《开发人员安全编码实战培训》课件——33-代码执行相关方法.pptxVIP

第33讲代码执行相关方法与漏洞修复

引言

PHP支持可变函数的概念：如果一个变量名后有圆括号，PHP将寻找与变量的值同名的函数，并且尝试执行它。这就意味着PHP中可以把函数名通过字符串的方式传递给一个变量，然后通过此变量动态调用函数。

小测试

可变函数造成代码执行的原理是什么？

学习目标

能描述PHP可变函数的作用

能使用可变函数进行测试，能进行代码执行漏洞修复

增强维护代码安全的意识

array_filter()

语法：arrayarray_filter(array$array[,callable$callback[,int$flag=0]])

作用：依次将array数组中的每个值传递到callback函数。如果callback函数返回true，则array数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。

参考代码：

?php

$array[0]=$_GET[a];

array_filter($array,assert);

?

array_filter()

当PHP版本为7时，报错。

usort(),uasort()

语法：boolusort(array$array,callable$value_compare_func)

用法：本函数将用用户自定义的比较函数对一个数组中的值进行排序。如果要排序的数组需要用一种不寻常的标准进行排序，那么应该使用此函数。

参考代码1：

?php

error_reporting(0);

$sort_by=$_GET[sort_by];

$sorter=strnatcasecmp;

$databases=array(1234,4321);

$sort_function=return1*.$sorter.($a[.$sort_by.],$b[.$sort_by.]);;

usort($databases,create_function($a,$b,$sort_function));

?

Payload：?sort_by=]);}phpinfo();/*

usort(),uasort()

参考代码2：

?php

$data=$_GET[data];

$arr[0]=$data;

$arr[1]=x;

functioncmp_func($a,$b){

@assert($a);

@assert($b);

}

usort($arr,cmp_func);

?

Payload：?data=phpinfo();

PHP可变函数

PHP支持可变函数的概念：如果一个变量名后有圆括号，PHP将寻找与变量的值同名的函数，并且尝试执行它。这就意味着PHP中可以把函数名通过字符串的方式传递给一个变量，然后通过此变量动态调用函数。

当PHP支持可变函数中有参数时，那就可以通过参数传递任意代码，造成任意代码执行。

PHP可变函数

参考代码：

?php

functionfoo(){

echofoo;

}

functionbar($arg=){

echobar;

}

functionechoit($string){

echoechoit;

}

$func=$_REQUEST[func];

echo$func();

?

程序希望通过传入的参数，执行相应的函数，例如输入foo时，执行foo()函数，传入bar时，执行bar()函数，传入echoit时，执行echoit()函数。

PHP可变函数

执行结果

PHP可变函数

但是当传输参数为phpinfo时，执行了phpinfo()，如下所示(两个版本的PHP都能利用)：

PHP可变函数

若参数也设计为可传入，代码为：

?php

functionfoo(){

echofoo;

}

functionbar($arg=){

echobar;

}

functionechoit($string){

echoechoit;

}

$func=$_REQUEST[func];

$string=$_REQUEST[string];

echo$func($string);

?

PHP可变函数

若服务器为Linux系统，payload为?func=systemstring=id会调用system函数，执行系统命令id返回当前用户的信息。

代码执行漏洞的防护

对于eval()函数一定要保证，用户不能轻易接触eval的参数或者用正则严格判断输入的数据格式。

对于