前言之前测试的时候发现很多菜刀的马都不能用了,大马也几乎3/4不能正常在php7运行网上百度也没有找到太多相关性的文章,就自己总结测试了一下关于安全性上的区别函数修改1. preg_replace()不再支持/e修饰符。
利用\e修饰符执行代码的后门大家也用了不少了,具体看官方的这段描述:如果设置了这个被弃用的修饰符, preg_replace() 在进行了对替换字符串的 后向引用替换之后, 将替换后的字符串作为php 代码评估执行(eval 函数方式),并使用执行结果 作为实际参与替换的字符串。
单引号、双引号、反斜线()和 NULL 字符在 后向引用替换时会被用反斜线转义.很不幸,在PHP7以上版本不在支持\e修饰符,同时官方给了我们一个新的函数preg_replace_callback:这里我们稍微改动一下就可以利用它当我们的后门:
2. create_function()被废弃 少了一种可以利用当后门的函数,实际上它是通过执行eval实现的。
可有可无3. mysql_*系列全员移除如果你要在PHP7上面用老版本的mysql_*系列函数需要你自己去额外装了,官方不在自带,现在官方推荐的是mysqli或者pdo_mysql这是否预示着未来SQL注入漏洞在PHP上的大幅减少呢~。
去特么的预示,我已经很久没在目标站上挖到过sql注入了,全都是预编译!4. unserialize()增加一个可选白名单参数$data = unserialize($serializedObj1 , ["allowed_classes" => true]); $data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);
其实就是一个白名单,如果反序列数据里面的类名不在这个白名单内,就会报错。
像这样的报错!可以是类名也可以是布尔数据,如果是FALSE就会将所有的对象都转换为__PHP_Incomplete_Class对象TRUE是无限制也可以传入类名实现白名单妈的,还好现在是可选不是必选,要是默认FALSE逼程序员弄白名单那就真的吐血了。
5. assert()默认不在可以执行代码这就是众多马不能用的罪魁祸首了,太多的马用assert()来执行代码了,这个更新基本就团灭,一般情况下修改成eval即可正常运行了~提一下,菜刀在实现文件管理器的时候用的恰好也是assert函数,这导致菜刀没办法在PHP7上正常运行。
语法修改1. foreach不再改变内部数组指针&$n){ echo ""; } print_r($a); foreach ($a as $k=>$n){ echo ""; } print_r($a);
这样的代码在php5中,是这样的执行结果:
因为数组最后一个元素的 $value 引用在 foreach 循环之后仍会保留,在第二个循环的时候实际上是对之前的指针不断的赋值php7中通过值遍历时,操作的值为数组的副本,不在对后续操作进行影响这个改动影响了某些cms的洞在PHP7上无法利用了….你知道我指的是哪个洞的。
这个问题在PHP7.0.0以后的版本又被改回去了,只影响这一个版本2. 8进制字符容错率降低在php5版本,如果一个八进制字符如果含有无效数字,该无效数字将被静默删节
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。