php代码审计_php代码审计中的代码执行

最新推荐文章于 2023-12-11 18:13:53 发布
最新推荐文章于 2023-12-11 18:13:53 发布
阅读量223 收藏
点赞数
文章标签: php代码审计 php代码审计工具 wordpress php执行短代码 回调函数没有执行要怎么查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39869043/article/details/111289459
版权

继续转发我的csdn.......

文章目录

0x00  闲扯

0x01  代码执行和命令执行的区别

0x02  eval/assert

0x03  回调函数

0x04  可变函数

0x05  preg_replace的/e模式

0x06  双引号导致代码执行

0x07  修复方案

闲扯

菜鸡的我被拒绝了,有点悲丧,努力吧。这些内容是看视频学的,有些点还比较有用,尤其是preg_replace那里,经常遇到了但是利用不了。

代码执行和命令执行的区别

代码执行是执行脚本代码,执行的是phpinfo();命令执行是执行系统命令,执行的是systeminfo。但是我们也可以通过代码执行调用system()函数,来达到命令执行的效果,所以有时候就搞不清两者的区别。

eval/assert

这两个函数都可以将字符串转换为代码执行:

eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,**且必须以分号结尾**。
PHP 5bool assert ( mixed $assertion [, string $description ] )PHP 7bool assert ( mixed $assertion [, Throwable $exception ] )如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。

本地测试eval:6a1173da560f5d513499dd8faf3d49d4.pngf743faf5b2ee0b6a4198a7b1fbc70114.png
换成assert也是可以的:4c5507f844503dfc36cb6c4e3ab954ff.png021f7849db0d210f5ab646ba83f7c648.png
代码执行导致的命令执行:5192e7d577def548e37a54c6964bf12f.png

回调函数

一般就是:call_user_func()、call_user_func_array()、array_map()、usort(),回调函数的意思就是代表他们可以调用其他函数,比如eval和assert。
审计的时候发现,一般我们传入的函数都有白名单限制的,很难受。

解释:
拿call_user_func()来说,我们在第一个参数处传入要执行的函数名,后面的参数都是我们指定函数所需要的参数。我们传入assert就可以代码执行了。

例子:

https://blog.csdn.net/qq_43622442/article/details/105689178

本地测试assert:(这里又和php版本有关系了,php5可行,但是php7不可行,我的理解是这样:assert在php7里面,不能通过可变函数的方式进行调用,不然会报错,而我在该实验中使用php7版本的时候,也出现了同样的报错,所以我认为也是一样的原因,写免杀马的时候注意。)9e4fdb6dfe97280e8ef016966c1551ba.png0e70c82fb0f52ae6ec6104af9d404d7f.png
(这里不能使用eval函数,查官方文档才找到原因:https://www.php.net/manual/zh/language.types.callable.php)e5f67e126be962efaadce8ce111ba2a6.png

phpinfo也是函数,所以也可以放在第一个参数位置:

115df5ef40947d99c11cdd4fa3f515d2.png

可变函数

解释:
可以通过把函数名赋值给变量,然后用变量来调用函数的功能。43f1968d977f84bacb62f95b6210ccf9.png

本地测试assert:(依然是只能php5,不能php7)ce4575844a24bee157692d2ff4868ae3.pnge8a7b008b646d1c2c104fb3dc6f54f20.png
(这里又不能使用eval函数,再去看官方文档,https://www.php.net/manual/zh/functions.variable-functions.php)80ec5890d0bb4eee0fe115fc1bb96f15.png
没看到有提eval,但是也举例了几个不能用的,所以猜测eval应该也在这个列表里。

preg_replace的/e模式

解释: PHP小于5.5的版本中,$pattern 存在 /e 模式修正符,允许代码执行。它的第二个参数位置就填我们要执行的代码。

例子:

https://blog.csdn.net/qq_43622442/article/details/106018883

本地测试:

