任意代碼執(zhí)行存在哪些漏洞？

1、任意代碼執(zhí)行存在哪些漏洞？0x00 什么是任意代碼執(zhí)行當應(yīng)用在調(diào)用一些能將字符串轉(zhuǎn)化成代碼的函數(shù)（如PHP重的eval）時，沒有考慮用戶是否能控制這個字符串，將造成代碼注入漏洞。狹義的代碼注入通常指將可執(zhí)行代碼注入到當前頁面中，如PHP的eval函數(shù)，可以將字符串代表的代碼作為PHP代碼執(zhí)行，當用戶能夠控制這段字符串時，將產(chǎn)生代碼注入漏洞（也稱命令執(zhí)行）。廣義上的代碼注入，可以覆蓋大半安全漏洞的分類。0x01 為什么存在任意代碼執(zhí)行幾種常用函數(shù)語言，都有將字符串轉(zhuǎn)化成代碼去執(zhí)行的相關(guān)函數(shù)。PHP = eval( ),assert( )Python = exec( )Asp =0x02 為什么使

2、用執(zhí)行代碼函數(shù)應(yīng)用有時候會考慮靈活性、簡潔性，在代碼中調(diào)用eval之類的函數(shù)去處理。12345678910111213functionstring2array(%data)if($data=)returnarray();eavl($array=$data);return$array;/當$data接受的字符串是這樣時:$data=array(upload_maxsize=2048,upload_allowext=jpg|jpge|gif|bmp|png|doc|docx|xls|xlsx|ppt|pptx|pdf|txt|rar|zip|swf,watermark_enable=1,)/通過e

3、val()函數(shù)就可以將字符串a(chǎn)rray(.)作為數(shù)組賦值給$array,這樣會大大的提升代碼的靈活性和簡潔性。0x03 漏洞分類eval()、assert() （不常見）preg_replace + /e 模式0x04 漏洞利用(本地測試)eval() =123456789101112131415161718192021222324252627282930313233343536373839#1：#2：#3：preg_replace() =1234567891011?php$data=$_GETdata;echo$data;preg_replace(/(.*)/e,$ret=1;,$data)

4、;echo$ret;/*payload:?data=$phpinfo()注：PHP5.5.0/e修飾符已經(jīng)被棄用*/?0x05 修復(fù)方案eval() =能使用json保存數(shù)組、對象就是用json，不要將PHP對象保存成字符串，否則讀取的時候就需要使用eval對于必須使用eval的情況，一定要保證用戶不能輕易接觸eval的參數(shù)（或用正則嚴格判斷輸入的數(shù)據(jù)格式）。對于字符串，一定要使用單引號包裹可控代碼，并在插入前進行addslashes$data =addslashes($data)eval($data = eval($data);)preg_replace() =放棄使用preg_replac

5、e的/e修飾符使用preg_replace_callback()替換如果必須使用preg_replace()+e修飾符，請保證第二個參數(shù)中，對于正則匹配出的對象，用單引號包裹0x06 實例測試前面說了一大堆理論，現(xiàn)在來找個實例實際測試下。（本來想把網(wǎng)址公開的想想還是算了，這個漏洞的破壞性還是挺大的，就不公開了，我也怕“從web安全到派出所”.）盡管不會公開網(wǎng)址，但是還會告訴大家怎么去找這種存在 任意代碼執(zhí)行 的網(wǎng)站ok，下面開始一步一步去實現(xiàn)漏洞的利用任意代碼執(zhí)行漏洞的存在環(huán)境：thinkphp 版本：2.1google hacking 也就是谷歌搜索啊:1intext:thinkphpintext:Fast&SimpleOOPPHPFrameworkintext:2.1目標站點url：/xxxx/id/43.html12為什么thinkphp這個版本存在任意代碼執(zhí)行漏洞，出現(xiàn)漏洞的代