代码审计 | call_user_func 命令执行

最新推荐文章于 2025-04-20 17:14:58 发布
原创 最新推荐文章于 2025-04-20 17:14:58 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络安全

文章讨论了在Nginx和PHP环境中,由于对X-Forwarded-For头验证不足导致的IP欺骗漏洞,以及call_user_func函数滥用可能引发的命令执行漏洞。作者提供了漏洞复现方法,并推荐了通过身份验证和参数验证来修复这些问题。

示例代码

搭建环境:

nginx(1.24.0)+php(5.6.40)

session_start();

function client_ip(){    return !empty($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR'];}

$ip = client_ip();if(!filter_var($ip, FILTER_VALIDATE_IP) || !in_array($ip, array('localhost', '127.0.0.1'))){    die(htmlspecialchars("Not allowed!\n"));}

if(!isset($_SESSION['auth'])){    header("Location: error.php");}

echo call_user_func($_GET['cmd'], $_GET['arg']);?>

请查看上述代码,找出其中的漏洞。

漏洞位置

if(!filter_var($ip, FILTER_VALIDATE_IP) || !in_array($ip, array('localhost', '127.0.0.1'))){    die(htmlspecialchars("Not allowed!\n"));}echo call_user_func($_GET['cmd'], $_GET['arg']);

漏洞原理

代码验证X-Forwarded-For标头不够严格,攻击者可以伪造X-Forwarded-For:127.0.0.1进行绕过检测。攻击者在$_session['auth']中没有有效的会话,这会自动导致重定向到另一个页面。重定向之后代码会继续向下运行,因而重定向没有任何效果,代码运行到call_user_func(),它允许执行任意的PHP代码或命令。

漏洞复现

Burpsuite抓包,更改请求包中的

X-Forwarded-For:127.0.0.1

提交参数:?cmd=exec&arg=pwd

图片

修复方案

对于

`$_SERVER['HTTP_X_FORWARDED_FOR']`伪造的问题,应该检查`$_SERVER['REMOTE_ADDR']`和`$_SERVER['HTTP_CLIENT_IP']`。然而,这仍然不能保证IP地址的完全准确,因为代理服务器可能会提供这些头部。最安全的做法可能是通过应用程序的登录过程来验证用户的身份,而不是依赖IP地址。

对于call_user_func函数造成的命令执行漏洞,需要对`$_GET['cmd']`和`$_GET['arg']`进行严格的过滤和验证。只允许执行白名单中的命令,并且只允许这些命令接受预定义的参数。对输出可以使用`htmlspecialchars()`函数来转义。

相关知识

call_user_func

call_user_func 是 PHP 中的一个函数,它用于调用由用户定义的回调函数。这个函数可以调用任何可调用的 PHP 对象,包括函数、方法、闭包等。

call_user_func 的语法如下:

call_user_func(callable $callback, ...$args)参数说明:

