php代码审计zhuru,php代码审计入门(二)——危险函数篇之代码注入

最新推荐文章于 2022-12-13 18:51:52 发布
最新推荐文章于 2022-12-13 18:51:52 发布
阅读量149 收藏 1
点赞数
文章标签: php代码审计zhuru

本文仅作学习记录,如有侵权,请联系删除!

代码执行:

eval()

将传入的字符串当作 PHP 代码来进行执行

自 PHP 7 开始,执行的代码里如果有一个parse error,eval() 会抛出 ParseError 异常。

在 PHP 7 之前,如果在执行的代码中有 parse error,eval() 返回FALSE,之后的代码将正常执行。无法使用set_error_handler()捕获 eval() 中的解析错误

简而言之:PHP5在代码错误格式错误之后仍会执行,而PHP7在代码发生错误之后,那么eval()函数就会抛出异常,而不执行之后的代码

assert()

检查一个断言是否为 FALSE,它也具有将传入的字符串当作 PHP 代码来进行执行的功能。

语法格式:

# php5

assert( mixed $assertion[, string $description] ) : bool

# php7

assert( mixed $assertion[, Throwable $exception] ) : bool

参数:assertion

在PHP 5 中,是一个用于执行的字符串或者用于测试的布尔值。在PHP 7 中,可以是一个返回任何值的表达式,它将被执行结果用于判断断言是否成功。

参数:description

如果assertion失败了,选项description将会包含在失败信息里。

参数:exception

在PHP 7中,第二个参数可以是一个Throwable对象,而不是一个字符串,如果断言失败且启用了assert.exception,那么该对象将被抛出

$code = "system(whoami)";

assert($code);

?>

preg_replace()

执行一个正则表达式的搜索和替换

语法格式:

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

参数说明:

$pattern: 要搜索的模式,可以是字符串或一个字符串数组。

$replacement: 用于替换的字符串或字符串数组。

$subject: 要搜索替换的目标字符串或字符串数组。

搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换

preg_repace()有一个模式是/e模式,这个模式就会发生代码执行的问题:

/e 修正符使preg_repace()将replacement参数当作PHP代码

$a = $_GET['id'];

preg_replace("/test/e",$a, 'just a test')

?>

4e7257a9f4db

注意:preg_replace()函数在PHP 7 后便不再支持,使用preg_replace_callback()进行替换了,取消了不安全的\e模式。

create_function()

创建一个匿名函数,并返回唯一的函数名称作为字符串或者返回FALSE错误

语法格式:

create_function( string $args, string $code) : string

参数:

$args 声明的函数变量部分

$code 要执行的代码

create_function()函数在内部执行eval()函数,所以我们就可以利用这一点,来执行代码。当然正因为存在安全问题,所以在PHP 7.2 之后的版本中已经废弃了create_function()函数,使用匿名函数来代替。

$newfunc = create_function('$id', 'return system($id);');

$newfunc('whoami');

?>

create_function()函数其他用法补充:

$onefunc = create_function("","die(`type flag.php`);");

$_GET['func_name']();

die();

?>

只需要执行$onefunc就能得到flag,但是我们不知道这个函数的名称。如果在不知道函数名称的情况下执行函数呢?这里就用到了creat_function函数的一个漏洞。这个函数在creat之后会自动生成一个函数名为%00lambda_%d的匿名函数。%d的值是一直递增的,会一直递增到最大长度直到结束。所以这里可以通过多进程或者多线程访问,从而看到flag

本地测试失败

anonymous function(匿名函数)

允许临时创建一个没有指定名称的函数。最经常用作回调函数 callback 参数的值

$anonymousFunc = function($cmd){

system($cmd);

};

$anonymousFunc('whoami');

array_map()

