URL参数怎样传递触发php代码执行_URL参数传递触发php代码执行方法【解析】

URL参数若未严格过滤，可通过五种方式触发PHP代码执行：一、eval()等动态执行函数；二、文件包含+伪协议；三、反序列化魔术方法；四、preg_replace()/e修饰符（PHP

如果URL中包含特定参数，且PHP脚本未对输入进行严格过滤与转义，则可能被用于非预期地触发代码执行。以下是几种常见的URL参数传递并间接触发PHP代码执行的方式：

一、利用eval()函数配合可控参数

当PHP脚本中存在将URL参数直接传入eval()、assert()或create_function()等动态执行函数的逻辑时，攻击者可通过构造恶意参数实现代码执行。

1、确认目标页面是否存在类似$_GET['func']参数被直接送入eval()的代码片段。

2、在URL中附加参数，例如：?func=phpinfo();

立即学习“PHP免费学习笔记（深入）”；

3、若服务端代码为eval($_GET['func']);，则该参数将被当作PHP代码解析执行。

二、通过文件包含函数加载远程或本地恶意脚本

当URL参数被用于include、require、include_once或require_once等文件包含函数，且未限制协议和路径时，可借助伪协议或远程URL触发任意代码执行。

1、尝试使用data://协议注入PHP代码：?page=data://text/plain,

2、若服务器允许data://协议且无open_basedir限制，该payload将被当作PHP文件加载执行。

3、也可尝试php://input协议，配合POST请求体写入代码：?page=php://input，并在请求体中发送<?php phpinfo(); ?>

三、利用反序列化参数触发__wakeup或__destruct魔术方法

当URL参数（如token、data）被unserialize()反序列化，且其中对象类定义了可利用的魔术方法时，可能触发预设的危险操作。

1、识别参数是否被unserialize()处理，例如：unserialize($_GET['data']);

星辰Agent

科大讯飞推出的智能体Agent开发平台，助力开发者快速搭建生产级智能体

404

查看详情

2、构造含恶意类实例的序列化字符串，使__destruct()中调用system()、file_put_contents()等函数。

3、将生成的序列化字符串URL编码后作为参数提交：?data=O%3A8%3A%22Exploit%22%3A1%3A%7Bs%3A4%3A%22cmd%22%3Bs%3A9%3A%22phpinfo%28%29%22%3B%7D

四、通过preg_replace() /e修饰符注入（PHP 5.4.0以下）

在旧版PHP中，preg_replace()函数支持/e修饰符，允许将匹配结果作为PHP代码执行；若参数来自URL且未过滤，即可构成代码执行点。

1、确认目标PHP版本低于5.4.0，并检查是否存在类似preg_replace('/.*/e', $_GET['pattern'], 'test');的代码。

2、构造payload：?pattern=phpinfo()

3、该参数将被当作代码执行，输出phpinfo信息。

五、利用动态函数调用绕过简单白名单

当脚本通过URL参数控制函数名并调用call_user_func、call_user_func_array等函数时，若未校验函数名合法性，可调用危险函数。

1、查找形如call_user_func($_GET['func'], $_GET['arg']);的逻辑。

2、传入系统命令执行函数名：?func=system&arg=cat%20/etc/passwd

3、若无函数名黑名单或白名单机制，system()将被执行并回显命令结果。

以上就是URL参数怎样传递触发php代码执行_URL参数传递触发php代码执行方法【解析】的详细内容，更多请关注php中文网其它相关文章！