【bashfuck】bashshell实现无字母命令执行的构造原理

最新推荐文章于 2024-08-15 09:23:30 发布
最新推荐文章于 2024-08-15 09:23:30 发布
阅读量1k 收藏 10
点赞数 6
文章标签: linux bash 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35251017/article/details/129501373
版权

项目地址: https://github.com/ProbiusOfficial/bashFuck

前言

整个项目的核心是 Linux终端可以通过 $'\xxx' 的方式执行命令,xxx是字符ascii码的八进制形式,通过这一点,我们可以通过位运算符号和Linux终端的其他特性,在没有数字的情况下继续构造这样的形式以实现无字母数字仅用几个字符就实现任意命令执行。

当然本项目也有一定局限性,这取决于linux的系别,我们知道sh其实是一个软连接,在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash,这也是本项目名称为 Bsahfuck 的原因。

原理解析

common_otc(cmd)
def common_otc(cmd):
    payload = '$\''
    for c in cmd:
        if c == ' ':
            payload += '\' $\''
        else:
            payload += '\\' + get_oct(c)
    payload += '\''
    return info(payload)

首先我们知道,在终端中,$'\xxx'可以将八进制ascii码解析为字符,仅基于这个特性,我们可以得到第一个函数common_otc(cmd),该函数将传入的命令的每一个字符转换为$'\xxx\xxx\xxx\xxx'的形式,但是注意,如果为连续的一串$'\xxx\xxx\xxx\xxx'形式,则我们无法执行带参数的命令。

比如"ls -l"也就是$'\154\163\40\55\154',因为这样会把整个字符串当作一个单词,而不会分割成不同的参数,这里涉及到bash的一个单词分割,在Bash中,单词分割是一种将参数扩展、命令替换和算术扩展的结果分割成多个单词的过程,它发生在双引号之外,并且受到IFS变量的影响

(简单提一嘴,IFS是一个环境变量,它定义了字段分隔符,也就是用来分割字符串的字符。默认情况下,空格、制表符和换行符被认为是字段分隔符)

如果一个字符串包含空格或其他IFS字符,它会被分割成多个单词,每个单词作为一个独立的参数传递给命令。

但因为八进制转义序列是在命令行解析之前就执行的,所以它不会触发单词分割

(具体原理可以参考:

【Bash word splitting mechanism】https://stackoverflow.com/questions/18498218/bash-word-splitting-mechanism

I F S 】 h t t p s : / / b a s h . c y b e r c i t i . b i z / g u i d e / IFS】https://bash.cyberciti.biz/guide/ IFShttps://bash.cyberciti.biz/guide/IFS

bashfuck_x(cmd, form)
def bashfuck_x(cmd, form):
    bash_str = ''
    for c in cmd:
        bash_str += f'\\\\$(($((1<<1))#{bin(int(get_oct(c)))[2:]}))'
    payload_bit = bash_str
    payload_zero = bash_str.replace('1', '${##}')  # 用 ${##} 来替换 1
    payload_c = bash_str.replace('1', '${##}').replace('0', '${#}')  # 用 ${#} 来替换 0
    if form == 'bit':
        payload_bit = '$0<<<$0\\<\\<\\<\\$\\\'' + payload_bit + '\\\''
        return info(payload_bit)
    elif form == 'zero':
        payload_zero = '$0<<<$0\\<\\<\\<\\$\\\'' + payload_zero + '\\\''
        return info(payload_zero)
    elif form == 'c':
        payload_c = '${!#}<<<${!#}\\<\\<\\<\\$\\\'' + payload_c + '\\\''
        return info(payload_c)

基于上面的基本原理,我们引入一些表示特性和运算特性:

比如,在bash中,支持二进制的表示整数的形式:$((2#binary))$(($((1<<1))#binary))

通过阅读bash的参考文档https://www.gnu.org/software/bash/manual/bash.html,我们知道$作为一个特殊字符,有多样化的功能,比如$()可用来表示命令替换或者算术扩展。

