URL参数若未严格过滤,可通过五种方式触发PHP代码执行:一、eval()等动态执行函数;二、文件包含+伪协议;三、反序列化魔术方法;四、preg_replace()/e修饰符(PHP
如果URL中包含特定参数,且PHP脚本未对输入进行严格过滤与转义,则可能被用于非预期地触发代码执行。以下是几种常见的URL参数传递并间接触发PHP代码执行的方式:
一、利用eval()函数配合可控参数
当PHP脚本中存在将URL参数直接传入eval()、assert()或create_function()等动态执行函数的逻辑时,攻击者可通过构造恶意参数实现代码执行。
1、确认目标页面是否存在类似$_GET['func']参数被直接送入eval()的代码片段。
2、在URL中附加参数,例如:?func=phpinfo();
立即学习“PHP免费学习笔记(深入)”;
3、若服务端代码为eval($_GET['func']);,则该参数将被当作PHP代码解析执行。
二、通过文件包含函数加载远程或本地恶意脚本
当URL参数被用于include、require、include_once或require_once等文件包含函数,且未限制协议和路径时,可借助伪协议或远程URL触发任意代码执行。
1、尝试使用data://协议注入PHP代码:?page=data://text/plain,
2、若服务器允许data://协议且无open_basedir限制,该payload将被当作PHP文件加载执行。
3、也可尝试php://input协议,配合POST请求体写入代码:?page=php://input,并在请求体中发送
三、利用反序列化参数触发__wakeup或__destruct魔术方法
当URL参数(如token、data)被unserialize()反序列化,且其中对象类定义了可利用的魔术方法时,可能触发预设的危险操作。
1、识别参数是否被unserialize()处理,例如:unserialize($_GET['data']);
2、构造含恶意类实例的序列化字符串,使__destruct()中调用system()、file_put_contents()等函数。
3、将生成的序列化字符串URL编码后作为参数提交:?data=O%3A8%3A%22Exploit%22%3A1%3A%7Bs%3A4%3A%22cmd%22%3Bs%3A9%3A%22phpinfo%28%29%22%3B%7D
四、通过preg_replace() /e修饰符注入(PHP 5.4.0以下)
在旧版PHP中,preg_replace()函数支持/e修饰符,允许将匹配结果作为PHP代码执行;若参数来自URL且未过滤,即可构成代码执行点。
1、确认目标PHP版本低于5.4.0,并检查是否存在类似preg_replace('/.*/e', $_GET['pattern'], 'test');的代码。
2、构造payload:?pattern=phpinfo()
3、该参数将被当作代码执行,输出phpinfo信息。
五、利用动态函数调用绕过简单白名单
当脚本通过URL参数控制函数名并调用call_user_func、call_user_func_array等函数时,若未校验函数名合法性,可调用危险函数。
1、查找形如call_user_func($_GET['func'], $_GET['arg']);的逻辑。
2、传入系统命令执行函数名:?func=system&arg=cat%20/etc/passwd
3、若无函数名黑名单或白名单机制,system()将被执行并回显命令结果。
