阅读代码
/remote_agent.php

目标输出为 $output

output来自 exec_poll_php函数的返回

而且还要通过prepare_validate_result校验

/lib/poller.php

exec_poll_php 复用了 proc_open的句柄

之前已经读取了一行字符串 所以将我们的输出放在标准输出第二行就可以被读入返回值中

prepare_validate_result 函数 格式有十进制数字 和十六进制空格分割的字符串

综上可以构造一个命令行

|echo "test\r\n`id | xxd -p -c 1|awk '{printf \"%s \", $0}'`";

成功读取返回