在这里我们引入 $(()) 也就是 算术扩展,让其在括号中执行运算再替换到当前位置。

如果括号里面没有东西的话,也就是为0,那么直接echo $(()) 我们就可以得到字符 0

比如我们下面引入一些位运算

左移运算符: 1<<1可以得到2

取反:我们在 0 的基础上取反,就可以得到字符 -1 (这个原理很简单,因为0的二进制表示是00000000,取反后得到11111111,这个数在补码表示法下就是-1

除了$() $ 还可以 用${}的方式来扩展变量,具体的用法可以参考:https://stackoverflow.com/questions/5163144/what-are-the-special-dollar-sign-shell-variables

这里我们主要用到下面的特性:

${#var} 可以计算 var变量的字符长度:

img

当然 如果 var# / _ / ?这样的本来获取的值就是一个字符特殊参数 那么字符本身为变量,输出 1

如果var为NULL即不带参数 则为 0

img

img

将上面的几种特性结合起来,我们就能使用 1 0 / 0 甚至不用数字来构造字符的八进制形式。

比如只使用0和1:位运算让我们可以很轻松获得数字2,在下面的整数表示中就可以使用$(($((1<<1))#binary))来表示任意数字,然后构造八进制转义。

而在上面的基础上,我们用 ${##} 来替换 1 ,用 ${#} 来替换 0

那么对于命令ls就有下面的几种写法。

$\'\\$(($((1<<1))#10011010))\\$(($((1<<1))#10100011))\'

$\'\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}0${##}000${##}${##}))\'

$\'\\$(($((${##}<<${##}))#${##}${#}${#}${##}${##}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${#}${##}${##}))\'

但是上面的命令最终只能被bash还原为八进制转义序列,不会再进一步解析了:

img

至于为什么没有进一步解析,我们需要从bash的底层说起,我们可以看参考手册了解问题的所在: https://www.gnu.org/software/bash/manual/html_node/Shell-Expansions.html

3.5 Shell Expansions
Expansion is performed on the command line after it has been split into s. There are seven kinds of expansion performed: token
brace expansion
tilde expansion
parameter and variable expansion
command substitution
arithmetic expansion
word splitting
filename expansion
The order of expansions is: brace expansion; tilde expansion, parameter and variable expansion, arithmetic expansion, and command substitution (done in a left-to-right fashion); word splitting; and filename expansion.

Bash在执行命令之前,会对命令行进行一系列的扩展(expansions),这些扩展包括花括号扩展(brace expansion)、波浪号扩展(tilde expansion)、参数和变量扩展(parameter and variable expansion)、算术扩展(arithmetic expansion)、命令替换(command substitution)、单词分割(word splitting)和文件名扩展(filename expansion)等,最重要的是这些扩展的顺序是固定的,而且是从左到右进行的。

也就是说,bash shell 会先对命令行中的花括号进行扩展,然后再对波浪号进行扩展,依次类推,直到完成所有的扩展为止。

我们上面的操作都是基于 算术扩展和命令替换 而八进制转义也就是 $‘\xxx\xxx’ 的执行则是依赖于参数和变量扩展

所以当把这一些列运算符解析成八进制转义的时候,已经执行过一次参数和变量扩展了,所以不会再次解析。

所以这里我们引入Linux Bash Shell的Here string语法(https://bash.cyberciti.biz/guide/Here_strings)

让八进制转义作为标准输入再完成一次解析:

bin/bash<<<str

但是这样得到的就是$'\xxx\xxx\xxx\xxx'命令解析形式,在前面我们说到,这种方式无法执行带参数的命令,其实到这里也好理解了,因为带参命令需要执行单词分割扩展,而解析在扩展之后,也就是说,八进制转义序列命令的解析没有单词分割这一步,而是把整个解析结果作为整体执行。

所以我们需要使用两次Here-string语法,让这个命令扩展执行两次以便完成所有的解析工作。

在前面我们提到,$作为一个特殊的字符,有很多功能(https://stackoverflow.com/questions/5163144/what-are-the-special-dollar-sign-shell-variables)

