而在本文中，我将介绍，关于PHP语言，在绕过代码过滤和WAF规则去远程执行代码方面，到底有多少可能。当我写这类绕过防护的文章时，人们总是问“真的有人写这样的代码吗？”这些人通常都不是渗透测试人员。但是如果你还想问这个问题，我现在就回答你：YES。（ https://www.google.com/search?q=PHP+remote+code+execution）

以下是我用于测试的两个PHP脚本中的第一个。这个脚本显然太过简单，它只是单纯用来再现远程代码执行的场景（也许在真实的渗透场景中，你要花费很多精力才能找到这种漏洞点）：

从上图看，第六行代码显然是万恶之源。而第三行代码尝试拦截诸如system、exec或passthru之类的敏感函数（PHP中有许多函数可以执行系统命令，但是先让我们关注这三个函数）。假设这个脚本运行在CloudFlare WAF后面的Web服务器中（这里之所以使用CloudFlare，是因为它知名度高，并不说明它就不安全。所有WAF都或多或少有些问题）。第二个脚本是运行在ModSecurity + OWASP CRS3的环境下。

尝试读取/etc/passwd

我准备的第一个测试，是通过request请求/cfwaf.php?code=system("cat /etc/passwd");中的system()函数来读取/etc/passwd

如正上图所示，CloudFlare阻止了我的请求（可能是因为url含有敏感字符“/etc/passwd”），但是，如果您已阅读了我以前的一篇文章就会发现，我可以轻松利用cat /etc$u/passwd来绕过防护。

如上图所示，CloudFlare WAF已经被成功绕过，但是代码中的安全检查阻止了我的请求，因为我试图使用“system”函数。那么，有没有一种方法能让我在不使用“system”字符串的情况下使用system函数呢？让我们看一下PHP文档中的字符串说明部分！

PHP字符串进制转换

\[0–7]{1,3}代表这是八进制字符序列，值得注意的是由于溢出等原因，会有如下现象，例如 "\400"==="\000"

\x[0-9A-Fa-f]{1,2}代表这是十六进制字符序列（例如"\x41"）

\u{[0-9A-Fa-f]+}代表这是Unicode字符序列，在代码点的UTF-8下输出为字符串

不是每个人都知道PHP在表示同一个字符串上有很多方式，因此“PHP变量函数”就成了我们绕过过滤器和WAF规则的瑞士军刀。

PHP变量函数

PHP支持变量函数这一表现形式。这意味着，如果在变量名后附加圆括号，PHP将查找是否有和变量值相同的名字的函数，并尝试执行它。这个特性也可以应用于实现函数回调、函数表等。

这意味像$var(args);和"string"(args);等表现形式等同于function(args);如果可以通过使用变量或字符串去调用函数，那更进一步，我们就可以使用不同的进制序列去代替原函数名。以下是一个例子：

上图中的第三行显示了一个一个十六进制字符序列，是由字符串"system"转换而成，然后在后面跟上参数"ls"。让我们尝试在脚本中执行一下：

值得注意的是，这种方法不适用于所有PHP函数，这种变量函数方法不能用于构造诸如echo、print、unset()、isset()、empty()、include、require等系统特殊函数。但你也可以使用包装函数来构造它们。

安全检查升级

如果我再对双引号和单引号做限制呢？是否能绕过这种限制？让我们试试：

正如你在上图所看到的第三行，现在脚本会对用户输入的引号报警，我们以前的payload已经不能用了：

幸运的是，在PHP中字符串并不总是伴随着引号。在PHP中，你可以主动声明声明它的类型，像例如$a = (string)foo;在这种情况下，变量$a就是字符串“foo”。此外，你还可以使用圆括号，如下图：

在以上这种情况下，我们有两种方式绕过新的安全限制：第一个是使用(system)(ls);，但因为不能使用“system”这个字符串，所以我们可以用字符串连接，例如(sy.(st).em)(ls);。第二种是使用变量$_GET。如果我发送这样一个请求?a=system&b=ls&code=$_GET[a]($_GET[b]);,那么在代码执行中，$_GET[a]和$_GET[b]会被system和ls所替代，最终绕过引号的安全限制。

让我们尝试下payload(sy.(st).em)(whoami);

然后是另一个payload ?a=system&b=cat+/etc&c=/passwd&code=$_GET[a]($_GET[b].$_GET[c]);

此外，你甚至可以通过在函数名和参数内插入注释来绕过安全防御。以下所示都是有效的：

get_defined_functions

这个PHP系统函数会返回一个多维数组，该数组包含一个所有已定义函数（包括内部函数和用户定义函数）列表。内部函数可以通过$arr["internal"]来表示，用户定义的函数可以使用$arr["user"]来表示。例如：

以上就是在不使用系统函数的名称的情况下引用系统函数的另一种方式。如果我筛选字符串"system"，可以发现它的索引号，并利用这种方式使用它：

当然，这种方式也可以绕过CloudFlare WAF和代码中的安全过滤：

字符数组

PHP中的每个字符串都可视为一个字符数组，并且可以通过语法$string[2] 或 $string[-3]来引用单个字符。这同时也是另一种绕过安全规则的方法。例如，仅仅使用字符串$a="elmsty/";,我就可以组成命令执行语句system("ls /tmp");

如果幸运的话，你可以在脚本文件名中找到所需的所有字符。然后使用同样的方法，利用(__FILE__)[2]，就可以凑齐所有的命令执行字符：

OWASP CRS3

当我们面临OWASP CRS3的安全防护规则集时，一切都变得很困难。首先，使用之前列举的方法，我只能绕过第一层变态防御，这简直太不可思议了！因为第一层防御规则集只是CRS3规则的一个小子集，并且这个等级被设计用来阻止任何类型的假阳性访问。当面对第二层规则集防御，由于规则942430种“敏感SQL字符检测(args)：未知的特殊字符”，所有的攻击尝试都变得异常困难。我只能执行一个简单命令，而且还不能使用参数“ls”、“whoami”等。最终我还是不能像绕过CloudFlare WAF那样执行诸如system("cat /etc/passwd")之类的命令：