首先说明，我水平不高，这是我在学习代码审计过程中写的记录笔记，难免有不正之处，还望指出。
Windows 10
php7.2.10 + apache

DVWA代码审计

命令执行

low

 <?php
if (isset($_POST['Submit'])) {
    $target = $_REQUEST['ip'];
    if (stristr(php_uname('s'),'Windows NT')) {
        $cmd = shell_exec('ping '.$target);
    }else{
        $cmd = shell_exec('ping -c 4 '.$target);
    }
    echo "<pre>{$cmd}</pre>";
}
  ?>

1、首先使用预定义变量$_POST[]来接收从form表单中传来的数据，使用isset()判断该值是否传入。
2、将接受数据中的ip的值赋给变量target。
3、进行主机系统判断，使用php_uname()获取服务器操作系统信息，win10系统中php_uname('s')返回的是Windows NT 。
4、stristr(a,b,c)函数搜索字符串b在另一字符串a中的第一次出现，并返回字符串剩余部分，且不区分大小写。如果不存在返回空，c的值为true或false，默认false，true返回字符串之前部分。
5、通过if进行判断是否为空后，使用shell_exec()执行并将所有输出流作为字符串返回。注意ping后面有空格。
6、通过分析可以看到，此执行过程无任何过滤。

media

 <?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];
    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );
    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}
?> 

1、在将ip的值赋给变量target后，定义了一个数组substitutions，该数组的功能是将&&和;替换为空。
2、使用字符串替换函数str_replace(a,b,c)，将c中的a替换为b。
3、array_keys($subtitutions)，返回的是数组的key，&&和;。
4、将target变量中的&&或;替换为空并重新赋值。
5、就是说中难度过滤了&&和;。

high

//其他内容跟中难度都一样，只是丰富了替换数组
$substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    ); 

impose

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );
    // Split the IP into 4 octects
    $octet = explode( ".", $target );
    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }
        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?> 

1、使用checkToken()验证index.php页面的token，防止csrf。
2、stripslashes()函数删除由addslashes()添加的反斜杠。
3、explode()函数，将target字符串以'.'为分隔符打散为数组，因为正确的ip地址是以'.'为分隔符。
4、下面通过if判断，数组前4个是否是数字，是，再将前4个以'.'进行拼接；否，则输出用户输入有误。
5、generateSessionToken();用来生成token。
6、像最后这一种通过是不会存在命令注入的。因为它限制用户必须输入满足判定条件格式的内容，而满足该格式的只有IP地址。至于输入的ip地址范围不正确，那就不是该程序处理的事了。