命令注入绕过方式总结
前言
命令注入是web中常见的漏洞之一 ,由于web应用程序未对用户提交的数据做严格的过滤,导致用户输入可以直接被Linux或Windows系统当作命令执行,一般都会造成严重的危害。
常用符号
0x01 分号(;)
多条语句顺序执行时的分割符号
1 |
|
0x02 管道符(|)
cmd1命令的输出,作为下一条命令cmd2的参数
1 |
|
0x03 and(&&)
与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2
1 |
|
0x04 or(||)
或命令,cmd1失败则执行cmd2,cmd1成功则不执行cmd2
1 |
|
0x05 反引号(`)和$()
反引号和$()都可用来表示命令,被这两种方式包含的字符串都会被当做命令首先执行。
1 |
|
绕过方式总结
0x01 空格绕过
在过滤了空格的系统中,以cat flag.txt为例,系统不允许我们输入空格或输入后被过滤。
${IFS}
可使用${IFS}代替空格。
1 |
|
重定向符号绕过(<>)
1 |
|
%09(需要php环境)
php环境下web输入%09等效于空格
1 |
|
0x02 黑名单绕过
拼接
使用shell变量拼接被黑名单限制的关键词
1 |
|
base64
使用反引号包含base64解码后的命令
1 |
|
将base64解码后的命令通过管道符传递给bash
1 |
|
单引号,双引号
1 |
|
反斜杠
1 |
|
$1
1 |
|
0x03 读文件绕过
1 |
|
0x04 通配符绕过
/???会去寻找 / 目录下的三个字长度的文件,正常情况下会寻找到/bin,然后/?[a] [t]会优先匹配到/bin/cat美酒成功调用cat命令,然后后面可以使用正常的通配符匹配所需读的文件,如flag.txt文件名长度为8,使用8个?’’,此命令就会读取所有长度为8的文件。
1 |
|
同理,我们也可以匹配/bin下的其他命令,如more,less,vi,tail等命令来查看文件,或者执行其他命令。
1 |
|
1 |
|
甚至开启一个shell
1 |
|
1 |
|
0x05 命令嵌套
1 |
|
0x06 长度绕过
使用>>绕过长度限制
使用>>每次添加一部分命令到文件中
1 |
|
然后使用cat r |bash 执行命令
使用换行执行和ls -t 绕过长度限制
linux中,文件中的命令如果需要换行书写,需要在前一行末尾增加\,如文件a中有
1 |
|
使用sh a即可执行名cat flag.txt
ls -t可根据时间创建顺序逆序输出文件名
1 |
|
按照这个思路,可以使用
1 |
|
然后使用ls -t >s
s中文件内容就是
1 |
|
之后使用sh s,即可执行cat flag
本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!