01) G06F 9/54(2006.01) G06F 16/955(2019.01) H04L 9/40(2022.01) (54)发明名称 一种无回显命令执 行漏洞的检测方法 (57)摘要 本发明涉及漏洞检测技术领域， 且公开了一 种无回显命令执行漏洞的检测方法， 包括HTTP反 连服务器、 RMI 反连服务器和redis/内存， 所述包 括HTTP反连服务器分为两个接口， 所述接口1:/ new/rand， rand表示一个随机数。 当漏洞扫描系 统检测漏洞时， 将该url放在需要执行的命令中， 如“curl反连平台IP/new/rand1 ”。 如果命令 执行 完成， 则反连平台会收到 该请求， 并将rand1记 录 在数据库中。 当漏洞扫描系统向HTTP反连服务器 请求随机值， 且判断云端数据库中保存有与该随 机值相同的随机值时， 说明访问命令中的随机数 传递到了HTTP反连服务器或RMI反连服务， 此时 即可判定被扫描目标存在远程命令执行漏洞。 通 过这种方式， 实现了对无回显命令执行漏洞的准 确检测。 权利要求书1页 说明书3页 附图1页 CN 114357462 A 2022.04.15 CN 114357462 A 1.一种无回显命令执行漏洞的检测方法， 包括HTTP反连服务器、 RMI反连服务器和 redis/内存， 其特征在于： 所述包括HTTP反连服务器分为两个接口， 所述接口1:/new/rand， rand表示一个随机数。 当漏洞扫描系统检测漏洞时， 将该url放在需要执行的命令中， 如 “curl反连平台IP/new/rand1 ”。 如果命令执行完成， 则反连平台会收到该请求， 并将rand1 记录在数据库中。 且该随机数会设置一个到期时间， 如5mi n， 5min后随机数会自动被删除。 2.根据权利要求1所述的一种无回显命令执行漏洞的检测方法， 其特征在于： 所述接口 2:/log/rand， 当访问接口 “反连平台IP/log/rand1 ”时， 反连平台会去数据库检测rand1是 否存在。 如果ran d1存在， 则返回200， 并删除rand1， 漏洞扫描系统会判 定为漏洞存在。 如果 rand1不存在， 则返回404， 漏洞 扫描系统会判定为漏洞不存在。 3.根据权利要求1所述的一种无回显命令执行漏洞的检测方法， 其特征在于： 所述RMI 反连服务器原理同HTTP反连服务器类似， 当目标回连到RMI反连服务器时， 会从RMI连接串 中提取一个随机数rand2存入数据库中， 然后漏洞扫描系统访问接口 “反连平台IP/log/ rand2”。 4.根据权利要求1所述的一种无回显命令执行漏洞的检测方法， 其特征在于： 所述 redis/内存作为中央数据库， 用于保存临时数据和传导数据。权　利　要　求　书 1/1 页 2 CN 114357462 A 2一种无回显命令 执行漏洞的检测方 法 技术领域 [0001]本发明涉及漏洞检测技 术领域， 具体为 一种无回显命令执 行漏洞的检测方法。 背景技术 [0002]命令执行漏洞的原理： 应用程序有时需要调用一些执行系统命令的函数， 比如PHP 中使用system、 exec、 sh ell_exec、 passt hru、 popen、 p roc_popen等函数可以执行系统命令。 当黑客能控制这些函数中的参数时， 就可以将恶意的系统命令拼接到正常命令中， 从而造 成命令执 行攻击。 [0003]命令执行漏洞又分为有回显漏洞和无回显漏洞。 有回显漏洞即我们将p ayload通 过http request发送到服务端后， 服务端会将payloa d执行的结果通过http  response返回 给我们。 无回显漏洞则 服务端不会将payload执行的结果通过http  response返回给我们， 但是payl oad其实已经 执行成功了 。 [0004]显而易见， 针对有回显漏洞， 我们只需要将id放在payload中， 如果目标服务运行 在linux上， id命令 执行后的回显如： u id＝0(root)gid＝0(root)groups＝0(root)， 会通过 http response返回给我们， 则我们可以通过回显中是否有 “uid＝”、“gid＝”之类的关键字 检测目标是否存在漏洞。 但是针对无回显漏洞， 我们的漏洞扫描系统无法知道目标是否执 行完成， 则无法单独的使用漏洞扫描系统判断目标是否存在漏洞。 目前常用的方案是采用 DNS域名系统服务器， 如 《一种漏洞检测方法、 装置及系统》 专利公布号为CN109040039B中所 述。 但是该方案成本比较高， 需要搭建一个DNS域名系统服务器， 且如果用户为内网环 境(无 法访问互联网)时该 方案将无法使用。 [0005]为了解决这些问题， 我们提出一种内置HTTP服务与RMI服务 的漏洞扫描系统检测 方法。 我们将内置 HTTP服务和RMI服务的平台成为反连平台。 发明内容 [0006](一)解决的技 术问题 [0007]针对现有技术的不足， 本发明提供了一种无回显命令执行漏洞的检测方法， 解决 了上述背景技 术中提出的问题。 [0008](二)技术方案 [0009]为实现以上目的， 本发明提供如下技术方案： 一种无回显命令执行漏洞的检测方 法， 包括HTTP反连服务器、 RMI反连服务器和redis/内存， 其特征在于： 所述包括HTTP反连服 务器分为两个接口， 所述接口1:/new/rand， ran d表示一个随机数。 当漏洞扫描系统检测漏 洞时， 将该url放在需要执行的命令中， 如 “curl反连平台IP/new/ran d1”。 如果命令执行完 成， 则反连平台会收到该请求， 并将rand1记录在数据库中。 且该 随机数会设置一个到期时 间， 如5mi n， 5min后随机数会自动被删除。 [0010]优选的， 所述接口2:/log/rand， 当漏洞扫描系统访问接口 “反连平台IP/log/ rand1”时， 反连平台会去数据库检测rand1是否存在。 如果rand1存在， 则返回200， 并删除说　明　书 1/3 页 3 CN 114357462 A 3