为数组的每个元素应用回调函数

语法格式:

array_map( callable $callback, array $array1[, array $...] ) : array

返回数组,为 array1 每个元素应用 callback函数之后的数组。callback 函数形参的数量和传给array_map() 数组数量,两者必须一样

简而言之:本来有一个数组,我通过array_map函数将该数组当作参数传入,然后返回一个新的数组

$old_array = array(1, 2, 3, 4, 5);

function func($arg){

return $arg * $arg;

}

$new_array = array_map('func',$old_array);

var_dump($new_array);

?>

代码注入利用原理:

通过array_map()这个函数,来调用用户自定义的函数,而用户这里的回调函数其实就是system函数,那么就相当于我们用system函数来对旧数组进行操作,得到新的数组,那么这个新的数组的结果就是我们想要的命令执行的结果了

$func = 'system';

$cmd = 'whoami';

$old_array[0] = $cmd;

$new_array = array_map($func,$old_array);

?>

call_user_func()

把第一个参数作为回调函数调用

语法格式:

call_user_func( callable $callback[, mixed $parameter[, mixed $...]] ) : mixed

callback:即将被调用的回调函数

parameter:传入回调函数的参数

function callback($a){

return system($a);

}

$cmd = 'whoami';

call_user_func('callback',$cmd);

?>

call_user_func_array()

跟函数call_user_func很类似,唯一的区别就在于参数的传递上,这个函数是把一个数组作为回调函数的参数

语法格式:

call_user_func_array( callable $callback, array $param_arr) : mixed

function callback($a){

return system($a);

}

$cmd = array('whoami');

call_user_func_array('callback',$cmd);

?>

array_filter()

用回调函数过滤数数组中的单元

语法格式:

array_filter( array $array[, callable $callback[, int $flag = 0]] ) : array

array:要循环的数组

callback:使用的回调函数。如果没有提供callback函数,将删除array中所有等值为FALSE的条目。

flag:决定callback接收的参数形式

依次将array数组中的每个值传到callback函数。如果callback函数返回true,则array数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。

简而言之:该函数过滤调用的函数,而被过滤的是传入的参数

$cmd='whoami';

$array1=array($cmd);

$func ='system';

array_filter($array1,$func);

?>

usort()

使用用户自定义的比较函数对数组中的值进行排序

usort( array &$array, callable $value_compare_func) : bool

array:输入的数组

cmp_function:在第一个参数小于、等于或大于第二个参数时,该比较函数必须相应地返回一个小于、等于或大于0的数

代码实例:

function func($a,$b){

return ($a

}

$onearray=array(1,3,2,5,9);

usort($onearray, 'func');

print_r($onearray);

?>

执行结果——>

Array

(

[0] => 9

[1] => 5

[2] => 3

[3] => 2

[4] => 1

)

利用代码:

usort(...$_GET);

?>

payload: 1.php?1[0]=0&1[1]=eval($_POST['x'])&2=assert

POST传参: x=phpinfo();

那么$_GET变量中的值,应该是:['$a=0','eval($_POST["x"])'],'assert']

$_GET[0]是usort的第一个参数

$_GET[1]是usort的回调函数名

最后相当于:

适用条件:

php环境>=5.6

4e7257a9f4db

另一种用法,经测试适用于php 5.4

payload: 1.php?1=1+1&2=eval($_POST[x])

POST传参: x=phpinfo();

uasort()

对数组排序并保持索引和单元之间的关联,排完序之后,它原来对应的索引也会相应改变,类似于“绑定”。

语法格式:

uasort( array &$array, callable $value_compare_func) : bool

array:输入的数组

value_compare_func:用户自定义的函数

官方示例:

// Comparison function

function cmp($a, $b) {

if ($a == $b) {

return 0;

}

return ($a < $b) ? -1 : 1;

}

// Array to be sorted

$array = array('a' => 4, 'b' => 8, 'c' => -1, 'd' => -9, 'e' => 2, 'f' => 5, 'g' => 3, 'h' => -4);

print_r($array);

// Sort and print the resulting array

uasort($array, 'cmp');

print

?>

执行结果——>

Array

(

[a] => 4

[b] => 8

[c] => -1

[d] => -9

[e] => 2

[f] => 5

[g] => 3

[h] => -4

)

