代码审计 | call_user_func 命令执行

最新推荐文章于 2024-09-22 16:11:51 发布
最新推荐文章于 2024-09-22 16:11:51 发布
阅读量777 收藏 1
点赞数
文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/INSBUG/article/details/134870672
版权
文章讨论了在Nginx和PHP环境中,由于对X-Forwarded-For头验证不足导致的IP欺骗漏洞,以及call_user_func函数滥用可能引发的命令执行漏洞。作者提供了漏洞复现方法,并推荐了通过身份验证和参数验证来修复这些问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

示例代码

搭建环境:

nginx(1.24.0)+php(5.6.40)

session_start();

function client_ip(){    return !empty($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR'];}

$ip = client_ip();if(!filter_var($ip, FILTER_VALIDATE_IP) || !in_array($ip, array('localhost', '127.0.0.1'))){    die(htmlspecialchars("Not allowed!\n"));}

if(!isset($_SESSION['auth'])){    header("Location: error.php");}

echo call_user_func($_GET['cmd'], $_GET['arg']);?>

请查看上述代码,找出其中的漏洞。

漏洞位置

if(!filter_var($ip, FILTER_VALIDATE_IP) || !in_array($ip, array('localhost', '127.0.0.1'))){    die(htmlspecialchars("Not allowed!\n"));}echo call_user_func($_GET['cmd'], $_GET['arg']);

漏洞原理

代码验证X-Forwarded-For标头不够严格,攻击者可以伪造X-Forwarded-For:127.0.0.1进行绕过检测。攻击者在$_session['auth']中没有有效的会话,这会自动导致重定向到另一个页面。重定向之后代码会继续向下运行,因而重定向没有任何效果,代码运行到call_user_func(),它允许执行任意的PHP代码或命令。

漏洞复现

Burpsuite抓包,更改请求包中的

X-Forwarded-For:127.0.0.1

提交参数:?cmd=exec&arg=pwd

图片

修复方案

对于

`$_SERVER['HTTP_X_FORWARDED_FOR']`伪造的问题,应该检查`$_SERVER['REMOTE_ADDR']`和`$_SERVER['HTTP_CLIENT_IP']`。然而,这仍然不能保证IP地址的完全准确,因为代理服务器可能会提供这些头部。最安全的做法可能是通过应用程序的登录过程来验证用户的身份,而不是依赖IP地址。

对于call_user_func函数造成的命令执行漏洞,需要对`$_GET['cmd']`和`$_GET['arg']`进行严格的过滤和验证。只允许执行白名单中的命令,并且只允许这些命令接受预定义的参数。对输出可以使用`htmlspecialchars()`函数来转义。

相关知识

call_user_func

call_user_func 是 PHP 中的一个函数,它用于调用由用户定义的回调函数。这个函数可以调用任何可调用的 PHP 对象,包括函数、方法、闭包等。

call_user_func 的语法如下:

call_user_func(callable $callback, ...$args)参数说明:

