命令执行定义

• 基本定义：命令执行漏洞是指攻击者可以随意执行系统命令，分为远程命令执行（远程代码执行）和系统类命令执行。
• 原理：程序应用时有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen，当用户能控制这些函数的参数时，就可以将恶意系统命令，拼接到正常的命令中，从而造成命令执行攻击。

命令执行条件

• 用户能够控制函数输入
• 存在可以执行代码或者系统命令的危险函数

命令执行成因

• 由于开发人员再编写源码的时候，没有针对代码中的可执行的特殊函数入口做过滤，导致客户端可以提交恶意构造语句，并且提交服务端执行。
• 命令注入攻击时，Web服务器没有过滤类似System，eval和exec等函数，是漏洞攻击成功的主要原因。

命令执行漏洞带来的危害

• 继承Web服务程序的权限去执行系统命令（任意代码）或者读写文件
• 反弹Shell
• 控制整个网站甚至整个服务器
• 进一步内网渗透

远程命令执行漏洞相关函数

assert()

说明：检查断言是否为false
assert(mixed $assertion, Throwable $exception = ?): bool
传统断言（PHP5和7）
**如果 assertion 是字符串，它将会被 assert() 当做 PHP 代码来执行。**如果传入了 boolean 的条件作为 assertion，这个条件将不会显示为断言函数的参数；在调用你定义的 assert_options() 处理函数时，条件会转换为字符串，而布尔值 false 会被转换成空字符串。
断言这个功能应该只被用来调试。应该用于完整性检查时测试条件是否始终应该为 true，来指示某些程序错误，或者检查具体功能的存在（类似扩展函数或特定的系统限制和功能）。


简单说就是assert后面跟着字符串，那就当作php代码进行处理了。

preg_replace()

preg_replace — 执行一个正则表达式的搜索和替换

preg_replace(
    string|array $pattern,
    string|array $replacement,
    string|array $subject,
    int $limit = -1,
    int &$count = null
): string|array|null

搜索 subject 中匹配 pattern 的部分，以 replacement 进行替换。
preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [,int $limit = -1 [,int $count]]):mixed其中pattern是要搜索的模式。可以是一个字符串或字符串数组。当pattern存在一个“/e”修饰符时，$replacement的值会被当成php代码来执行。
现在解释一下这个函数的具体使用方法：
简化一下模型：preg_replace（O，A，HELLOWORLD），就是把第三个参数的中的O替换成A。

代码中第一个参数中的“.”代表任意字符，“*”代表任意次数，两个连接起来就代表任意字符串。

就是因为加了一个/e，这个时候就会把第二参数当作php函数进行执行。

call_user_func()

call_user_func — 把第一个参数作为回调函数调用
call_user_func(callable $callback,mixed...$args): mixed

$a($b)可变函数

<?php
if(isset( $_GET['a' ])&isset($_GET['b'])){
    @$a = $_GET['a'];
    @$b = $_GET['b' ];
    @$a($b);//函数，可变函数
    //$a就是函数的名
    //$b就是函数的值
    //?a=assert&b=phpinfo()
    //assert(phpinfo());
else{
    echo "Please input a&b";
?>

就是前面的作为函数名，后面的参数作为函数的参数。

远程命令执行漏洞的利用

?a=@eval(KaTeX parse error: Expected group after '_' at position 28: …一句话木马 ?a=print(_̲__FILE_)；获取当前绝对…_POST[1],$_POST[2])); 1=shell.php&2=<?phpphpinfo()?>写shell

*************************************************************************************************************************************************************远程命令执行我们提供的字符串是php代码，而系统命令执行提供的字符串时系统命令

---

系统命令执行漏洞相关函数

• system()
• exec()
• shell_exec()
• passthru()
• popen()
• 反问号

system()

exec()

(PHP 4, PHP 5, PHP 7, PHP 8)

exec — Execute an external program

Description :
exec(string KaTeX parse error: Expected 'EOF', got '&' at position 16: command, array &̲output = null, int &$result_code = null): string|false
exec() executes the given command.

shell_exec()

Description:
shell_exec(string $command): string|false|null
参数就是要执行的命令。

passthru（）

passthru ( string $command[,ints$return_var ] ) : void

同exec()函数类似，passthru()函数也是用来执行外部命令(command)的。当所执行的Unix命令输出二进制数据，并且需要直接传送到浏览器的时候，需要用此函数来替代 exec()或 system()函数。常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。通过设置Content-type为image/gif，然后调用pbmplus程序输出 gif 文件，就可以从 PHP脚本中直接输出图像到浏览器。
参数：
command：要执行的命令。
return_var：如果提供return_var参数，Unix命令的返回状态会被记录到此参数。

popen（）

popen ( string $command , string $mode ) : resource
打开一个指向进程的管道，该进程由派生给定的command命令执行而产生。
参数
command：命令。
mode：模式。

<?php
if(isset($_GET['a'])){
    popen( "whoami >>1.txt" , 'r');
}else{
    echo "Please input a";
}
?>

看一下代码中的大于号：
“>:覆盖”
“>>：追加”