Array

(

[d] => -9

[h] => -4

[c] => -1

[e] => 2

[g] => 3

[a] => 4

[f] => 5

[b] => 8

)

排完序之后索引也跟着值的位置变化而变化了

$a = $_GET['a'];

$onearray = array('Ameng', $_POST['x']);

uasort($onearray, $a);

?>

payload: 1.php?a=assert

POST: x=phpinfo()

参考如下:

IT扛把子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码注入PHP代码注入漏洞
cc
03-06 6162
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第个参数作为内容写入到第一个参数的文件中。
PHP代码审计----3、代码注入
七天
07-08 651
文章目录代码注入1、eval()函数2、preg_replace+/e()函数3、assert()4、call_user_func()5、call_user_func_array()6、create_function() 代码注入 PHP 可能出现代码注入函数eval()、preg_replace+/e()、assert()、call_user_func()、call_user_func_array()、create_function()等 查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控
php代码审计_php代码审计中的代码执行
weixin_39869043的博客
12-06 226
继续转发我的csdn.......文章目录0x00 闲扯0x01 代码执行和命令执行的区别0x02 eval/assert0x03 回调函数0x04 可变函数0x05 preg_replace的/e模式0x06 双引号导致代码执行0x07 修复方案闲扯菜鸡的我被拒绝了,有点悲丧,努力吧。这些内容是看视频学的,有些点还比较有用,尤其是preg_replace那里,经常遇到了...
PHP代码注入基础
lhix_的博客
11-30 519
PHP代码注入基础漏洞原因相关函数及语句evalassertpreg_replacecall_user_fun动态函数`$a($b)`漏洞应用OS命令注入命令执行的常见函数systemexecshell_execpassthru反引号``漏洞利用 漏洞原因 漏洞原因:程序中有可执行的PHP代码函数或语言结构,传入的参数客户端可以进行控制。 相关函数及语句 eval eval(); 会将字符串当作PHP代码执行。 例: <?php $_str=$_GET['code']; eval($str); ?&
PHP代码/命令注入小结
蚁景网安学院
03-19 859
走过路过,不要错过这个公众号哦!1前记今天在合天实验室看到这样一个实验:题目对萌新还是比较友好的,属于启蒙项,尚未接触过该类问题的同学可以尝试一下,领略一下命令注入的魅力。(点击文末阅读...
zhuru.rar_SQL inject_asp注入_sql 注入_sql注入_zhuru sql
09-14
【SQL注入】是一种常见的网络安全漏洞,它发生在应用程序未能充分验证用户输入的数据,导致恶意SQL代码被拼接到数据库查询中执行。在"zhuru.rar"这个压缩包中,包含了一个用于SQL注入测试的ASP(Active Server Pages...
SQL_zhuru.rar_sql 注入_sql注入
09-24
内容可能包括了使用各种工具(如Burp Suite、sqlmap等)进行自动化SQL注入测试的步骤,以及如何编写安全的SQL代码,如参数化查询、预编译语句和输入验证等防御措施。 SQL注入的危害巨大,可能导致数据泄露、系统...
地方分类信息网站源代码
09-02
标题中的“地方分类信息网站源代码”指的是一个用于构建本地分类信息平台的软件系统,它包含了一组网页源代码,可以被开发者或者站长用来搭建类似于北京信息网这样的信息门户。这些源代码通常涵盖用户交互、信息发布...
zhuru.rar_delphi zhuru
09-21
"zhuru.rar_delphi zhuru"这个压缩包文件显然与Delphi编程中的注入技术有关,这可能是某个初学者的学习项目或者示例代码。让我们深入探讨一下Delphi和注入技术的相关知识点。 首先,Delphi是Borland公司(后来被...
dll注入例子
07-05
DLL注入是一种常见的逆向工程和系统调试技术,它允许一个进程将动态链接库(DLL)加载到另一个进程中,使得DLL中的代码可以在目标进程中执行。在本例中,“dll注入例子”是一个演示如何使用`CreateRemoteThread` API...