$0 可以表示当前脚本的文件名,在终端中,$0其实就是bash本身。

img

接下来 如果我们想要不用数字去构造的话,那么就要寻找$0的替换,这里还是直接啃参考手册(x

https://www.gnu.org/software/bash/manual/bash.html

这里使用间接扩展特性——${!xxx},它表示用xxx的值作为另一个变量的名字,然后取出那个变量的值。例如,如果a=0,b=1,c=2,那么${!a}就相当于 0 , 0, 0{!b}就相当于 1 , 1, 1{!c}就相当于$2。所以我们只需要一个变量值为0的变量,就可以拿到sh

img

所以我们可以使用变量赋值,或者特殊参数构造,得到0

img

  • ${#}表示接受参数个数,在终端中参数为空 值为 0
  • ${?}表示上一条命令的退出状态,如果上一条命令异常 ${?}值为1,如果正常退出则为0
  • ${_}表示上一个命令的最后一个参数。(如果上一个指令的输出是0的话,就能构造出sh了)

那么对于bash_x的三种写法也就很任意理解了:

Command:ls
Charset : # $ ' ( ) 0 1 < \
Total Used: 9
Total length = 69
Payload = $0<<<$0\<\<\<\$\'\\$(($((1<<1))#10011010))\\$(($((1<<1))#10100011))\'
---------------------------
Charset : # $ ' ( ) 0 < \ { }
Total Used: 10
Total length = 117
Payload = $0<<<$0\<\<\<\$\'\\$(($((${##}<<${##}))#${##}00${##}${##}0${##}0))\\$(($((${##}<<${##}))#${##}0${##}000${##}${##}))\'
---------------------------
Charset : ! # $ ' ( ) < \ { }
Total Used: 10
Total length = 147
Payload = ${!#}<<<${!#}\<\<\<\$\'\\$(($((${##}<<${##}))#${##}${#}${#}${##}${##}${#}${##}${#}))\\$(($((${##}<<${##}))#${##}${#}${##}${#}${#}${#}${##}${##}))\'
bashfuck_y(cmd)
def bashfuck_y(cmd):
    oct_list = [  # 构造数字 0-7 以便于后续八进制形式的构造
        '$(())',  # 0
        '$((~$(($((~$(())))$((~$(())))))))',  # 1
        '$((~$(($((~$(())))$((~$(())))$((~$(())))))))',  # 2
        '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 3
        '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 4
        '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 5
        '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 6
        '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 7
    ]
    bashFuck = ''
    bashFuck += '__=$(())'  # set __ to 0
    bashFuck += '&&'  # splicing
    bashFuck += '${!__}<<<${!__}\\<\\<\\<\\$\\\''  # got 'sh'

    for c in cmd:
        bashFuck += '\\\\'
        for i in get_oct(c):
            bashFuck += oct_list[int(i)]

    bashFuck += '\\\''

    return info(bashFuck)

在前面我们就提到过 $(()) 的用法,在不使用$((2#binary))特性的情况下,我们还可以通过多个-1的叠加再取反去构造任意数字,于是就有了:

oct_list = [  # 构造数字 0-7 以便于后续八进制形式的构造
    '$(())',  # 0
    '$((~$(($((~$(())))$((~$(())))))))',  # 1
    '$((~$(($((~$(())))$((~$(())))$((~$(())))))))',  # 2
    '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 3
    '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 4
    '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 5
    '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 6
    '$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))',  # 7
]

这样就可以使用$(())去构造$'\xxx\xxx\xxx\xxx'

再引入我们前面提到的,变量赋值,我们就可以轻松的用$(())拿到sh

bashFuck = ''
bashFuck += '__=$(())'  # set __ to 0
bashFuck += '&&'  # splicing
bashFuck += '${!__}<<<${!__}\\<\\<\\<\\$\\\''  # got 'sh'
# bashFuck = __=$(())&&${!__}<<<${!__}\\<\\<\\<\\$\\\'

得到我们第四种payload形式:

Command:ls
Charset : ! $ & ' ( ) < = \ _ { } ~
Total Used: 13
Total length = 393
Payload = __=$(())&&${!__}<<<${!__}\<\<\<\$\'\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\'

总结

除开上面的几种写法,利用特性其实还能构造出不同的payload,或许还有一些方法没有被探索到,如果上面的文档存在错误欢迎师傅们指出捏,如果有新的想法也欢迎师傅们讨论。