1.可控点在第三个参数:6a4432322b5c428854f8090cff58da93.png
代码解释:
.* 是表示匹配除换行符等以外的字符,加上括号是表示取出这部分内容,\\1 是代表第一个()里的缓冲区内容,这里就是匹配出了phpinfo();0e12cd0bc0466a64a37db40600b95cdf.png
2.可控点在第二个参数:(那就直接输入payload执行了)b639b8293a8327c922bac7be3d250527.png466ad324b82d425b433dd991dac1ac05.png
3.可控点在第一个参数:
这里又要用到双引号的特性了,这个点在下面会说:40d275ccd1c997a34ef7e36ea27a2377.pngcc48bbd3eda0ecfab43570e6cfa2a17e.png
发现使用单引号包围第一个参数的话失败,下面用双引号尝试成功:e8eb2431b30a3c25d1f02d36af053024.pngbe7a7807a43e5d4d87b0fe0a8394c2a3.png

双引号导致代码执行

在php中,双引号里面如果包含有变量,php解释器会进行解析;单引号中的变量不会被处理。再结合可变变量的特性,在"${xxx}"里的xxx代码就会被执行,具体看下面的例子。这个特性单用比较鸡肋,原因下面会说。

例子:

https://blog.csdn.net/qq_43622442/article/details/106018883
https://blog.csdn.net/qq_43622442/article/details/106592281

我们可以看到,直接在双引号内输入payload会成功:310e5f45b2ccd7e215b17b7eca5b3846.png522a511a83e98deab4af68afe35f3c39.png
但是我们改成传参却不行了:d38ff7982c4f7508abaa9f2dcc4bf6ab.png54e435bf9bcb92c92b56a60305e6cecc.png
我们尝试直接在本地赋值,发现也不行:c54794f2c73ee5dad2990a0c63311aaf.png33e3ade2fa174f31ccdbc29ac3edaa3f.png
但是我们不给payload加引号包裹能成功:496a9412ef9ccb86a26d62215572642b.png
那么失败的原因就是,我们传参进入的变成了字符串,导致不能执行。

因为没找到官方文档解释,我的猜测理解是这样的,php遇到双引号内有变量的时候,就会进行解析,所以先解析了$_GET或者$a,但是这个时候双引号被用掉了,内层的payload没办法被解析了,就代表只有phpinfo()这个字符串,但是没有被当成代码解析。这只是我的猜测,所以这个双引号的特性会配合preg_replace的/e模式一起使用。

修复方案

尽量不要执行外部传入的参数
safe_mode_exec_dir
disable_function
过滤所有输入

原文链接:

