浅析PHP变量解析杂乱规矩语法

访客5年前黑客资讯656

翻了良久前写过的关于php杂乱语法变量解析的文章,发现许多当地存在问题。因而又查阅文档从头了解了一遍该语法,谈谈个人的了解,并记载在此。
 
标题简析
一道很早之前的标题,代码(简化):
$str= @(string)$_GET['str'];
eval('$str="'.addslashes($str).'";');
经过eval履行php代码取得flag,addslashes函数将字符串中的特别字符转义,“{}”在双引号中能够符号变量鸿沟来解析,运用该办法来到达代码履行的意图。
eg:

经过payload:${assert($_GET[cmd])}}即可获取shell,也能够运用system函数来履行命令读取flag等。
 
变量解析之杂乱语法
当字符串用双引号或heredoc结构界说时,其间的变量将会被解析。共有两种语法规矩,一种简略规矩,一种杂乱规矩,这儿评论杂乱规矩。
杂乱规矩语法的明显符号是用花括号围住的表达式。任何具有string表达的标量变量,数组单元或目标特点都可运用此语法,表达办法{$var_name}或${var_name}。

依据php官方文档,这儿提示在PHP5今后能够运用{$}来调用函数、办法等。看下面的比如:

不难了解,{${getname()}} => {$s1ye},以函数回来值命名变量。这儿我在函数中加入了echo "s1ye";,能够发现先履行了getname函数并输出了“s1ye”,接着才履行了echo(优先级)。
为了便利了解payload,运用以下代码进行测验:

结构了一个相似phpinfo的简化函数,运用变量解析在双引号中的杂乱语法,先履行了test函数输出了“just for test”并回来true,能够看到,回来一条正告而且变量a的值是空的。
为什么Notice为”Undefined variable: 1”呢?回来TRUE,变量应该为$TRUE的。前面官方文档说过了,$ + string的变量会被解析,而TRUE是bool类型,而且是个常量,当回来TRUE并命名变量时php解析器将TRUE转化为了string类型。

因为没有该变量导致赋值给a变量时回来为空(并不能用数字最初来命名变量)。
 
了解payload
直接运用payload{${phpinfo()}}或许${${phpinfo()}}会回来phpinfo信息,但都会报错。


上面现已讲过了报错的原因,这儿就很好了解了。接下来逐渐的来剖析payload成功履行的进程:

eval函数将字符串当作php代码履行,因而,经过图中代码清晰可见相当于界说了str变量,赋值为一个字符串”{${phpinfo()}}”。
$str = "{${phpinfo()}}",花括号界说了变量的鸿沟,因而该条句子先履行括号中内容,获取函数回来值,并以回来值的string命名变量再赋值给str变量(同上面剖析的test函数相同)。
到了这儿只需修正”{${?}}”中的?为其他php代码就能够到达写文件读文件或许getshell等操作了,只需要注意addslashes函数即可。
 
考虑
先看一下原题代码
eval('$str="'.addslashes($str).'";');
在双引号中能够运用花括号界说变量鸿沟,调用函数等,假如修正为单引号包裹addslashes函数,还能履行代码了吗。
$str = @(string)$_GET['str'];
eval("$str='".addslashes($str)."';");
很简单就发现尽管addslashes函数部分内容被单引号包裹,可是变量str却变成了双引号包裹。这说明仍是能够被运用的,直接测验上面的payload:

发现报错,变量相同被双引号包裹(其实并没有被双引号包裹),这儿却报错了。可是payload2${${phpinfo()}}却能够正常履行。

其实这儿只需略微考虑一下就能够了解了,用两个比如来解说:

能够看到payload1不能履行成功的原因便是并没有被双引号包裹,所以外层符号变量鸿沟的花括号无用。而payload${phpinfo()}/${${phpinfo()}}(不管加几个”${}”都无差,只不过报错更多罢了)相当于$a=’string’,a==(phpinfo()的回来值string方式),即履行函数后运用回来值界说变量并赋值,因而能够履行成功。
 
总结
全体看下来感觉仍是很绕的,总结便是遇到问题除了百度谷歌,要多仔细读官方文档, 其实文档现已写得很清楚了。
 

相关文章

能接单的黑客微信群_找黑客解授权激活码

第二个是APP及网站注册,这个曾经的话或许会答应有用户名或邮箱注册,可是有些当地强制运用手机号注册,并在与用户签定的“网站运用守则”内不起眼的当地注明可利用注册信息里的手机号进行打包出售盈余。 这儿就...

有没有专业网络赌博的!在网上骗子好多钱!有没有

系统版本针对系统版本参考文末列表下载补丁进行运行安装ExecStop=/usr/sbin/apachectl stop 1、尽快安装此漏洞的补丁(即使已经禁用远程桌面服务)。 有没有专业网络赌博的!在...

Quantum DOM调度的优先级处理方法

运用多标签阅读变得越来越遍及,因为人们在Facebook,Twitter,YouTube,Netflix和Google Docs等服务上花费的时刻越来越多,乃至现已成为人们日常日子中的一部分。 Qua...

网上的黑客说破解号占有这个号货查聊天记录元

/models/repo_mirror.go下载一个存在漏洞的 Spring Cloud Config,下载地址如下:先给大家简单介绍一下“MS_T120”这个静态虚拟信道,它的RDP信道编号为31,...

企业邮箱被黑了客户汇款给黑客能否找网易公司

1.临时应对方法在和朋友@hammer的一同研究下,成功控制了git config的内容,但是在从git config到RCE的过程遇到了困难,就暂时搁置了,在过了几个月之后,偶然得到@Lz1y和@x...

正规黑客接单,被骗找黑客帮忙,增长黑客能找什么工作

0×02安全缝隙: 2Step 1 'DB_PREFIX' => '".$_POST['db_prefix']', //数据库表前缀 ③.重新启动服务sudo /...