探姬_Official
关注
Bash shell脚本打印出正在执行命令
九师兄
09-17 1万+
默认情况下,bash脚本不会打印执行的每个命令,这个有时候不太方面。 如下的方法可以让bash脚本打印出执行命令: 1) 在脚本里添加 set -v 或者 #!/bin/bash -v 以加 set -v 最好。 set -v 和 set -o verbose 是一样的 2) 添加 set -x 或者 #!/bin/bash -x 3, b...
shell/bash脚本命令教程
zeeq的博客
07-30 5123
shell里的变量不需要指明变量类型,类似于python,可以直接进行声明和赋值。myage=18#声明一个变量myage,值为20等号前后是没有空格的变量没有类型之分,都默认为string类型,即myage=18和myage=“18”在使用的时候都是一样的直接$变量名${变量名}这两种方式都是可以的,第2种方式在变量名前后加上{},主要是可以界定变量名的范围。echoIam${myage}yearsold#输出为Iam18yearsold。......
ctfshow web41 无字母数字命令执行
Sapphire037的博客
10-30 2457
1 首先,捋一捋思路,我们可以先看过滤的字符 比如/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i或者/[a-z0-9]/is 这里可以先看P神的一些不包含数字和字母webshell ,大概意思就是通过一些字符互相运算后构造得到我们的payload,了解基本原理之后,我们再看ctfshow中的这样一道例题 <?php /* # -*- coding: utf-8 -*- # @Author: 羽 # @Date: 2020-09-05 20:31
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 2183
命令执行字母数字webshell
Bashfuscator:让你的Bash脚本变得难以捉摸
最新发布
gitblog_00595的博客
08-15 894
Bashfuscator:让你的Bash脚本变得难以捉摸 BashfuscatorA fully configurable and extendable Bash obfuscation framework. This tool is intended to help both red team and blue team.项目地址:https://gitcode.com/gh_mirrors/...
字母命令执行
WHQ556677的博客
12-30 1229
先看一道题 <?php error_reporting(0); show_source(__FILE__); if (isset($_GET['a'])) { $c=$_GET['a']; if (!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)) { system($c); }else { echo "hacker!"; } } ?> 代码审计 过滤了字母
没有#!的bash脚本的执行
Netfilter
07-07 5026
<br />有些bash脚本写的不规范,没有在文件开头写#!,但是却能直接执行,可是如果看内核代码,shell脚本的加载函数中的开头就会判断,如果没有#!的话就会返回错误:<br /> static int load_script(struct linux_binprm *bprm,struct pt_regs *regs)<br /> {<br /> ...<br />     if ((bprm->buf[0] != '#') || (bprm->buf[1] != '!') || (bprm-
字母数字的命令执行(ctfshow web入门 56)
Firebasky的博客
09-12 3065
前面的一篇文章和这道题一样的做法 无字母数字的命令执行(ctfshow web入门 55) 需要注意的是:每次上传的文件不一定有大写的文件名,需要多上传几次
列出所有Bash Shell内置命令的方法示例
01-20
前言 Shell有很多内置在其源代码中的命令。这些命令是内置的,所以Shell不必到磁盘上搜索它们... bash shell 直接执行命令而无需调用其他程序。你可以使用 help 命令查看 Bash 内置命令的信息。以下是几种不同类型的
bash shell中并行运行命令
fengfengzai0101的博客
01-20 2425
介绍 三种方式可以并行运行命令 使用parallel命令 结合使用&和wait命令 使用xargs命令 放任务到后端 command & command arg1 arg2 & custom_function & 或者 prog1 & prog2 & wait prog3 上面的代码是:当prog1和prog2运行完成后,prog3才会开始运...
linux bash 取得命令执行的结果,LinuxBash特性之:命令执行结果以及状态结果...
weixin_29197051的博客
05-16 2352
