windows&linux中 命令执行的各种绕过方式

admin 2024年10月28日13:43:34评论10 views字数 6268阅读20分53秒阅读模式
~ 凡是过往,皆为序章 ~

简介

 

Windows

我们在windows命令行中执行命令的时候,是不区分大小写

C:>WHOAMI
yvadministrator

在命令行中可以有无数个"

C:>wh""""oami
yvadministrator

C:>wh""""""""""""""""""""""""""""""oami
yvadministrator

不能有两个连续的^

C:>whoa^mi
yvadministrator

C:>whoam^^i
'whoam^i' 不是内部或外部命令,也不是可运行的程序
或批处理文件。

C:>who^a^m^i
yvadministrator

在命令中如果 "^之前,此时"数量必须为偶数

C:>who""a^mi
yvadministrator

C:>who"a^mi
'who"a^mi' 不是内部或外部命令,也不是可运行的程序
或批处理文件

在命令中"^之后,且带有参数,则也需要带有偶数

C:>n^et" user
'net" user' 不是内部或外部命令,也不是可运行的程序
或批处理文件。

C:>n^et"" user

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

也可以使用()对命令进行包裹

C:>(whoami)
yvadministrator

C:>(n^et"" user)

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

()的数量不设上限

C:>(((whoami)))
yvadministrator

使用变量

简单拼接

%%局部分开每个变量

C:>set cmd1=who

C:>set cmd2=am

C:>set cmd3=i

C:>%cmd1%%cmd2%%cmd3%
yvadministrator

变量拼接方式二

C:>set cmd1=who

C:>set cmd3=i

C:>%cmd1%am%cmd3%
yvadministrator

变量拼接方式三

C:>set cmd1=wh"""o

C:>set cmd3=i"""

C:>%cmd1%am%cmd3%
yvadministrator

变量拼接方式四 ^

C:>set cmd1=wh""""o    # 这里需要偶数,因为在变量拼接结果中有 ^ 

C:>set cmd3=i"""    # 后面正常多少个 " 都行  

C:>%cmd1%a^m%cmd3%
yvadministrator

含有参数的命令,net user

C:>set cmd1=s""er

C:>set cmd2=t u

C:>set cmd3=n^e

C:>%cmd3%%cmd2%%cmd1%

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

一次性执行多条命令

C:>cmd /C "set cmd1=s""ser && set cmd2=t u && set cmd3=n^e && %cmd3%%cmd2%%cmd1%"

\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

Windows环境变量切分

先设置一个变量

C:>set cmd=whoami   

C:>%cmd%    
yvadministrator

这个0,1表示的数组切片,代表前后切片的索引

C:>set cmd=whoami

C:>echo %cmd:~0,1%
w

C:>echo %cmd:~0,4%
whoa

也可以为负数,负数表示从右边开始数第几个

C:>set cmd=whoami

C:>echo %cmd:~-4,4%
oami

C:>echo %cmd:~-6,4%
whoa

当然也能直接向外部写一个php一句话木马

windows&linux中 命令执行的各种绕过方式
image-20240812113353901

检查是否存在

windows&linux中 命令执行的各种绕过方式
image-20240812113248382

for循环执行命令

C:>cmd /V:ON /C "set kpx=awlh2im,xiaoyu&& for %G in (1,3,-3,0,6,5) do set lq=!lq!!kpx:~%G,1!&& if %G==5 !lq:~4!"

C:>set lq=!lq!!kpx:~1,1!  && if 1 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~3,1!  && if 3 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~-3,1!  && if -3 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~0,1!  && if 0 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~6,1!  && if 6 == 5 !lq:~4!

C:>set lq=!lq!!kpx:~5,1!  && if 5 == 5 !lq:~4!
yvadministrator

Linux

linux中是区分大小写的

┌──(root㉿251ebe86465a)-[/]
└─# LS
LS: command not found

┌──(root㉿251ebe86465a)-[/]
└─# Ls
Ls: command not found

运算符;表示连续指令,即使前面那条命令报错,后面也会接着执行

┌──(root㉿251ebe86465a)-[/]
└─# LS;whoami
LS: command not found
root

& 用于后台执行命令,这个可能看不出来

┌──(root㉿251ebe86465a)-[/]
└─# ls&wHoami
[1] 59
archive-key.asc  boot  etc   lib    lib64  mnt  proc  run   srv  tmp  var
bin              dev   home  lib32  media  opt  root  sbin  sys  usr
Command 'Whoami' not found, did you mean:
  command 'whoami' from deb coreutils
Try: apt install <deb name>
[1]+  Done                    ls --color=auto

