解析與應對PHP中的eval函數

Question

免責聲明：這只是一個範例，用於學習PHP程式碼注入，而不是在任何方式中使用的生產程式碼。我完全意識到這不是良好的編碼實踐。

我有以下PHP腳本：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title>範例腳本</title>
  </head>
  <body>
    <h1>範例頁面</h1>
    <p>現在進行數學計算。請輸入一個公式進行計算。例如：1 1。 </p>
    <form method="get">
      <p>公式：<input type="text" name="maths" /></p>
      <p><input type="submit" value="計算" /></p>
    </form>
<?
  if (( isset($_REQUEST["maths"])) && ($_REQUEST["maths"] != "") )
    {

      echo "<p>結果是：";
      eval("echo (".$_REQUEST["maths"].");");
      echo "</p>";
    }
?>
  </body>
</html>

這個腳本容易受到PHP程式碼注入的攻擊，我可以透過以下方式來破壞它（大部分是透過試誤發現的）：

$a='1');phpinfo();echo($a

然而，我並不完全理解其中的原理。據我理解，我需要完成echo語句，插入自己的程式碼（例如phpinfo()），然後寫另一個函數（例如echo）來處理閉合括號。

我以為像這樣的程式碼會起作用：

");phpinfo();echo("

然而，這並不起作用，因為phpinfo被視為字串的一部分，不會被eval函數評估。 我還嘗試了轉義引號，但沒有成功。

問題：

• 在這裡注入程式碼的正確方式是什麼？
• 為什麼$a='1');phpinfo();echo($a會起作用？

Answer 1

問題在於這個語句是無效的：

echo ();

它會導致解析錯誤。所以你需要注入一些東西來避免這個錯誤。例如：

$var = "1); phpinfo(); echo (1";
eval("echo ($var);");

Answer 2

當你使用那個輸入時，替換變數的結果是：

eval("echo ($a='1');phpinfo();echo($a);");

所以這裡賦值了 $a='1'，並且輸出了該賦值的結果（即被賦給 $a 的值）。然後執行了 phpinfo()。最後再次輸出了 $a。

如果你嘗試使用);phpinfo();echo(，它不會起作用，因為它試圖執行echo ()。但是echo至少需要一個參數。

所以要在這裡注入程式碼，你必須確保輸入以在 echo ( 之後是有效的內容開頭，並且以在 ); 之前是有效的內容結尾。將你想要注入的額外程式碼放在這兩部分之間。