php命令注入学习记录
qq_43641094的博客
04-19 209
开头 最近几天,做到了一个关于关于命令注入的题目,奈何太菜,没做出来,于是到网上学习了一下php命令注入,这里只是对于自己学习的一个记录过程,不喜勿喷。 命令注入 命令注入攻击通常是指:用户输入未作严格过滤,导致提交的内容传入某些函数会被当做系统命令执行。 常用函数 eval(),assert(),preg_replace(), create_function(), call_user_func(...
网络靶场实战-PHP代码执行--PNG注入
最新发布
蛇矛实验室
12-13 1234
当服务器可以将图像文件解释为PHP时,例如弱扩展检查、解析漏洞、本地文件包含漏洞、错误配置PHP解析扩展等方式,可以使用这些技术来造成代码执行。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
PHP代码审计与绕过 (SQL 注入)
热门推荐
CSDN
02-07 1万+
有些为了业务需要他会把传入一些编码后的参数再解码带入数据库查询,常见的有base64编码,也有的程序会内置url解码,通常见于框架.代码中通过使用replace函数对MySQL的注释进行了一定程度的过滤,这相当于waf中的敏感字段过滤,该如何绕过呢?此处的负数就是让第一条语句失效,这样才能有空间输出第条语句的结果,也就是输出version()的执行结果。简单的进行查询测试,此处的查询语句没有经过任何的过滤限制,所以呢你可以直接脱裤子了.此处我们构建的payload语句是这样的。
服务器是怎么调用代码的_代码执行漏洞和命令注入漏洞
weixin_39865204的博客
12-05 243
1.代码执行漏洞简介代码执行漏洞是由于程序未对用户提交的参数进行过滤(方便开发人员进行系统主题模板的调用或者灵活地逻辑判断 ),直接将传入的参数当成脚本代码来执行的漏洞, 当这些代码中的参数可控的时候,恶意用户就可以插入自己想要执行的代码/命令,这些代码被执行之后就造成了漏洞。测试代码:...
1.深入代码/命令注入
qq_37027540的博客
10-23 488
1.深入代码/命令注入 由于没有针对代码中可执行的特殊函数入口做过滤,导致用户可以提交恶意语句,并交由服务器端执行。 代码/命令注入攻击中Web服务器没有过滤类似 system(),eval(),exec()等函数的传入参数。 代码注入 eval(string code) eval把字符串作为PHP代码执行 Code_str是PHP代码字符串,需要是一个完整的语句(结尾需要加分号)一句话木马就...
php代码审计函数,代码审计-代码执行函数总结
weixin_36327991的博客
03-28 302
涉及函数eval()、assert()、preg_repace()、create_function()、array_map()、call_user_func()、call_user_func_array(),array_filter,usort,uasort()背景:最近研究PHP的一些危险函数,先写下代码执行函数的归纳,主要是参考自官方手册的解读,并附上了一些dogBypass的一句话,为...
spring 集合 数组 Map类型的依赖注入方式
hjfalz的博客
10-09 386
<bean id="moreComplexObject" class="example.ComplexObject"> <!-- results in a setAdminEmails(java.util.Properties) call --> <property name="adminEmails"> <props> <prop key="administrator">administra
array_map php ord,Destoon最新全版本通杀SQL注入漏洞
weixin_33734087的博客
03-24 433
Author:Kavia/common.inc.php 64行:[php]if($_POST) $_POST = strip_sql($_POST);//strip_sql()过滤if($_GET) $_GET = strip_sql($_GET);if($_COOKIE) $_COOKIE = strip_sql($_COOKIE);.........if($_POST) extract($_P...
PHP代码注入详解
Zeker62的博客
08-16 5174
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHPeval函数的作用是将字符串作为PHP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值