  • $callback:要调用的回调函数。这是一个必需参数,可以是一个函数名、方法名、闭包等。

  • ...$args:要传递给回调函数的参数列表。这是一个可选参数,你可以根据需要传递任意数量的参数。

call_user_func 函数会调用 $callback 指定的回调函数,并将传递的参数列表作为回调函数的参数。它会返回回调函数执行的结果。

作者:Spider-Man

2023年12月8日 

洞源实验室 

如何使用PHP的call_user_func()和call_user_func_array()函数?
长风破浪会有时的博客
03-23 678
想象一下,现在你不仅仅是一个小厨师,还是一个面包店的老板。想象一下,你现在是一个小厨师,你有很多食谱(也就是函数),但是你不想去一一记住每个食谱的做法(函数的调用方法),这个时候你就可以请一个小助手(有时候,你要调用的函数有很多参数,而且这些参数已经储存在一个数组里面了,这个时候,你就可以使用。是一个很有趣的函数,它可以帮助我们调用其他函数,就像是我们请一个小助手去帮我们做某件事情一样。会把数组中的每个元素作为函数的参数传入,而不是把整个数组作为一个参数。在实际使用中,请根据你的需求来调整代码。
代码审计之ThinkPHP 5.0-5.0.23RCE
m0_63581584的博客
11-23 706
2.2,回到app->run方法中。调用call_user_func(),造成RCE。2.1 第一步造成变量覆盖。进入App-run()方法。这里debug开启,即进入。2.开始进行RCE分析。
vulhub中ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞复现
yougexiaojiuguan的博客
03-06 327
漏洞复现的记录
call_user_func
weixin_30535167的博客
09-06 235
UCenter源代码里有一个函数call_user_func,开始以为是自己定义的函数,结果到处都找不到。后来才知道call_user_func是PHP的内置函数,该函数允许用户调用直接写的函数并传入一定的参数,下面总结下这个函数的使用方法。 call_user_func函数类似于一种特别的调用函数的方法,使用方法如下: <?php...
PHP-代码执行函数-命令执行函数
weixin_47112073的博客
10-21 6735
简单写一下代码执行函数与命令执行函数有哪些,并且说说他们的不同
call_user_func的用法和意义
weixin_42362496的博客
09-06 733
比如现在有个需求,有一组字符串需要不同的加密方式来加密 1年前的我会这么写 <?php my_encrypt("md5","123456"); public function my_encrypt($type,$str){ switch ($type){ case "md5": return md5($str); ...
[ctf web]web题中php经常遇到的函数
ShenZ的博客
07-24 1309
函数 substr call_user_func 把第一个参数作为回调函数调用 版本 说明 5.3.0 对面向对象里面的关键字的解析有所增强。在此之前,使用两个冒号来连接一个类和里面的一个方法,把它作为参数来作为回调函数的话,将会发出一个**E_STRICT**的警告,因为这个传入的参数被视为静态方法。 用call_user_func()来调用一个类里面的方法 <?php class myclass { static function say_hello() {
thinkphp5.0系列远程代码执行分析
weixin_44687621的博客
08-12 577
最近实在无事可做,看到大佬在搞框架审计,可以开始跟着学习一下各种框架的rce是如何产生的 thinkphp文件结构 www WEB部署目录(或者子目录) ├─application 应用目录 │ ├─common 公共模块目录(可以更改) │ ├─module_name 模块目录 │ │ ├─config.php 模块配置文件 │ │ ├─common.php 模块函数文件 │ │ ├─controller
代码执行php代码审计1
m0_55772907的博客
04-30 1023
(1)原理 当应用在调用一些能将字符串转换成代码的函数时,没有考虑到用户是否能够控制这个字符串传入一些恶意代码,将造成代码注入漏洞。应用有时候会考虑代码的简洁性,灵活性,会在代码中调用 eval之类的函数。 (2)函数 1)php eval() //把字符串作为PHP代码执行 assert() //检查一个断言是否为 FALSE,可用来执行代码 preg_replace() //执行一个正则表达式的搜索和替换 call_user_func()//把第一个参数作为回调函数调用 cal...
【基础篇】第09篇:PHP代码审计笔记--代码执行漏洞1
08-03
### PHP代码审计笔记——代码执行漏洞详解 #### 一、漏洞背景及成因 在Web应用开发中,尤其是在使用PHP语言构建的应用中,代码执行漏洞是一种常见的安全问题。这类漏洞通常发生在开发人员未能正确处理来自不可信源...
PHP常见的命令执行函数与代码执行函数
dys的博客
06-23 6555
命令执行与代码执行
call_user_func() 函数 用法
weixin_30790841的博客
07-30 245
call_user_func ( callback $function [, mixed $parameter [, mixed $... ]] ) http://justcoding.iteye.com/blog/650843 调用第一个参数所提供的用户自定义的函数。 返回值:返回调用函数的结果,或FALSE。example : Php代码...
代码执行和命令执行
热门推荐
Battery的博客
11-16 13万+
代码执行:未严格过滤用户输入的参数,导致用户可以通过传参在web服务器上执行恶意代码。可变函数:一个变量名后面如果有圆括号,php将寻找与变量值同名的函数并尝试执行。
【RCE】call_user_func($a,$b)($c);php中call_user_func有三个参数的使用方法;array_pop()解决
Lhy1963245411的博客
07-07 357
遇到call_user_func后面有三个参数,普通的system(ls)无法执行。这时候需要使用array_pop()函数来让数组中最后一个元素出栈,让其变成命令。入下题:b通过get方法,获取所有get方式的结果并且写进一个数组中,接着在call_user_func处又将b作为参数。
PHP常见的命令执行函数与代码执行函数_php命令执行函数
最新发布
2401_87298823的博客
09-22 1599
更多的信息请查看您系统的 execve(2)手册。这个数组是 key => value 格式的,key 代表要传递的环境变量的名称,value 代表该环境变量值。使用用户自定义的比较函数对数组排序,并保持索引关联(不为元素分配新的键)。这里用的是POST型传参 POST型传参通过request body 传参 而GET型传参把参数包含在url中。该函数也可以将字符串当作OS命令来执行,但是该函数返回的是文件指针而非命令执行结果。并且他的输出需要自己打印。是一个要传递给程序的参数的字符串数组。
细说——命令执行_代码执行
LainWith的博客
10-11 3591
目录原理命令执行漏洞原理代码执行漏洞原理命令执行与代码执行漏洞区别命令执行&代码执行漏洞危害命令执行无回显代码执行函数1- eval()2- assert()-最好不要加上分号作为结尾3- call_user_func()4- create_function()5- array_map()6- call_user_func_array()7- array_filter()8- uasort()函数9- preg_replace()命令执行函数1- system()2-passthru()3- exe
关于PHP的call_user_func的分析
jackyvan的专栏
09-16 2760
分别下载了php5.2.10和5.3.0版本的源码,查找到里面call_user_function(在ext/standard/basic_functions.c)的方法。在5.2.10版本里,call_user_function用的是标准的php 函数的写法,用zval类型来存储接收的参数,调用call_user_function_ex来执行用户的方法。如果调用不成功则分析是不是接收到的参数
PHP代码审计:理解代码执行漏洞与常见函数风险
user_func()`, `call_user_func_array()`, `create_function()`,以及数组操作函数如`array_map()`, `array_filter()`, `usort()`, `uasort()`,当它们接受用户输入作为参数时,也可能导致代码执行漏洞。例如,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值