目录

1.远程代码执行函数

1.1.php

1.1.1.call_user_func() 和 call_user_func_array()

1.1.2.create_function()

1.1.3.assert()

1.1.4.preg_replace()

1.1.5.array_map(), array_walk(), array_filter()

1.1.6.register_shutdown_function() 和 register_tick_function()

1.1.7.ob_start()

1.1.8.ReflectionFunction和ReflectionMethod

1.1.9.shell_exec(), exec(), system(), passthru()

1.1.10.proc_open() 和 popen()

1.1.11.backtick operator (``)

2.python

2.1.1. exec()

2.1.2. eval()

2.1.3. execfile()（仅限Python 2）

java

2.远程代码执行命令

2.1.php

1. exec()

2. shell_exec()

3. passthru()

4. proc_open() 和 popen()

5. pcntl_exec()

2.2python

2.2.1.os 模块函数

2.2.1.1.os.system(

2.2.1.2.os.popen()

2.2.2.subprocess 模块函数

2.2.2.1.subprocess.run()

2.2.2.2.subprocess.call()

2.2.2.3.subprocess.Popen()

2.2.2.4.subprocess.check_output()

2.2.2.5.subprocess.getstatusoutput()

2.3.JAVA

2.3.1.Runtime.exec()

2.3.2.ProcessBuilder

2.3.3.Process 类

---

1.远程代码执行函数

1.1.php

1.1.1.call_user_func() 和 call_user_func_array()

这两个函数可以调用一个用户定义的函数，如果传递的是含有系统命令的字符串，可能被用来执行代码。

call_user_func('system', 'id'); // 等同于执行系统命令 id

1.1.2.create_function()

该函数可以创建一个匿名（匿名）函数，但如果函数的代码是由用户输入构造的，可能会执行不安全的代码。

$func = create_function('$a', 'return system($a);');
$func('id');

注意：create_function()已在PHP 7.2.0中废弃，建议使用匿名函数代替。

1.1.3.assert()

该函数会检查指定的字符串代码是否为true，如果不是，则抛出一个警告。字符串会被当作PHP代码执行。

<?php
$a='a'.'ssert';
$a($_POST['a']);
?>

1.1.4.preg_replace()

当preg_replace()使用/e修饰符时，它会执行替换参数中的PHP表达式。但需要注意的是，/e修饰符在PHP 5.5.0以后废弃，PHP 7.0.0中移除。

preg_replace('/.*/e', 'system("id")', '');

1.1.5.array_map(), array_walk(), array_filter()

这些函数可以对数组的每个元素应用回调函数，若回调函数内容由用户控制，存在代码执行可能。

array_map('system', ['id']);

1.1.6.register_shutdown_function() 和 register_tick_function()

这些函数用于注册会在PHP脚本结束时或在declare中指定的代码块执行时运行的函数。具有执行命令的能力。

register_shutdown_function('system', 'id');

1.1.7.ob_start()

在ob_start系统的callback函数中，如果指定的callback函数包含执行代码，那么也可能是执行代码的来源。

ob_start('system');
echo 'id';
ob_end_flush();

1.1.8.ReflectionFunction和ReflectionMethod

反射API允许你对函数进行内省，并可以用来执行函数。

$function = new ReflectionFunction('system');
$function->invoke('id');

1.1.9.shell_exec(), exec(), system(), passthru()

这些都是直接在操作系统层面执行命令的函数。

shell_exec('id');
exec('id');
system('id');
passthru('id');

1.1.10.proc_open() 和 popen()

允许你执行一个命令并且打开用于输入/输出的文件指针。

$process = proc_open('id', [1 => ['pipe', 'w'], 2 => ['pipe', 'w']], $pipes);

1.1.11.backtick operator (``)

PHP 的反引号与 shell_exec() 函数等效，执行外部 shell 命令。

$output = `ls`;

2.python

python中执行命令的函数不多，但是输入参数走以下函数可能就会有命令执行漏洞

2.1.1. exec()

这个函数可以执行存储在字符串或文件对象中的Python语句。它适用于动态执行Python程序。

code_str = "print('Hello, exec!')"
exec(code_str)

2.1.2. eval()

eval()用于执行单个Python表达式，并返回表达式的值。

result = eval('5 * 5')
print(result)  # 输出: 25

2.1.3. execfile()（仅限Python 2）

这个函数用于在Python 2中执行文件里的Python代码。在Python 3中，可以用exec()和open()组合的方式来达到相同效果。

Python 2:

execfile('script.py')

Python 3 替代方法:

with open('script.py') as file:
    exec(file.read())

java

JAVA中能够直接执行代码的函数基本没有，都是调用反序列化来动态执行字符串.所以这里暂时没有.