  • $callback:要调用的回调函数。这是一个必需参数,可以是一个函数名、方法名、闭包等。

  • ...$args:要传递给回调函数的参数列表。这是一个可选参数,你可以根据需要传递任意数量的参数。

call_user_func 函数会调用 $callback 指定的回调函数,并将传递的参数列表作为回调函数的参数。它会返回回调函数执行的结果。

作者:Spider-Man

2023年12月8日 

洞源实验室 

代码执行和命令执行
Battery的博客
11-16 13万+
代码执行:未严格过滤用户输入的参数,导致用户可以通过传参在web服务器上执行恶意代码。可变函数:一个变量名后面如果有圆括号,php将寻找与变量值同名的函数并尝试执行。
代码审计之ThinkPHP 5.0-5.0.23RCE
m0_63581584的博客
11-23 751
2.2,回到app->run方法中。调用call_user_func(),造成RCE。2.1 第一步造成变量覆盖。进入App-run()方法。这里debug开启,即进入。2.开始进行RCE分析。
vulhub中ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞复现
yougexiaojiuguan的博客
03-06 424
漏洞复现的记录
iwebsec靶场之代码执行关卡-03 call_user_func函数
最新发布
mooyuan的网络安全博客
04-20 528
本文通过《iwebsec靶场代码执行关卡第三关 03 call_user_func函数》来进行渗透实战。call_user_func第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。根据代码审计我们可以构造fun为system函数,而arg为id的命令注入,即执行system(id)命令获取当前用户的id信息。
call_user_func
weixin_30535167的博客
09-06 267
UCenter源代码里有一个函数call_user_func,开始以为是自己定义的函数,结果到处都找不到。后来才知道call_user_func是PHP的内置函数,该函数允许用户调用直接写的函数并传入一定的参数,下面总结下这个函数的使用方法。 call_user_func函数类似于一种特别的调用函数的方法,使用方法如下: <?php...
PHP-代码执行函数-命令执行函数
weixin_47112073的博客
10-21 7063
简单写一下代码执行函数与命令执行函数有哪些,并且说说他们的不同
2025.2.10——二、unseping 代码审计|序列化和反序列化|魔术方法|命令执行绕过
2402_87387800的博客
02-11 1183
题目来源:攻防世界 unseping。
thinkphp5.0系列远程代码执行分析
weixin_44687621的博客
08-12 622
最近实在无事可做,看到大佬在搞框架审计,可以开始跟着学习一下各种框架的rce是如何产生的 thinkphp文件结构 www WEB部署目录(或者子目录) ├─application 应用目录 │ ├─common 公共模块目录(可以更改) │ ├─module_name 模块目录 │ │ ├─config.php 模块配置文件 │ │ ├─common.php 模块函数文件 │ │ ├─controller
14-PHP代码审计——ThinkPHP5.0.23 RCE漏洞分析
网络安全
05-07 2779
环境: ThinkPHP5.0.15 漏洞影响版本:ThinkPHP5.0.23以下 poc: ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami RCE漏洞 RCE漏洞全称为远程命令/代码执行漏洞(英文为remote command/code execute),可以让攻击者远程向目标服务器注入操作系统命令或代码执..
代码审计-thinkphp 反序列化引起rce漏洞
gj204106的博客
10-09 799
目前的pop链:__destruct()->removefile()->file_exists()->__toString()->toJson()->toArray()->__call()->call_user_func_array()由上图代码可知,要满足date为数组,filter = $this->getFilter($filter, $default),发现filterValue()方法在input()方法里面,所以再跟踪谁调用了input()方法。此漏洞需要成品有涉及到反序列化。
call_user_func的用法和意义
weixin_42362496的博客
09-06 765
比如现在有个需求,有一组字符串需要不同的加密方式来加密 1年前的我会这么写 <?php my_encrypt("md5","123456"); public function my_encrypt($type,$str){ switch ($type){ case "md5": return md5($str); ...
PHP常见的命令执行函数与代码执行函数
dys的博客
06-23 6911
命令执行与代码执行
call_user_func() 函数 用法
weixin_30790841的博客
07-30 266
call_user_func ( callback $function [, mixed $parameter [, mixed $... ]] ) http://justcoding.iteye.com/blog/650843 调用第一个参数所提供的用户自定义的函数。 返回值:返回调用函数的结果,或FALSE。example : Php代码...
【RCE】call_user_func($a,$b)($c);php中call_user_func有三个参数的使用方法;array_pop()解决
Lhy1963245411的博客
07-07 408
遇到call_user_func后面有三个参数,普通的system(ls)无法执行。这时候需要使用array_pop()函数来让数组中最后一个元素出栈,让其变成命令。入下题:b通过get方法,获取所有get方式的结果并且写进一个数组中,接着在call_user_func处又将b作为参数。
PHP常见的命令执行函数与代码执行函数_php命令执行函数
2401_87298823的博客
09-22 1785
更多的信息请查看您系统的 execve(2)手册。这个数组是 key => value 格式的,key 代表要传递的环境变量的名称,value 代表该环境变量值。使用用户自定义的比较函数对数组排序,并保持索引关联(不为元素分配新的键)。这里用的是POST型传参 POST型传参通过request body 传参 而GET型传参把参数包含在url中。该函数也可以将字符串当作OS命令来执行,但是该函数返回的是文件指针而非命令执行结果。并且他的输出需要自己打印。是一个要传递给程序的参数的字符串数组。
细说——命令执行_代码执行
LainWith的博客
10-11 3707
目录原理命令执行漏洞原理代码执行漏洞原理命令执行与代码执行漏洞区别命令执行&代码执行漏洞危害命令执行无回显代码执行函数1- eval()2- assert()-最好不要加上分号作为结尾3- call_user_func()4- create_function()5- array_map()6- call_user_func_array()7- array_filter()8- uasort()函数9- preg_replace()命令执行函数1- system()2-passthru()3- exe
关于PHP的call_user_func的分析
jackyvan的专栏
09-16 2783
分别下载了php5.2.10和5.3.0版本的源码,查找到里面call_user_function(在ext/standard/basic_functions.c)的方法。在5.2.10版本里,call_user_function用的是标准的php 函数的写法,用zval类型来存储接收的参数,调用call_user_function_ex来执行用户的方法。如果调用不成功则分析是不是接收到的参数
PHP代码审计:理解代码执行漏洞与常见函数风险
user_func()`, `call_user_func_array()`, `create_function()`,以及数组操作函数如`array_map()`, `array_filter()`, `usort()`, `uasort()`,当它们接受用户输入作为参数时,也可能导致代码执行漏洞。例如,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值