本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程
1. 简介
常见代码执行函数
eval 、assert 、preg_replace
2. 代码执行函数示例
eval() 函数
eval()函数中的eval是evaluate的简称,这个函数的作用就是把一段字符串当作PHP语句来执行,一般情况下不建议使用,容易被黑客利用
<?php if(isset($_GET['moon']));{ $moon=$_GET['moon']; eval("\$moon = $moon;"); } ?>
assert() 函数
assert()这个函数在php语言中是用来判断一个表达式是否成立。返回true or false;
<?php if(isset($_GET['moon']));{ $moon=$_GET['moon']; assert("\$moon = $moon;"); } ?>
preg_replace() 函数
preg_replace(pattern,replacement,subject,limit,count)
搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。官方文档说明
其中pattern为正则表达式(字符串或者字符串);
replacement是用于替换的字符串或字符串数组,replacement可以包含 \n 形式或者 0 指的是被整个模式所匹配的文本。对左圆括号从左到右计数(从1开始)以取得子模式的数;
subject,为要进行搜索和替换的字符串或者字符串数组;
limit,可选,是每个模式在subject上进行替换的最大次数。默认是-1(无限);
count,可选,完成的替换次数。第一个参数注入: <?php echo $reg = $_GET['reg']; $var = '<php>phpinfo()</php>'; preg_replace("/<php>(.*?)$reg", '\\1', $var); ?>
浏览器执行 http://127.0.0.1/test.php?reg=<\/php>/e
第二个参数注入: <?php preg_replace("/moon/e",$_GET['moon'],"I love moon"); ?>
浏览器执行 http://127.0.0.1/test.php?moon=phpinfo()
第三个参数注入: <?php preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $_GET['moon']); ?>