原理

OS命令注入漏洞，体现在很多方面。
命令连接符号可以起到很大的作用，如果语句没有筛选直接进行执行系统常规命令，可以用“||”等连接符进行命令拼接，从而执行用户输入的命令。

测试

某网络设备：

点击Summit之后，可以看到返回的结果。
将“127.0.0.1”替换为“||ifconfig”可在输出结果中查看到当前系统的网卡信息。

通过如图返回的结果信息可知该处可注入并执行操作系统命令。