我们使用ping 127.0.0.1 & whoami,这条命令会将ping放在后台执行,这个时候你没有设置ping的次数,就会一直执行下去,停止不了,而whoami已经执行完毕了。

┌──(root㉿kali)-[/usr/local]
└─# ping 127.0.0.1& whoami
[1] 4508
root

PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=5.80 ms
┌──(root㉿kali)-[/usr/local]
└─# 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.593 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.049 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms
64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.058 ms
64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.045 ms
--------之后将会一直运行下去,也停止不了。。。。

&&连接两个指令的时候,要保证命令两个命令都能正常执行,否则一个错,就执行不了了

┌──(root㉿251ebe86465a)-[/]
└─# ls&&whoami
archive-key.asc  boot  etc   lib    lib64  mnt  proc  run   srv  tmp  var
bin              dev   home  lib32  media  opt  root  sbin  sys  usr
root

┌──(root㉿251ebe86465a)-[/]
└─# LS&&whoami
LS: command not found

|管道符:用于将一个命令的输出作为另一个命令的输入。它允许两个或多个命令之间传递数据。

例如,我获取这个/data路径的下的所有包含boo的文件

┌──(root㉿251ebe86465a)-[/]
└─# ls | grep '*boo*'
boot

||逻辑运算符:如果||左边的命令执行失败(返回非零退出状态),那么||右边的命令将会被执行。执行成功一个命令后,后面的苏哦有命令都不会执行。

┌──(root㉿251ebe86465a)-[/]
└─# ip addr || wHoami || ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
5: eth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

转义字符

┌──(root㉿251ebe86465a)-[/]
└─# whoami
root

''()$,``

┌──(root㉿251ebe86465a)-[/]
└─# who''ami
root

┌──(root㉿251ebe86465a)-[/]
└─# (whoami)
root

┌──(root㉿251ebe86465a)-[/]
└─# (who''ami)
root

┌──(root㉿251ebe86465a)-[/]
└─# `(echo whoami)`
root

┌──(root㉿251ebe86465a)-[/]
└─# $(echo whoami)
root

命令引用

┌──(root㉿kali)-[/data]
└─# t=l;j=s;$t$j             #相当于执行了 ls 
谷歌插件  GitHack  miku

linux特有变量

$1$*$@$n这个n表示除0以外的任意数字,都可以作为系统命令绕过的方式

┌──(root㉿kali)-[/data]
└─# who$2ami
root

┌──(root㉿kali)-[/data]
└─# who$4ami
root

┌──(root㉿kali)-[/data]
└─# who$*ami
root

┌──(root㉿kali)-[/data]
└─# who$@ami
root

┌──(root㉿kali)-[/data]
└─# who$0ami
who-zshami:未找到命令

linux通配符

我们以执行whoami这个命令来进行测试

┌──(root㉿kali)-[/etc/docker]
└─# whereis whoami
whoami: /usr/bin/whoami /usr/share/man/man1/whoami.1.gz

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam*
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam?
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/wh?am?
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/????mi
root

┌──(root㉿kali)-[/etc/docker]
└─# /u?r/b?n/????mi
root

┌──(root㉿kali)-[/etc/docker]
└─# /*/b?n/????mi
root

Linux中命令中的命令

虽然会报错,但是命令也会正常执行

┌──(root㉿kali)-[/etc/docker]
└─# `666666`
666666:未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# 666666`whoami`6666
666666root6666:未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# `6666`whoami`6666`
6666:未找到命令
6666:未找到命令
root

┌──(root㉿kali)-[/etc/docker]
└─# 6666`whoami`6666
6666root6666:未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# w`sfdawfewa`ho`sajfdkljas`am`sdjflk123`i
sfdawfewa:未找到命令
sajfdkljas:未找到命令
sdjflk123:未找到命令
root

┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf}oam${ddkjdld}i
root

┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf242341}oam${ddkjdld234232}i
root

已上仅供参考,更多的还请自行百度了解

往期推荐

【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结

飞雪-网络安全见闻

【内网渗透】免工具,内网、域内信息收集的40种方式总结

PHP反序列化漏洞从入门到深入8k图文介绍,以及phar伪协议的利用

我是如何利用Typora写网络安全技术文章的,公众号格子背景又是如何做到的?

原文始发于微信公众号(泷羽Sec):windows&linux中 命令执行的各种绕过方式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月28日13:43:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   windows&linux中 命令执行的各种绕过方式http://cn-sec.com/archives/3317779.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息