iwebsec靶场之代码执行关卡-06 array_map函数

原创 已于 2025-06-26 13:10:34 修改 · 779 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #iwebsec #命令执行漏洞 #代码执行漏洞 #array_map

于 2025-04-21 10:32:03 首次发布

目录

一、代码执行关卡array_map渗透原理

(一) array_map简介

(二) array_map利用

1、callback=system 

2、0=whoami 部分

3、 最终执行流程

二、代码执行关卡array_map函数渗透实战

(一)源码分析

1、未过滤的用户输入直接作为回调函数

2、参数完全可控

3、漏洞函数调用

(二)渗透实战

1、方法1

2、方法2

本文通过《iwebsec靶场代码执行漏洞第六关 06 array_map函数》来进行渗透实战。

一、代码执行关卡array_map渗透原理

打开iwebsec靶场代码执行关卡的06-array_map关,如下图红框所示。

(一) array_map简介

array_map 是 PHP 中用于对数组元素批量应用回调函数的高阶函数,它接收一个回调函数和一个或多个数组作为参数,并将回调并行应用到所有数组的对应元素上。

array_map(callable $callback, array $array1, array ...$arrays): array

array_map — 为数组每个元素应用回调函数,可调用自定义函数。当处理单个数组时,它会遍历每个元素并返回由回调结果组成的新数组;当处理多个数组时,它会同步遍历各数组的当前元素,并将它们作为参数传递给回调函数。若回调设为 null 且传入多个数组,则返回由各数组同位置元素组成的子数组(类似矩阵转置)。参数含义如下所示。 

  • $callback (可调用类型,可为 null)

    • 要对每个数组元素执行的回调函数

    • 如果为 null,则会创建多维数组(当提供多个数组时)

    • 回调函数应接受与传入数组数量相同的参数

  • $array (数组)

    • 第一个要处理的输入数组

    • 必需参数

  • ...$arrays (可变数量的数组参数)

    • 可选的其他输入数组

    • 如果提供多个数组,array_map() 会并行迭代它们

(二) array_map利用

如下为利用方法示例。

// 漏洞代码示例
$func = $_GET['callback'];
$data = [1, 2, 3];
$result = array_map($func, $data);

攻击向量参数分解如下所示。

?callback=system&0=whoami

1、callback=system 

  • 作用:控制 $func 变量值为 system

  • 结果array_map() 的第一个参数变成 system 函数

  • 等效代码

    $result = array_map('system', [1, 2, 3]);

2、0=whoami 部分

  • 原理:PHP 会解析 0=whoami 为 $_GET[0] = 'whoami'

  • 数组覆盖$_GET 是超全局数组,数字索引会修改 $data 数组

  • 实际效果

    $data[0] = 'whoami'; // 原始数组 [1,2,3] 被修改为 ['whoami',2,3]

3、 最终执行流程

​array_map('system', ['whoami', 2, 3]) 执行

     如上脚本会对数组每个元素调用 system():

        1) 第一次迭代:system('whoami') → 执行系统命令

        2)后续迭代:system(2) 和 system(3) 也会执行但无实质影响

二、代码执行关卡array_map函数渗透实战

(一)源码分析

进入iwebsec的代码执行第6关卡,如下所示

找到对应的源码,发现关键代码array_map , 具体如下所示。

接下来我们对漏洞代码进行分析,array_map会产生代码注入漏洞,具体解释如下。

$func = $_GET['func'];  // 用户可控的回调函数名
$argv = $_GET['argv'];  // 用户可控的参数值
$array[0] = $argv;      // 将参数放入数组
array_map($func, $array); // 动态调用函数

漏洞原因如下所示。

1、未过滤的用户输入直接作为回调函数

        (1)$_GET['func'] 直接赋给 $func 并作为 array_map 的第一个参数
        (2)攻击者可控制要执行的任意函数

2、参数完全可控

        (1)$_GET['argv'] 直接作为回调函数的参数
        (2)攻击者可指定任意参数值

3、漏洞函数调用

        (1)array_map() 无条件信任传入的回调函数
        (2)没有对函数名和参数进行任何安全检查

漏洞利用方法如下所示。

func=system&argv=id

该代码注入回调函数为 system()(系统命令执行函数),设置参数为 Linux/Unix 的 id 命令,该命令会返回当前用户权限信息

(二)渗透实战

1、方法1

注入语句:func=system&argv=id

这个语句等于执行如下的代码,即获取当前用户的信息。

array_map('system', ['id']);

2、方法2

注入语句:?func=system&argv=cat /etc/passwd 

这个语句等于执行如下的代码,即获取当前用户的信息。

array_map('system', ['cat /etc/passwd ']);

