RCE漏洞函数
一、rce漏洞概述
在Web应用开发中为了灵活性、简洁性等会让应用调用代码执行函数或系统命令执行函数处理,若应用对用户的输入过滤不严,容易产生远程代码执行漏洞或系统命令执行漏洞;
二、常见RCE漏洞函数
1.系统命令执行函数
(1) system():能将字符串作为OS命令执行,且返回命令执行结果;自带有“输出”,直接输出即可实现。
实例测试:
在文件中写入结果 :
<?php
system('echo "<?php phpinfo();//" > 11111.php');
结果实现 : 先输入 127.0.0.1/demo.php 页面创建成功后输入 127.0.0.1/11111.php 即可
(2)exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显);没有“输出” 需要自己写入,才可实现。
实例测试:
<?php
// 输出运行中的 php/httpd 进程的创建者用户名
// (在可以执行 "whoami" 命令的系统上)
$output=null;
$retval=null;
exec('whoami', $output, $retval);
echo "Returned with status $retval and output:\n";
print_r($output);
?>
结果实现:
(3)passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准输出设备上;与system() 类似,也可以直接输出。
实例测试:
<?php
passthru("whoami");
?>
(4)shell_exec():能将字符串作为OS命令执行,通过 shell 执行命令并将完整的输出以字符串的方式返回。
实例测试:
<?php
$output = shell_exec('whoami');
echo "<pre>$output</pre>";
?>
(5)popen():打开进程文件指针,fread管道 ,打开了一个指向进程的管道,该进程由派生给定的 command 命令执行而产生。
注:有一个模式 'r' 表示阅读,'w' 表示写入。
在 Windows 上,popen() 默认是文本模式,即任何从管道中读取/写入的 \n 字符都将转换为 \r\n。如果避免这种情况,可以通过将 mode 设置为 'rb' 和 'wb' 来强制执行二进制模式。
实例测试:
<?php
$handle = popen('whoami', 'r');
echo "'$handle'; " . gettype($handle) . "\n";
$read = fread($handle, 2096);
echo $read;
pclose($handle);
?>
(6)proc_open():与popen()类似,但是 proc_open() 提供了更加强大的控制程序执行的能力。
pcntl_exec():在当前进程空间执行指定程序;
<?php
$descriptorspec = array(
0 => array("pipe", "r"), // 标准输入,子进程从此管道中读取数据
1 => array("pipe", "w"), // 标准输出,子进程向此管道中写入数据
2 => array("file", "d:/aaa.txt", "a") // 标准错误,写入到一个文件
);
$process = proc_open('whoami', $descriptorspec, $pipes);
if (is_resource($process)) {
$output =stream_get_contents($pipes[1]);
fclose($pipes[1]);
$returnValue =proc_close($process);
echo "0utput:".$output;
echo "Return Value:".$returnValue;
}
?>
注:反引号``:反引号``内的字符串会被解析为OS命令;
2.代码执行函数
(1)eval():将字符串作为php代码执行;
(2)assert():将字符串作为php代码执行;
(3)call_user_func():回调函数,第一个参数为函数名,第二个参数为函数的参数;
<?php
call_user_func('assert',$_REQUEST['pass'])
?>
127.0.0.1/demo.php?pass=phpinfo()
(4)array_filter():使用回调函数过滤数组的元素
base64 :assert 编码 YXzZXJ0
<?php
$e = $_REQUEST['e']; //编码assert
$arr = array($_POST['pass'],); //phpinfo()
array_filter($arr,base64_decode($e)); //'assert'
?>
127.0.0.1/demo.php?pass=phpinfo()&e=YXNzZXJO
注:可变函数:若变量后有括号,该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行;