代码审计之代码执行

代码执行审计和sql漏洞审计很相似，sql注入是想sql语句注入在数据库中，代码执行是将可执行代码注入到webservice 。这些容易导致代码执行的函数有以下这些：eval(), asset() , preg_replace(),call_user_func(),call_user_func_array(),array_map()其中preg_replace()需要/e参数。

代码执行注入就是 在php里面有些函数中输入的字符串参数会当做PHP代码执行。

Eval函数在PHP手册里面的意思是：将输入的字符串编程PHP代码

1，先写个简单的代码测试一下(很俗套的代码)

if(isset($_GET['orange']))
{
    $orange=$_GET['orange'];
    eval("\$orange=$orange");
}
//PHP  代码审计代码执行
?>

直接接收orange参数，payload：?orange=phpinfo();

下面图可以看到成功执行。

 

 

 

2，再看一个，测试代码如下

//PHP 代码审计代码执行注入
if(isset($_GET['orange']))
{
    echo $regexp = $_GET['orange'];
    $String = 'phpinfo()';
    var_dump(preg_replace("/(.*?)$regexp","\\1",$String));
}
?>

可以看到代码有正则preg_replace()，所以现在需要/e参数，才能进行代码执行。

正则表达式过滤后是phpinfo()，正则表达式的意思是将String中含reg的字符串的样式去除。所以现在我们可以构造payload：?orange=<\/php>/e   ，现在解释一下为什么，preg_replace()，/(.*?)$regexp，接收的参数构造成正则表达式/(.*?)<\/php>/e，将$String也就是phpinfo()过滤成phpinfo()，这样就可以成功执行了。

 

 3，参数注入，测试代码如下

//PHP 代码审计代码执行注入
if(isset($_GET['orange']))
{
    echo $regexp = $_GET['orange'];
    //$String = 'phpinfo()';
    //var_dump(preg_replace("/(.*?)$regexp","\\1",$String));
    preg_replace("/orange/e",$regexp,"i am orange");
}
?>

分析和上面差不多。
直接构造payload就好：?orange=phpinfo();