命令注入常用的命令拼接符

最新推荐文章于 2024-05-06 12:47:48 发布
最新推荐文章于 2024-05-06 12:47:48 发布
阅读量589 收藏 9
点赞数 15
分类专栏: web安全学习 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmileAssassn/article/details/135728299
版权

【常用命令拼接符】

序号拼接方式        示例解释
1|pwd|touch 1

| 符:管道符“|”上一条命令的输出,作为下一条命令参数(command1|command2 )

注意:当command1执行报错时,结果会打印command2的结果以及command1的错误信息

2&pwd&tonch 1

&符:&放在启动参数后面表示设置此命令在后台运行 

在命令注入漏洞中&符解析成 command1 & command2(表示先执行command1后执行 command2)

3;pwd;touch 1;符:command1;command2(命令从左到右顺序执行)
4||pd||touch 1|| 符:command1||command2(当左边为假时执行右边命令)
5&&pwd&&touch 1&&符: command1&&command2(当左边为真时执行右边命令
6``pwd`touch 1```也可以进行命令的执行
7$pwd$(touch 1)拥有较高的执行优先级
8换行%0a

pwd

touch 1

换行进行命令的执行

命令执行举例:

1、| 符

| 符:管道符“|”上一条命令的输出,作为下一条命令参数(command1|command2 )

注意:当command1执行报错时,结果会打印command2的结果以及command1的错误信息

前一个命令会执行,但是不会显示,当报错的时候会提示报错

第一个命令错误不会影响第二个命令执行

2、&符

&符:&放在启动参数后面表示设置此命令在后台运行 

在命令注入漏洞中&符解析成 command1 & command2(表示先执行command1后执行 command2)

第一个命令错误不会影响第二个命令的执行

3、;符

;符:command1;command2(命令从左到右顺序执行),两个命令都会执行

前一个命令报错不会影响第二个命令执行

4、|| 符

|| 符:command1||command2(当左边为假时执行右边命令)

