代码注入（web安全入门）

一、原理以及成因

PHP 代码执行（注入）是指应用程序过滤不严，用户可以 Http 通过请求将代码注入到应用中执行。
代码执行（注入）类似于 sql 注入漏洞，SQLi 是将 SQL 语句注入到数据库中执行，而代码执行则是可以把代码注入到应用中最终由服务器运行它。这样的漏洞如果没有特殊的过滤，相当于直接有一个 WEB 后门的存在。
1、程序中含有可以执行 php 代码的函数或者语言结构
2、传入第一点中的参数，客户端可控，直接修改或者影响

二、漏洞危害

Web 应用如果存在代码执行漏洞是一件非常可怕的事情，就像一个人没有穿衣服，赤裸裸的暴露在光天化日之下。可以通过代码执行漏洞继承 Web 用户权限，执行任意代码。如果服务器没有正确的配置，Web 用户权限比较高的话，我们可以读写目标服务器任意文件内容，甚至可控制整个网站以及服务器。
本课程以 PHP 为例子来说明，代码执行漏洞。
PHP 中有很多函数和语句都会造成 PHP 代码执行漏洞。

三、相关函数和语句

3.1 eval()

eval() 会将字符串当作 PHP 代码来执行。测试代码如下

?code=phpinfo();"}

?code=phpinfo();"}

提交变量[?code=phpinfo();] 我们提交以下参数也是可以的[?code=${phpinfo()};]
[?code=1;phpinfo();] //可以执行多条语句

2 assert()
assert() 同样会作为 PHP 代码执行测试代码如下

?code=phpinfo();"}

提交参数 [?code=phpinfo()]

3.3 preg_replace()

preg_replace() 函数作用是对字符串进行正则处理，参数和返回值如下
mixed preg_replace(mixed $pattern,mixed $replacement,mixed KaTeX parse error: Expected 'EOF', Got '&' at position 30: …imit = -1[,int &̲count]])
这段代码的含义是搜索$subject中匹配$pattern 的部分，以$replacement 进行替换，而
$pattern处，及第一个参数存在e修饰时，$replacement 的值会被当成 PHP 代码来执行。典型的代码如下

?code=phpinfo();"}

提交参数[?code=[phpinfo()]], phpinfo() 会被执行

3.4 call_user_func()

call_user_func() 等函数都有调用其他函数的功能，其中一个参数作为要调用的函数名，那如果这个传入的函数名可控，那就可以调用以外的函数来执行我们想要的代码，也就是存在任意代码执行漏洞。
以 call_user_func() 为例子，该函数的第一个参数作为回调函数，测试代码如下

提交参数[?fun=assert¶=phpinfo()]
注意：这里不能使用 eval，因为 eval 是语言结构，不是函数。

5 动态函数$a($b)
由于 PHP 的特性原因，PHP 的函数支持直接由拼接的方式调用，这导致 PHP 再安全上的控制又加大了难度。不少知名程序也用到了动态函数的写法，这种写法跟使用 call_user_func() 的初衷一样，用来更加方便的调用函数，但是一旦过滤不严格就会造成代码执行漏洞。
测试代码如下：