代码审计之代码执行

代码执行审计和sql漏洞审计很相似,sql注入是想sql语句注入在数据库中,代码执行是将可执行代码注入到webservice 。这些容易导致代码执行的函数有以下这些:eval(), asset() , preg_replace(),call_user_func(),call_user_func_array(),array_map()其中preg_replace()需要/e参数。

代码执行注入就是 在php里面有些函数中输入的字符串参数会当做PHP代码执行。

Eval函数在PHP手册里面的意思是:将输入的字符串编程PHP代码

1,先写个简单的代码测试一下(很俗套的代码)

if(isset($_GET['orange']))
{
    $orange=$_GET['orange'];
    eval("\$orange=$orange");
}
//PHP  代码审计代码执行
?>

直接接收orange参数,payload:?orange=phpinfo();

下面图可以看到成功执行。


代码审计之代码执行_第1张图片

 

 

 

2,再看一个,测试代码如下

//PHP 代码审计代码执行注入
if(isset($_GET['orange']))
{
    echo $regexp = $_GET['orange'];
    $String = 'phpinfo()';
    var_dump(preg_replace("/(.*?)$regexp","\\1",$String));
}
?>

可以看到代码有正则preg_replace(),所以现在需要/e参数,才能进行代码执行。

正则表达式过滤后是phpinfo(),正则表达式的意思是将String中含reg的字符串的样式去除。所以现在我们可以构造payload:?orange=<\/php>/e   ,现在解释一下为什么,preg_replace(),/(.*?)$regexp,接收的参数构造成正则表达式/(.*?)<\/php>/e,将$String也就是phpinfo()过滤成phpinfo(),这样就可以成功执行了。

代码审计之代码执行_第2张图片

代码审计之代码执行_第3张图片

 

 3,参数注入,测试代码如下

//PHP 代码审计代码执行注入
if(isset($_GET['orange']))
{
    echo $regexp = $_GET['orange'];
    //$String = 'phpinfo()';
    //var_dump(preg_replace("/(.*?)$regexp","\\1",$String));
    preg_replace("/orange/e",$regexp,"i am orange");
}
?>

分析和上面差不多。
直接构造payload就好:?orange=phpinfo();

代码审计之代码执行_第4张图片

 

 

你可能感兴趣的:(代码审计)