前一个命令正确时不会执行后一个命令

前一个命令错误时才会执行后一个命令

5、&&符

&&符: command1&&command2(当左边为真时执行右边命令

左边为假时不会执行右边命令

6、``

``也可以进行命令的执行

两个命令都可以执行

7、$符

拥有较高的执行优先级

两个命令都会执行

8、换行

【常见类型绕过方法】

1、在Web程序中有对空格过滤的情况

<,<>,%20(space),%09(tab),$IFS$9,  I F S , {IFS},IFS,IFS

2、在Web程序中有对关键词cat命令过滤的情况,如

2.1 less或more或tail命令绕过

Smileassissan
关注
  • 15
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python的常见命令注入威胁
12-25
ah!其实没有标题说的那么严重! 不过下面可是我们开发产品初期的一些血淋淋的案例,更多的安全威胁可以看看北北同学的《python hack》PPT,里面提及了不只命令执行的威胁,那些都是我们亲身经历的代码。 千万要记得执行命令的时候,不要信任其他传入数据就行了,既然意识到问题,那么修复方法是多种多样的。 在我们的系统中,多处出现问题然后修修补补是不靠谱的,那么我们需要一个通用的安全执行接口,这个接口过后更新进来。 此外,我们在开发新功能的时候,也要掌握安全编程的规范技巧,这些技巧不局限在命令执行安全。 总结了一下,就是一下几点要素啦: •命令执行的字串不要去拼接输入的参数,非要拼接的话,要对
greenplum常用命令
10-12
串函数 1)字拼接:|| 2)字串长度:length 3)字串截取:substring('fsfd' from 2 for 3)、substr('fsfd',2,3) 4)字串两头去字:trim(' fsf')、trim(both 'x' from 'xfdsx') 5)大小写转换:upper()、lower() 6)替换字串:replae('fsfsfsf',fs'','ab') 7)把字串中某几个连续字替换成指定字:overlay('freda' placing 'fsf' from 2 for 4) 8)按照某个字拆分字串:split_part('adas|dada|ffr','|',2) 9)手动数据:select * from (values ('a1',3),('a2',4)) t(col,num) 10)指定字串在字串中的起始位置:position('as' in 'dadassa')
MySQL 常用拼接语句汇总
09-08
主要介绍了MySQL 常用拼接语句,帮助大家更好的理解和使用MySQL,感兴趣的朋友可以了解下
linux命令实现音频格式转换和拼接的方法
01-20
安装FFmpeg flac eric@ray:~$ sudo apt install FFmpeg flac 安装lame faac eric@ray:~$ sudo apt install lame faac 将一个后缀为.ape格式的视频转换成m4a(mp4)格式 1、首先用ffmpeg命令或者flac 命令将它转换成mav格式,再用lame将wav转换成mp4格式 eric@ray:~/Music$ ffmpeg -i Gracie-Theme.ape Gracie-Theme.wav ##或者 eric@ray:~/Music$ flac -d Gracie-Theme.flac
ffmpeg操作命令大全.pdf
07-13
ffmpeg操作命令大全.pdf 命令基本格式及参数 主要参数 视频参数 音频参数 录制 分解与复用 处理原始数据 滤镜 音视频的裁剪与拼接 视频图片转换
命令注入-命令的连接【‘&’‘&&’‘||’‘|’】的含义及其用法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-24 7270
命令的连接【‘&’‘&&’‘||’‘|’】的含义及其用法一、各个连接的含义二、用法演示1.a && b2.a & b3.a || b4.a | b 一、各个连接的含义 a && b :代表首先执行前者命令a再执行后命令b,但是前提条件是命令a执行正确才会执行命令b,在a执行失败的情况下不会执行b命令。所以又被称为短路运算。 (前面的命令执行成功后,它后面的命令才被执行) a & b:代表首先执行命令a再执行命令b,如果a执行失败
&&、&、|、||命令拼接号含义
qq_42527761的博客
08-07 1147
linux命令拼接注入,命令注入--命令连接
weixin_39966644的博客
05-03 818
linux服务器;(分号)命令按照顺序(从左到右)被执行,并且可以用分号进行分隔。当有一条命令执行失败时,不会中断其它命令的执行。eg:ping -c 4 127.0.0.1;sleep 6 //两条都是有效命令test;sleep 6 //test无效命令,即执行失败,sleep一样执行|(管道)通过管道可以将一个命令的标准输出管道为另外一个命令的标准输入。当第一条命令失败时,它仍然会执行...
Linux技巧(六):命令尾部&的作用 &&、|、||、;、()、&>、 2>&1 的用法和区别,很实用
血煞长虹 的专栏
10-17 1万+
本文较为全面的介绍了Linux常用连接 &、&&、;、| 、|| 、()、>、&>、2>&1的区别和作用,有效的掌握这些连接的使用,可以大大提升自己的内力,让你的linux日常更上一层楼。
命令注入命令连接详解
qq_34831410的博客
08-22 993
学习命令注入时执行多条命令的分隔详解
安迪拼接器源码及命令文档
05-25
一款C#开发的安迪拼接器源码,及安迪拼接器cmd命令文档.
拼接2,输入命令初始化问题
05-15
本资源在借鉴别人的基础上修改增加些许功能,许多不完善之处,望广大网友批评指正
Linux多命令顺序执行连接(; || && |)
Don't lost way
11-13 1万+
当我们需要一次执行多个命令的时候,命令之间需要用连接连接,不同的连接有不同的效果。下面我们总结一下,加以区分。 (1)  ;  分号,没有任何逻辑关系的连接。当多个命令用分号连接时,各命令之间的执行成功与否彼此没有任何影响,都会一条一条执行下去。 (2) || 逻辑或,当用此连接连接多个命令时,前面的命令执行成功,则后面的命令不会执行。前面的命令执行失败,后面的命令才会执行。 (
命令连接【; && ||】
ADreamClusive的博客
03-27 4564
【;】【&amp;&amp;】【||】多条命令顺序,逻辑与,逻辑或连接用【;】间隔的命令按顺序依次执行;【ls -l;  date】【&amp;&amp;】前后的命令的执行存在逻辑与关系,只有【&amp;&amp;】前面的命令执行成功后,它后面的命令才被执行;【write xiaoming  &lt; ./message.txt  &amp;&amp;  rm -f  ./message.txt...
DVWA系列(四)----Command Injection (命令注入)
热门推荐
fendo
02-10 2万+
一、攻击模块2:Command Injection(命令注入)       命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。        PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeC
Bash中命令连接的用法——一次执行多个命令
finewings的专栏
12-15 1万+
<br />多个命令可以放在一行上,其执行情况得依赖于用在命令之间的分隔。<br /><br />如果每个命令被一个分号 (;) 所分隔,那么命令会连续的执行下去,如:<br />引用beyes@linux-beyes:/proc> printf "%s/n" "This is executed" ; printf "%s/n" "And so is this"<br />This is executed<br />And so is this<br /><br />如果每个命令被 && 号分隔,那么这些
Linux 有哪些命令连接
Sunny04的专栏
01-10 3176
命令行可以一次执行多个命令,有以下几种: 1.每个命令之间用;隔开 说明:各命令的执行给果,不会影响其它命令的执行。换句话说,各个命令都会执行, 但不保证每个命令都执行成功。 2.每个命令之间用&&隔开 说明:若前面的命令执行成功,才会去执行后面的命令。这样可以保证所有的命令执行完毕后,执行过程都是成功的。 3.每个命令之间用||隔开 说明:||是或的意思,只有前面的命令
linux 命令间的连接
吸猫宅
02-13 6837
&amp;  表示任务在后台执行,如要在后台运行redis-server,则有  redis-server &amp; &amp;&amp; 表示前一条命令执行成功时,才执行后一条命令 ,如 echo '1‘ &amp;&amp; echo '2'     | 表示管道,上一条命令的输出,作为下一条命令参数,如 echo 'yes' | wc -l || 表示上一条命令执行失败后,才执行下一...
linux下的调试工具gdb的详细使用介绍
最新发布
qq_75270497的博客
05-06 972
详细介绍在linux下使用gdb的方法,每个步骤都举例说明,适合复习和新手入门,希望能为能够帮助到大家。
描述命令注入命令注入的条件
06-06
命令注入(Command Injection)是一种常见的网络攻击技术,攻击者通过在受攻击的应用程序中注入恶意命令来执行非法操作,例如执行系统命令、读取敏感文件或者篡改数据等。 命令注入的条件主要包括以下几个方面: 1. 用户输入未经过滤:攻击者通常会利用应用程序中存在的漏洞,将恶意的命令注入到用户输入的数据中,例如表单输入、URL参数等。 2. 用户输入被直接拼接命令中:如果应用程序直接将用户输入拼接到系统命令中,而没有进行任何处理,那么攻击者就可以轻松地注入恶意命令。 3. 命令执行的上下文环境:命令注入攻击通常需要利用命令执行的上下文环境,例如系统环境变量、当前目录、输入输出等,来执行恶意命令。 因此,为了防止命令注入攻击,应用程序需要对用户输入进行严格的过滤和检查,避免将用户输入直接拼接到系统命令中。同时,应用程序也需要限制命令执行的上下文环境,避免攻击者利用系统环境变量等实现攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值