PHP中eval、assert、动态函数调用及preg_replace的/e修饰符均可因用户输入未过滤导致远程代码执行。
如果在PHP应用中对用户输入的字符串进行不当处理,可能导致恶意代码被解释执行。以下是几种常见的触发方式:
一、使用eval函数处理未过滤的字符串
eval函数会将传入的字符串作为PHP代码解析并执行。当用户可控的字符串未经校验直接送入eval时,即可触发任意代码执行。
1、获取用户提交的参数,例如通过$_GET['code']接收字符串内容。
2、将该参数直接拼接进eval语句,如:eval("echo " . $_GET['code'] . ";");。
立即学习“PHP免费学习笔记(深入)”;
3、构造payload,例如提交code=phpinfo(),使服务器执行phpinfo()函数。
4、确认执行结果是否在响应中返回phpinfo()输出内容。
二、利用assert函数执行字符串代码
assert在PHP 7以下版本中可接受字符串参数并将其作为PHP代码执行,与eval行为类似,常被忽略其危险性。
1、检查代码中是否存在assert($_GET['x'])这类调用。
2、确认PHP版本是否低于7.0(如5.6或5.4)。
3、发送请求,例如?x=system('ls'),观察目录列表是否出现在响应中。
4、若页面回显当前目录下的文件名列表,说明assert已成功执行系统命令。
三、动态函数调用配合用户输入
当函数名由用户控制且未加白名单限制时,可通过字符串拼接实现函数调用,进而执行危险操作。
1、定位类似${$_GET['func']}()或$func = $_GET['func']; $func();的代码结构。
2、确认目标函数是否存在于当前环境中,例如shell_exec、passthru、system等。
3、构造请求,例如?func=system&cmd=id,使system函数被执行。
4、响应中若包含uid=0(root) gid=0(root)等信息,则表明命令执行成功。
四、preg_replace的/e修饰符注入(PHP 5.4及更早)
在旧版PHP中,preg_replace使用/e修饰符时会将替换字符串作为PHP代码执行,极易导致远程代码执行。
1、查找形如preg_replace("/.*/e", $_GET['p'], "test")的代码段。
2、确认PHP版本是否启用/e修饰符支持(PHP
3、提交payload,例如p=phpinfo(),使正则替换触发代码执行。
4、响应中若出现PHP版本、扩展、配置等详细信息,即表示漏洞已被触发。
五、反序列化过程中字符串参与动态调用
当反序列化对象的魔术方法(如__wakeup、__destruct)中存在基于字符串拼接的函数调用或变量调用时,可能触发代码执行。
1、识别类中是否存在类似call_user_func($_SERVER['HTTP_X_FUNC'])的调用逻辑。
2、构造恶意序列化字符串,使反序列化后$_SERVER['HTTP_X_FUNC']被设为system。
3、在HTTP请求头中添加X-Func: system,并携带序列化数据到接收点。
4、若响应中返回命令执行结果(如whoami输出),说明反序列化链已成功利用。
