解析和应对PHP中的eval函数

Question

免责声明：这只是一个示例，用于学习PHP代码注入，而不是在任何方式中使用的生产代码。我完全意识到这不是良好的编码实践。

我有以下PHP脚本：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
  <head> 
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title>示例脚本</title>
  </head>
  <body>
    <h1>示例页面</h1>
    <p>现在进行数学计算。请输入一个公式进行计算。例如：1+1。</p>
    <form method="get">
      <p>公式：<input type="text" name="maths" /></p>
      <p><input type="submit" value="计算" /></p>
    </form>
<? 
  if (( isset($_REQUEST["maths"])) && ($_REQUEST["maths"] != "") )
    { 

      echo "<p>结果是：";
      eval("echo (".$_REQUEST["maths"].");");
      echo "</p>";
    }
?>
  </body>
</html>

这个脚本容易受到PHP代码注入的攻击，我可以通过以下方式来破坏它（大部分是通过试错发现的）：

$a='1');phpinfo();echo($a

然而，我并不完全理解其中的原理。据我理解，我需要完成echo语句，插入自己的代码（例如phpinfo()），然后编写另一个函数（例如echo）来处理闭合括号。

我以为像这样的代码会起作用：

");phpinfo();echo("

然而，这并不起作用，因为phpinfo被视为字符串的一部分，不会被eval函数评估。 我还尝试了转义引号，但没有成功。

问题：

• 在这里注入代码的正确方式是什么？
• 为什么$a='1');phpinfo();echo($a会起作用？

Answer 1

问题在于这个语句是无效的：

echo ();

它会导致解析错误。所以你需要注入一些东西来避免这个错误。例如：

$var = "1); phpinfo(); echo (1";
eval("echo ($var);");

Answer 2

当你使用那个输入时，替换变量的结果是：

eval("echo ($a='1');phpinfo();echo($a);");

所以这里赋值了 $a='1'，并且输出了该赋值的结果（即被赋给 $a 的值）。然后执行了 phpinfo()。最后再次输出了 $a。

如果你尝试使用 );phpinfo();echo(，它不会起作用，因为它试图执行 echo ()。但是 echo 至少需要一个参数。

所以要在这里注入代码，你必须确保输入以在 echo ( 之后是有效的内容开头，并且以在 ); 之前是有效的内容结尾。将你想要注入的额外代码放在这两部分之间。