命令执行小记

命令执行

用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下
就执行命令，可能会允许使用者通过改变 SPATH或程序执行环境的其他方面来执行一个恶意构造的代码

命令执行与代码执行区别
1. 命令执行漏洞：直接操作系统命令
2. 代码执行漏洞：靠执行脚本代码调用系统命令

命令执行（相关函数）

参考文档：PHP: 程序执行函数 - Manual

System函数

string system( string command int& return_Var) # system-执行外部程序，并且显示输出

参数：
command:要执行的命令
return_var:如果提供return_var参数，则外部命令执行后的返回状态将会被设置到此变量中

返回值：成功则返回命令输出的最后一行，失败则返回 FALSE

Exec函数

exec(string $command, array &$output = ?, int &$return_var = ?): string#exec() 执行 command 参数所指定的命令。

参数
command
要执行的命令。
output
如果提供了 output 参数， 那么会用命令执行的输出填充此数组， 每行输出填充数组中的一个元素。 数组中的数据不包含行尾的空白字符，例如 \n 字符。 请注意，如果数组中已经包含了部分元素，exec() 函数会在数组末尾追加内容。如果你不想在数组末尾进行追加， 请在传入 exec() 函数之前 对数组使用 unset() 函数进行重置。
return_var
如果同时提供 output 和 return_var 参数， 命令执行后的返回状态会被写入到此变量。
返回值
命令执行结果的最后一行内容。 
如果想要获取命令的输出内容， 请确保使用 output 参数。

shell_exec函数

shell_exec(string $cmd): string #shell_exec — 通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回。

参数:$cmd 要执行的命令。

返回值
命令执行的输出。 如果执行过程中发生错误或者进程不产生输出，则返回 null。

passthru函数

passthru(string $command, int &$return_var = ?): void #passthru - 执行外部程序并且显示原始输出
参数
command要执行的命令。
return_var 如果提供 return_var 参数， Unix 命令的返回状态会被记录到此参数。

返回值：没有返回值。

反引号``

与shell_exec功能相同，执行shell命令并返回输出的字符串

<?php
	highlight_file(__FILE__);
	$cmd = $_GET['cmd'];
	$output=`$cmd`;
	echo $output;
?>

防御函数

1.escapeshellarg
(PHP 4 >= 4.0.3, PHP 5, PHP 7, PHP 8)

escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数

说明
escapeshellarg(string $arg): string
escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号，这样以确保能够直接将一个字符串传入 shell 函数，并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符 。

2.escapeshellcmd
(PHP 4, PHP 5, PHP 7, PHP 8)

escapeshellcmd — shell 元字符转义

说明
escapeshellcmd(string $command): string
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数，或者 执行操作符 之前进行转义。

反斜线（\）会在以下字符之前插入： &#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 ' 和 " 仅在不配对儿的时候被转义。 在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。

3.在PHP中禁止disable_functions(禁用一些危险函数)

4.参数值尽量使用引用号包裹，并在拼接前调用adds