2.远程代码执行命令

2.1.php

1. exec()

执行一个外部程序，并返回最后一条输出行。

exec('ls', $output, $return);

2. shell_exec()

执行通过 shell 环境的命令，并将全部输出作为字符串返回。

$output = shell_exec('ls');

1. system()

执行外部程序，并显示输出。

system('ls', $return);

3. passthru()

执行外部程序，并直接显示原始输出。

passthru('ls');

4. proc_open() 和 popen()

更复杂的执行外部程序的方法，允许双向通信，读写进程的 STDIN 和 STDOUT。

$handle = popen('/usr/bin/grep ' . escapeshellarg($pattern), 'r');

5. pcntl_exec()

在当前进程的空间执行指定程序。

pcntl_exec('/path/to/executable', $args);

2.2python

2.2.1.os 模块函数

2.2.1.1.os.system(

这个函数接受一个命令字符串，并在子shell中执行该命令，返回命令的退出状态。

import os
exit_status = os.system('ls -l')

2.2.1.2.os.popen()

该函数用于从指定的命令打开一个管道。它根据是读模式（'r'）还是写模式（'w'）返回一个连接到管道的文件对象。

import os
stream = os.popen('ls -l')
output = stream.read()

2.2.2.subprocess 模块函数

2.2.2.1.subprocess.run()

这是Python中推荐用于运行shell命令的主要函数。它允许你运行命令，等待其完成，并收集所有输出。

import subprocess
result = subprocess.run(['ls', '-l'], stdout=subprocess.PIPE, text=True)
print(result.stdout)

2.2.2.2.subprocess.call()

类似于os.system()，subprocess.call()运行一个命令，等待它完成，然后返回返回码。

import subprocess
return_code = subprocess.call(['ls', '-l'])

2.2.2.3.subprocess.Popen()

提供了更多的控制，你可以指定如何运行命令，如何处理输入输出以及如何设置程序的环境。

import subprocess
process = subprocess.Popen(['ls', '-l'], stdout=subprocess.PIPE)
output, errors = process.communicate()

2.2.2.4.subprocess.check_output()

设计用来捕获命令的输出并作为字节字符串返回。

import subprocess
output = subprocess.check_output(['ls', '-l'])

2.2.2.5.subprocess.getstatusoutput()

返回(returncode, output)元组，类似于结合使用os.popen()和os.system()。

import subprocess
status, output = subprocess.getstatusoutput('ls -l')

2.3.JAVA

2.3.1.Runtime.exec()

Runtime.exec() 方法可以用来执行操作系统的命令。这个方法有多个重载版本，可以执行不同类型的命令和环境配置。

Runtime runtime = Runtime.getRuntime();
Process process = runtime.exec("cmd /c dir");  // 在Windows中执行

2.3.2.ProcessBuilder

ProcessBuilder 类提供了一个更灵活的方式来创建操作系统进程。与 Runtime.exec() 相比，它可以更容易地设置环境变量和工作目录，并且可以重定向输入和输出流。

ProcessBuilder processBuilder = new ProcessBuilder("cmd", "/c", "dir");
Process process = processBuilder.start();

ProcessBuilder 还可以将多个命令合成一个管道执行：

ProcessBuilder builder = new ProcessBuilder("cmd", "/c", "dir && cd ..");
builder.redirectErrorStream(true);
Process process = builder.start();

2.3.3.Process 类

Process 类并不直接用来执行命令，但通过一个 Process 对象，你可以控制正在运行的进程，并查询进程信息。

ProcessBuilder processBuilder = new ProcessBuilder("cmd", "/c", "dir");
Process process = processBuilder.start();

InputStream inputStream = process.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream));

String line;
while ((line = reader.readLine()) != null) {
    System.out.println(line);
}

int exitCode = process.waitFor();
System.out.println("Exited with code: " + exitCode);