代码执行审计和sql漏洞审计很相似,sql注入是想sql语句注入在数据库中,代码执行是将可执行代码注入到webservice 。这些容易导致代码执行的函数有以下这些:eval(), asset() , preg_replace(),call_user_func(),call_user_func_array(),array_map()其中preg_replace()需要/e参数。
代码执行注入就是 在php里面有些函数中输入的字符串参数会当做PHP代码执行。
Eval函数在PHP手册里面的意思是:将输入的字符串编程PHP代码
1,先写个简单的代码测试一下(很俗套的代码)
<?php
if(isset($_GET['orange']))
{
$orange=$_GET['orange'];
eval("\$orange=$orange");
}
//PHP 代码审计代码执行
?>
直接接收orange参数,payload:?orange=phpinfo();
下面图可以看到成功执行。
2,再看一个,测试代码如下
<?php
//PHP 代码审计代码执行注入
if(isset($_GET['orange']))
{
echo $regexp = $_GET['orange'];
$String = '<php>phpinfo()</php>';
var_dump(preg_replace("/<php>(.*?)$regexp","\\1",$String));
}
?>
可以看到代码有正则preg_replace(),所以现在需要/e参数,才能进行代码执行。
正则表达式过滤后是phpinfo(),正则表达式的意思是将String中含reg的字符串的样式去除。所以现在我们可以构造payload:?orange=<\/php>/e ,现在解释一下为什么,preg_replace(),/<php>(.*?)$regexp,接收的参数构造成正则表达式/<php>(.*?)<\/php>/e,将$String也就是<php>phpinfo()</php>过滤成phpinfo(),这样就可以成功执行了。
3,参数注入,测试代码如下
<?php
//PHP 代码审计代码执行注入
if(isset($_GET['orange']))
{
echo $regexp = $_GET['orange'];
//$String = '<php>phpinfo()</php>';
//var_dump(preg_replace("/<php>(.*?)$regexp","\\1",$String));
preg_replace("/orange/e",$regexp,"i am orange");
}
?>
分析和上面差不多。
直接构造payload就好:?orange=phpinfo();