https://blog.csdn.net/qq_43622442/article/details/106576700

weixin_39869043
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php代码审计-代码执行.pdf
12-14
代码审计PHP 代码执行机制的一种安全机制,用于检代码的安全性。代码审计可以检代码是否存在安全漏洞,例如 eval() 函数、assert() 函数、preg_replace() 函数等。 例如,我们可以使用以下方式来检...
LAMP安全审计之PHP代码审计_paper.rar
06-03
LAMP安全审计之PHP代码审计_paper.rar
php入门写法PHP入门基础之php代码写法
成功路上的奋青者
12-20 2408
is_int()的基本使用。类似的函数有:is_float()、is_double()、is_string()、is_bool()、is_array()、is_null()、is_long()、is_object()、is_resource()、is_numeric()、is_real()等。类似的函数为:floatval()、strval()PHP是动态语言,是一种非常弱的类型语言,在程序运行时,可以动态的改变变量的类型。使用settype()函数进行类型转换,返回值1表示成功,空表示失败。
代码审计 PHP代码理解.
网络安全领域___专研者.
03-21 4098
PHP语言的 概括: (1)PHP 是可以创建动态交互性站点的强有力的服务器端的脚本语言。 (2)PHP可以做很多东西,特别是web网站开发,也可以使用的非常广泛。能够快速,灵活,实用使得PHP语言可以更好的开发任何网站。 (3)PHP 是一种 HTML 嵌入式的脚本语言。php文件以.php结尾。PHP语言的很多语法来自 C,Java 和 Perl,并具有几个 PHP 独有的特点。PHP语言的主要目标是让 Web 开发程序员可以快速的书写动态生成的网页。
PHP学习笔记
Damys
08-14 3735
//语法错误(syntax error)在语法分析阶段,源代码并未被执行,故不会有任何输出。 /* 【命名规则】 */ 常量名 类常量建议全大写,单词间用下划线分隔 // MIN_WIDTH 变量名建议用下划线方式分隔 // $var_name 函数名建议用驼峰命名法 // varName 定界符建议全大写
PhP常用代码
wangjian0310的专栏
06-06 854
PHP常用代码 1、连接MYSQL数据库代码 $connec=mysql_connect("localhost","root","root") or die("不能连接数据库服务器: ".mysql_error()); mysql_select_db("liuyanben",$connec) or die ("不能选择数据库: ".mysql_error()); mysql_query
如何编写PHP代码
2301_78316833的博客
06-04 375
答:你可以使用HTML的“form”标签来发送数据到PHP代码。在PHP脚本,你可以使用“$_POST”数组来访问提交的数据。在可能的情况下,使用恒定的速度更快的函数,如 str_replace() 和 strlen(),而不是 slower_replace() 和 slower_strlen() 这样的自定义函数。在服务器端使用 mod_php 或 FastCGI 这样的 CGI 执行方式,以减少 PHP 的开销。重要的是要记住,优化是一个持续的过程,需要不断地学习和改进。
PHP代码审计文档.zip
11-02
第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课...
信息安全_PHP代码审计.PHP基础.pptx
08-14
PHP代码审计与语言基础详解》 PHP是一种广泛应用于Web开发的服务器端脚本语言,以其易学易用和灵活性而受到青睐。然而,随着Web应用程序的复杂度不断提升,安全问题日益凸显,PHP代码审计变得至关重要。本文将...
PHP命令执行集锦
蚁景网安学院
03-21 2353
代码审计总要遇到命令执行或者说RCE,打CTF的过程难免不会碰见,毕竟PHP是世界上最好的语言,总结一下...
如何编写编写干净的 PHP 代码(值得收藏!反复拜读)
最新发布
heshihu2019的博客
12-11 283
clean code php
php简单代码大全,征集常用的PHP简单代码
weixin_39908948的博客
04-04 1023
收集常用的PHP简单代码对于日常工作整理出来的某些功能做个简单梳理:?1. 链生成算法function code62($x) {$show = '';while($x > 0) {$s = $x % 62;if ($s > 35) {$s = chr($s+61);} elseif ($s > 9 && $s <=35) {$s = chr($s + 5...
运行php代码的几种方式
彭世瑜的博客
10-23 4070
1、运行php文件 demo.php <?php echo 'hello php' . PHP_EOL; 运行,-f 参数可省略 $ php -f demo.php hello php $ php demo.php hello php 2、执行php代码片段 $ php -r "echo 'hello php' . PHP_EOL;" hello php 3、运行php shell...
PHP代码
Slowtao的专栏
12-17 474
name=$name; $this->type=$type; } function vod() { return $this->name.$this->type."看电影 "; } function game() { return $this->vod()."玩游戏 "; } function intelnet() { return $this->game()."上网"; } function __destruct() //析构函数 垃圾回收 { echo " ===$this->name=== ";
php代码审计的函数,代码审计-代码执行函数总结
weixin_36327991的博客
03-28 292
本篇涉及函数:eval()、assert()、preg_repace()、create_function()、array_map()、call_user_func()、call_user_func_array(),array_filter,usort,uasort()背景:最近研究PHP的一些危险函数,先写下代码执行函数的归纳,主要是参考自官方手册的解读,并附上了一些dogBypass的一句话,为...
PHP代码审计-常见危险函数
灰蜗牛
09-20 6891
PHP代码执行函数eval & assert & preg_replace 包含函数:require、include、require_once、include_once 命令执行函数:exec、system、passthru、proc_open、shell_exec、system 文件操作函数:file、copy、file_get_contents、file_put_contents、fopen等 特殊函数
PHP代码审计入门笔记合集(共20篇)
热门推荐
11-20 4万+
早安,我的朋友们。今天是11月20号,离2021年只41天了,今年你的小目标完成了吗?跟大家分享件事情,其实这几个月来,我一直在准备一场考试,值得高兴的是,就在前两天终于顺利通过CISS...
PHP代码审计10—命令执行漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-04 1792
php命令执行基础与CTF例题分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值