linux中的命令执行的状态结果:bash通过状态返回值来输出此结果:成功:0失败:1-255命令执行完成之后,其状态返回值保存于bash的特殊变量$?中;命令正常执行时,有命令的返回值:根据命令及其功能不同,结果各不相同;引用命令执行结果(命令结果):$(COMMAND)或COMMAND (反引号)例如: ll /tmp/ 命令运行后返回的结果为命令执行结果,命令执行成功后的状态结果返回在特...
Bashfuscator:完全可配置和可扩展的Bash模糊处理框架。 该工具旨在帮助红色团队和蓝色团队
01-30
炸弹炸药 什么是Bashfuscator? Bashfuscator是用Python 3编写的模块化和可扩展的Bash模糊处理框架。它提供了许多不同的方式使Bash单行代码或脚本更加难以理解。 它通过生成卷积的随机Bash代码来实现此目的,该Bash代码在运行时会评估为原始输入并执行它。 Bashfuscator使从命令行和Python库轻松生成高度混淆的Bash命令和脚本。 该项目的目的是使Red Team能够绕过Linux系统上的静态检测,以及编写更好的Bash模糊技术的知识和工具。 这个框架也是在考虑到Blue Team的情况下开发的。 有了这个框架,Blue Team可以轻松生成数千个独特的混淆脚本或命令,以帮助创建和测试对Bash混淆的检测。 媒体/幻灯片 这是所有媒体(例如youtube视频)的列表,或指向有关Bashfuscator的幻灯片的链接。 有效负载支持 尽管Bashfuscator确实可以在UNIX系统上运行,但它生成的许多有效负载均不能。 这是因为大多数UNIX系统使用BSD样式实用程序,并且Bashfuscator是为与GNU样式实用程序一起使用而构建
字母数字命令执行
Thewei666的博客
08-12 917
处理跨平台的文本文件时遇到了换行符不一致的问题,你可以使用各种工具来转换文件的换行符格式,比如`dos2unix`(将Windows风格的换行符转换为Unix/Linux风格的换行符)和`unix2dos`(将Unix/Linux风格的换行符转换为Windows风格的换行符)等。如果文件是二进制文件,并且包含`0D`作为数据的一部分(而不是作为行的结束符),那么这些`0D`字符将按原样保留,并在执行文件时作为数据的一部分进行处理。可以发现自己编写的文件中只有0a,而临时文件中是0d0a。
php无字母数字代码执行
m0_52432374的博客
04-30 399
无数字字母命令执行及相关例题
DKPT的博客
11-24 84
字母数字。
字母数字webshell命令执行
weixin_71398630的博客
08-11 516
那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。所有方法,都用到了PHP中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是。因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、
php执行先后顺序_CTFweb类型(二十一)无数字字母命令执行及相关例题
weixin_39741459的博客
01-02 241
点击上方蓝色字体,关注我们无数字字母get shell时候,假如你可以去传入一些参数,并且能够执行,但是你不能传数字和字母,要想得到get shell一定会用到一些函数,在之前的内容中都很多提到,不管是命令执行还是代码执行,它有非常多的一些函数在里头。如果现在不能传入字母,也就意味着无法传入这些函数,无法执行函数的时候就没有办法去get shell。所以说无字母数字get shell的,...
命令执行无回显以及无字母数字的命令执行
m0re's blog
09-13 1913
前言:最近比赛的时候看到有关命令执行的题目,然后解题过程中发现了无字母数字的命令执行,所以这篇文章学习一下这个知识。 本文目录CTFshow web入门55CTFshow红包题第二弹 以ctfshow的题目来学习一下。 CTFshow web入门55 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modifie
[极客大挑战 2019]RCE ME writeup + 无字母数字命令执行
ShenZ的博客
09-09 451
我以后再半夜开题目我就是【】 知识点 利用取反运算符绕过无字母数字正则表达式 取反之后基本上都是不可见字符 yu22x大佬的php脚本: <?php fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]your command: '); $command=str_replace(array("\r\n", "\
Linux Bash Shell 中文指南:命令、选项与扩展解析
Linux Bash Shell中文手册”是一份详细介绍Bash Shell特性和用法的文档,涵盖了从基础到高级的各种主题,包括启动、选项、参数、命令执行等方面。 1. 概述 (SYNOPSIS): 概述部分通常会提供Bash Shell的基本使用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值