一、引言

我是渗透工程师->很多小伙伴在做攻防实战时发现有时在命令执行的payload中穿插单双引号命令也能执行成功，有时却又不行。那么到底在什么条件下用什么样的方式能实现对命令的切分呢？其中的原理又是如何？有没有其他绕过方式？本篇文章将详细探讨此类问题。

我是安全研究员->对防护侧而言，针对命令执行的拦截一直是老大难问题。这里我们还是首推终端上的解决方案，通过在终端上去hook危险命令的方式是目前最有效的拦截方案。但很多时候我们不具备这种条件不得不采用流量监测的方式去拦截危险操作，这时我们就需要深入了解其中的原理以便更精准的定位和拦截了。

二、关键字

2.1 关键字 '

windows：

' 在windows里无任何特殊意义，仅代表单引号字符本身

linux：

' 在linux里表示字符串拼接，字符串拼接的主要是为了应对空格本身对命令的分割。运用这个特性我们可以将命令进行“拆分”，从而绕过关键字检测，注意'必须成双成对的出现(偶数个)。

以下命令均等效于whoami:

'whoam'iw'h'oamiwh''oami /*连续两个单引号并不是双引号*/w''h''oa'm'i

使用奇数个'会使命令进入交互式shell导致无法执行成功：

2.2 关键字 "

windows：

" 在windows里表示字符串拼接，主要也是为了应对空格本身对命令的分割，但有趣的是在windows下的拼接符并没有linux下使用那么严格，我们可以用一个例子来说明，访问C:\Program Files\WinRAR\WinRAR.exe

直接访问肯定报错(由于没有加引号，命令被空格分割了)：

加上双引号后问题解决：

事实上我们可以用双引号这样分割，也能正常访问：

C:\Progr"am F"iles\WinRAR\WinRAR.exe

对应到我们的实际应用中来，windows下的双引号在命令执行时都会被直接忽略掉，并且在不引入空格的条件下，无论个数如何都不影响：

以下命令均等效于whoami：

who"amiwh"o"amiwho""ami

linux：

linux下双引号和单引号是一个效果，但是双引号依旧只能以偶数个出现：

2.3 关键字 \

windows:

\ 在windows里无任何特殊意义，仅代表反斜线字符本身

linux:

\ 在linux里表示转义符，利用这个特性可以切割任何命令。因为代表的是转义符，因此奇数个或者偶数个自然无所谓（只要不连续出现）

以下命令均等效于whoami:

who\ami

wh\o\ami

2.4 关键字 ^

windows:

^ 在windows里表示转义符，利用这个特性可以切割任何命令。因为代表的是转义符，因此奇数个或者偶数个自然无所谓（只要不连续出现）

以下命令均等效于whoami：

w^hoami

w^h^oami

linux:

^ 在linux里无任何意义，仅代表^字符本身

2.5 关键字 ` 与b=ho;c=ami;$a$b$c

3.2 字符串拼接（windows）

set a=who 前面和后面命令都要执行，无论前面真假

| 直接执行后面的语句

|| 如果前面命令是错的那么就执行后面的语句，否则只执行前面的语句

这样的字符规则写不好很容易产生误报。

五、关于空格

有些时候我们会遇到在命令中无法穿插空格的场景，以下字符可以代替空格使用（仅限linux）：

$IFS$1~9

${IFS}

{command, parameter}