概述

类似于SQL注入，可以吧SQL语句注入到SQL服务执行
PHP代码执行则是吧代码注入应用中最终到WebServer去执行，这样的函数如果没有过滤，相对于存在一个后门代码执行

函数

eval()
assert()
preg_replace()
call_user_func()
call_user_func_arry()
array_map()等

挖洞经验

eval()和assert()函数导致的代码执行漏洞大多是因为载入缓存或者模板以及对变量的处理不严格导致，比如直接吧一个外部可控的参数直接拼接到模板里面然后调用这两个函数去当成PHP代码执行
preg_replace()函数的代码执行需要/e参数，这个函数本身是用来处理字符串的，因出现的漏洞比较多的是对字符串的处理，比如URL，HTML标签以及文章内容等过滤功能
call_user_func_arry()和array_map()函数的功能是调用函数，多用在框架里面动态调用函数，一般比较小的程序容易出现这种方式的代码执行比较少，array_map()函数的作用是调用函数并去除第一个参数外其他参数为数组,通常会写死一个参数，即调用的函数，类似三个函数功能的函数还有很多

eval和assert函数

这两个函数原本的作用就是动态执行代码，所以它们的参数就是PHP代码，我们来看看怎么使用的，测试代码如下：

<?php
$q = $_GET['q'];  //获取用户输入的参数q
$id = $_GET['id']; //获取用户输入的参数id
eval("\$get = $id;"); //eval函数对$shiyanlou赋值
echo $q;  //打印q
echo $get; //打印赋值过后的get?>

我们来请求一次

请求变量q时候
并没有执行php代码

请求变量id时候
发现执行了php代码

结论

如果变量被传入eval和asser函数，该变量值打印出来的代码可以直接执行PHP代码

preg_replace函数

使用连接

preg_replace函数的作用是对字符串进行正则处理，下面我们来看看它什么情况下才会出现代码执行漏洞

它的参数返回如下

mixed preg_replace (mixed $pattern ,mixed $replacement , mixed
$subject [, int $limit = -1 [, int &$count]] )
这段代码的含义是搜索$subject 中匹配$pattern的部分，以$replacement进行替换，而当$pattern处即第一个参数存在e修饰符时，$replacement的值会被当成PHP代码执行，我们来看一个简单的例子(1.php)

<?php
preg_replace("/\[(.*)\]/e",'\\1',$_GET['str']);
?>

正则的意思是从$_GET[‘str’]变量里面搜索中括号[]中间的内容作为第一组结果，preg_replace(）函数第二个参数’\1’代表这里用第一组结果填充，这里是可以直接执行代码的
所以当我们请求/1.php?str=[phpinfo()]时候，则执行phpinfo()，结果如下

call_user_func()和array()_map()函数

call_user_func()和array_map()等数十个函数有调用其他函数的功能，其中一个参数作为要调用的函数名，那如果这个传入的参数名可控，那就可以调用意外的函数来执行我们的代码，也就是存在代码执行漏洞
我们用call_user_func()函数来举列。函数的作用是调用函数并且第二个参数作为要调用的函数的参数，官方文档如下：
mixed call_user_func ( callable $callback [,mixed $parameter [ , mixed $…]])
该函数第一个参数为回调函数，后面的参数为回调函数的参数，测试代码如下：

<?php
$b=$_GET['b'];
call_user_func($_GET['a'],$b);?>

当请求php?a=assert&b=phpinfo()时候，执行了php代码
assert为要调用的函数，phpinfo为该函数调用的参数

动态函数执行

由于PHP特性原因，PHP的函数可以直接由字符串拼接，这导致了PHP在安全的控制又加大了难度，比如增加了漏洞数量和提高了PHP后门的查杀难度
要找漏洞就要先理解为什么程序要这么写，不小知名的程序中也用到动态函数的写法，这种写法跟call_user_func的初衷是一样的，大多用在框架里面，用来更简单更方便的调用函数，但是一旦过滤不严格就会造成代码执行漏洞
PHP动态函数写法为 “变量（参数）”，我们来看一个动态函数后门的写法：

<?php
$_GET['a']($_GET['b']);
?>

代码的意思就是接受GET请求的a参数，作为函数，b参数作为函数的参数，当请求a参数值为assert，b参数为phpinfo()的时候打印出phpinfo信息，请求如下：
php?a=assert&b=phpinfo()

要挖掘这种形式的代码执行，需要找可控的动态函数名

PHP-代码审计-代码执行相关推荐

代码审计：YCCMS 代码执行文件上传任意文件删除
代码审计:YCCMS 代码执行文件上传任意文件删除 YCCMS 审计准备代码审计代码执行漏洞文件上传漏洞任意文件删除漏洞 YCCMS YCCMS是一款PHP版轻量级CMS建站系统,程序页面 ...
第二阶段 PHP代码审计之代码执行
文章目录一.代码执行原理 1.1 代码执行示例代码二.代码执行相关函数三.代码执行代码审计总结一.代码执行原理为了代码的灵活性与简洁性,会适当调用PHP中的一些代码执行函数来完成一些系统的功 ...
代码审计-php代码执行
作者:小刚一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢本实验仅用于信息防御教学,切勿用于其它用途 php代码执行前言什么是代码执行,命令执行 1.eval assert导致的代码执行 2 ...
代码审计之代码执行注入
1#基础了解今天简单的了解了一下代码执行,就是在php里面有一些函数将输入的字符串参数当作PHP程序代码来执行. 常见的代码执行函数:eval().assert().preg_replace() e ...
代码审计之CVE-2017-6920 Drupal远程代码执行漏洞学习
1.背景介绍: CVE-2017-6920是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core. Drupal介绍:Drupal 是一个由 ...
【代码审计】DouPHP_v1.3代码执行漏洞分析
0x00 环境准备 DouPHP官网:http://www.douco.com/ 程序源码下载:http://down.douco.com/DouPHP_1.3_Release_20171002. ...
【代码审计】CmsEasy_v5.7 代码执行漏洞分析
0x00 环境准备 CmsEasy官网:http://www.cmseasy.cn/ 网站源码版本:CmsEasy_v5.7_UTF8-0208 程序源码下载: http://ftp.cmseas ...
cve-2019-1821 思科 Cisco Prime 企业局域网管理器远程代码执行漏洞分析
前言不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...
thinkcmfx漏洞太大_ThinkCMF5 代码执行漏洞及后续有关思考
摘要修改配置时,大多数情况下都会对配置文件/缓存文件/数据库进行操作,而在这个过程中不论如何实现,几乎都会对"管理员" 所做的修改输入有过滤.当绕过了这些过滤方法之后,通常可以达 ...
php 168任意代码执行漏洞之php的Complex (curly) syntax
今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php ?only=1 &show ...

PHP-代码审计-代码执行

文章目录

概述

函数

挖洞经验

eval和assert函数

preg_replace函数

call_user_func()和array()_map()函数

动态函数执行

PHP-代码审计-代码执行相关推荐

最新文章

热门文章