1.3　命令执行漏洞

命令执行漏洞是指攻击者通过浏览器发送恶意的cmd/bash命令至服务器程序，服务器程序没有正确处理所接收的数据，而是执行了系统命令，进而对服务器造成威胁。

当应用程序需要调用一些外部程序来处理内容时，会使用一些系统命令。攻击者一般会通过“&”“|”“;”等符号来分隔原有的命令，在执行完原有的命令后，紧接着执行攻击者拼接的命令，对系统造成危害。

不管是在CTF比赛中，还是在真实的网络环境中，通常都会存在执行系统命令的位置。例如，在ping、文件长度或类型判定、图片编辑处理等操作中，都可能存在命令执行漏洞。