【ctf】命令执行漏洞(一)
wlllllianqing的博客
10-12 2789
命令执行漏洞原理 命令执行漏洞,就是指用户通过浏览器或其他辅助程序提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,用户可以提交恶意语句并交由服务器执行。 在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。 相关函数 ...
WEB安全基础 - - -命令执行漏洞
weixin_67503304的博客
07-28 1877
简要介绍命令执行漏洞的原理,总结了常用的PHP代码执行函数
iwebsec靶场 XSS漏洞通关笔记
mooyuan的网络安全博客
10-23 1920
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。
iwebsec靶场命令执行
果粒程
03-03 711
iwebsec靶场命令执行
iwebsec靶场代码执行关卡-03 call_user_func函数
mooyuan的网络安全博客
04-20 552
本文通过《iwebsec靶场代码执行关卡第三关 03 call_user_func函数》来进行渗透实战。call_user_func第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。根据代码审计我们可以构造fun为system函数,而arg为id的命令注入,即执行system(id)命令获取当前用户的id信息。
vulfocus靶场thinkphp命令执行cve-2018-1002015
没有故事
04-21 1009
漏洞,该漏洞源于ThinkPHP在获取控制器名时未对用户提交的参数进行严格的过滤。远程攻击者可通过输入‘\’字符的方式调用任意方法利用该漏洞执行代码。thinkPHP 5.0.x版本和5.1.x版本中存在。使用工具: thinkphp综合利用工具,然后使用webshell工具进行连接即可。
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-优快云博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
iwebsec靶场SQL注入-bool盲注
qq_56041380的博客
03-24 581
bool注入是盲注的一种。它于报错注入不同,布尔注入没有任何报错信息输出,页面返回只有正常和不正常两种状态,攻击者只能通过返回的这两种状态来对其进行判断输入的SQL注入语句是否正确,从而判断数据库中存储了那些信息。
iwebsec靶场文件上传漏洞-竞争条件文件上传
qq_56041380的博客
03-30 1051
竞争条件是指多个线程在没有进行锁操作或者同步操作的情况下同时访问同一个共享代码、变量、文件等,运行的结果依赖于不同线程访问数据的顺序。源码分析。
[zkaq靶场]代码执行--DouPHP-v1.5漏洞
wwxxee
05-10 1148
代码执行 相关函数与语句 eval():会将字符串当作代码来执行。 <?php @eval($_REQUEST["code"])?> 单双引号输出问题: assert():如果传入字符串会被当做PHP代码来执行 <?php @assert($_REQUEST["code"])?> 与eval的区别:eval可以执行多行,而assert只能执行一行。 当assert想要执行多行时,可以利用写文件的方式: file_put_contents("123.php","<?php
iwebsec靶场(SSRF)
果粒程
03-06 939
iwebsec靶场(SSRF)
iwebsec靶场(XSS)
果粒程
03-05 932
iwebsec靶场(XSS)
iwebsec靶场(sql注入)
果粒程
02-24 1636
iwebsec靶场(sql注入)
Web安全iwebsec || vulhub 靶场搭建.(各种漏洞环境集合,一键搭建漏洞测试靶场
网络安全领域___专研者.
04-24 5142
iwebsec 本质上是一个漏洞集成容器,里面集成了大量的漏洞环境.(如:集合了SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的web漏洞环境) Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身.
iwebsec靶场(XXE漏洞
果粒程
03-07 1433
iwebsec靶场(XXE漏洞
iwebsec靶场代码执行关卡-07和08 preg_replace函数
最新发布
mooyuan的网络安全博客
04-21 753
本文通过《iwebsec靶场代码执行漏洞第七关和第八关 preg_replace函数》来进行渗透实战。preg_replace() 函数在使用 /e 修饰符时存在代码执行漏洞,这是PHP历史上一个著名的高危安全问题。下面我将详细通过源码分析和渗透实战解释其原理和危险性。preg_replace — 执行一个正则表达式的搜索和替换。
iwebsec靶场(文件包含)
果粒程
03-02 1875
iwebsec靶场(文件包含)
iwebsec靶场安装教程(两种方法)
mooyuan的网络安全博客
11-25 7757
iwebsec靶场可以通过两种方法进行渗透。第二种是本地搭建:目前可以通过两种方法搭建,一种是虚拟机绿色版解压即用,另外一种则是通过docker安装。
iwebsec靶场(文件上传)
果粒程
02-26 2196
iwebsec靶场(文件上传)
iwebsec靶场SQL注入漏洞-字符型注入
02-24
在探讨iwebsec靶场中的字符型SQL注入漏洞时,需理解其核心在于利用特定字符串构造来绕过输入验证机制并执行恶意查询。当应用程序未能正确处理特殊字符或未对用户输入做充分过滤时,攻击者可以通过提交精心设计的数据...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值