php代码审计中的代码执行
文章目录
- 闲扯
- 代码执行和命令执行的区别
- eval/assert
- 回调函数
- 可变函数
- preg_replace的/e模式
- 双引号导致代码执行
- 修复方案
闲扯
菜鸡的我被拒绝了,有点悲丧,努力吧。这些内容是看视频学的,有些点还比较有用,尤其是preg_replace那里,经常遇到了但是利用不了。
代码执行和命令执行的区别
代码执行是执行脚本代码,执行的是phpinfo();命令执行是执行系统命令,执行的是systeminfo。但是我们也可以通过代码执行调用system()函数,来达到命令执行的效果,所以有时候就搞不清两者的区别。
eval/assert
这两个函数都可以将字符串转换为代码执行:
eval() 函数把字符串按照 PHP 代码来计算。
该字符串必须是合法的 PHP 代码,**且必须以分号结尾**。
PHP 5
bool assert ( mixed $assertion [, string $description ] )
PHP 7
bool assert ( mixed $assertion [, Throwable $exception ] )
如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。
本地测试eval:
换成assert也是可以的:
代码执行导致的命令执行:
回调函数
一般就是:call_user_func()、call_user_func_array()、array_map()、usort(),回调函数的意思就是代表他们可以调用其他函数。
审计的时候发现,一般我们传入的函数都有白名单限制的,很难受。
解释:
拿call_user_func()来说,我们在第一个参数处传入要执行的函数名,后面的参数都是我们指定函数所需要的参数。我们传入assert就可以代码执行了。
例子:
https://blog.csdn.net/qq_43622442/article/details/105689178
本地测试:(这里又和php版本有关系了,php7.3的不行,我用php5.x的成功了,但是这个函数的确是支持php7的,没搞懂)
(这里不能使用eval函数,查官方文档才找到原因:https://www.php.net/manual/zh/language.types.callable.php)
可变函数
解释:
可以通过把函数名赋值给变量,然后用变量来调用函数的功能。
本地测试:
(这里又不能使用eval函数,再去看官方文档,https://www.php.net/manual/zh/functions.variable-functions.php)
没看到有提eval,但是也举例了几个不能用的,所以猜测eval应该也在这个列表里。
preg_replace的/e模式
解释: PHP小于5.5的版本中,$pattern 存在 /e 模式修正符,允许代码执行。它的第二个参数位置就填我们要执行的代码。
例子:
https://blog.csdn.net/qq_43622442/article/details/106018883
本地测试:
1.可控点在第三个参数:
代码解释:
.* 是表示匹配除换行符等以外的字符,加上括号是表示取出这部分内容,\\1 是代表第一个()里的缓冲区内容,这里就是匹配出了phpinfo();
2.可控点在第二个参数:(那就直接输入payload执行了)
3.可控点在第一个参数:
这里又要用到双引号的特性了,这个点在下面会说:
发现使用单引号包围第一个参数的话失败,下面用双引号尝试成功:
双引号导致代码执行
在php中,双引号里面如果包含有变量,php解释器会进行解析;单引号中的变量不会被处理。再结合可变变量的特性,在"${xxx}"里的xxx代码就会被执行,具体看下面的例子。这个特性单用比较鸡肋,原因下面会说。
例子:
https://blog.csdn.net/qq_43622442/article/details/106018883
https://blog.csdn.net/qq_43622442/article/details/106592281
我们可以看到,直接在双引号内输入payload会成功:
但是我们改成传参却不行了:
我们尝试直接在本地赋值,发现也不行:
但是我们不给payload加引号包裹能成功:
那么失败的原因就是,我们传参进入的变成了字符串,导致不能执行。
因为没找到官方文档解释,我的猜测理解是这样的,php遇到双引号内有变量的时候,就会进行解析,所以先解析了$_GET或者$a,但是这个时候双引号被用掉了,内层的payload没办法被解析了,就代表只有phpinfo()这个字符串,但是没有被当成代码解析。这只是我的猜测,所以这个双引号的特性会配合preg_replace的/e模式一起使用。
修复方案
尽量不要执行外部传入的参数
safe_mode_exec_dir
disable_function
过滤所有输入