中国领先的IT技术网站
|
|
创建专栏

PHP漏洞挖掘——进阶篇

本篇文章从常见的PHP风险点告诉你如何进行PHP漏洞挖掘,以及PHP渗透测试中的黑盒与白盒。

作者:绿盟科技|2017-09-19 15:01

沙龙活动 | 去哪儿、陌陌、ThoughtWorks在自动化运维中的实践!10.28不见不散!


从常见的PHP风险点告诉你如何进行PHP漏洞挖掘,以及PHP渗透测试中的黑盒与白盒。你与PHP大师只有这一篇文章的差距!

一、PHP漏洞挖掘特点

PHP有着移植性好,容易部署,开发简单的特点,多用于中小型web应用的开发。这就导致了PHP应用的价值多体现在整站框架/模板的开发上。

PHP漏洞挖掘特点

PHP漏洞挖掘特点

程序员在设计一个站点的时候,永远会把功能实现和开发成本放在第一位,而这些恰恰是与安全相矛盾的。快速开发导致的后遗症就是,开发者在还未完全了解原站所有功能的情况下就将二次开发后的网站发布上线了。

很多开源模板被二次甚至三次开发,并冠以其它公司的名字。这类情况并不在少数。

PHP漏洞挖掘特点

二、PHP漏洞组成

PHP开发出来的系统存在很多特有漏洞,这些漏洞往往隐藏于服务端代码逻辑之中,而且极难通过黑盒的方式发现,传统的渗透性测试几乎无能为力。

PHP漏洞组成

PHP漏洞组成

于是我们需要转向更深处,看看盒子里面的构造。

三、PHP白盒审计

一句话描述我们要做的工作

起点 终点

被引用过很多次的一张图

一些特别的代码结构

当然还有“坑爹”的PHP特性

见过很多次的一个界面

三、如何进行漏洞挖掘——常见的PHP风险点

1. 可操作的参数名

常见的PHP风险点

如果我们提交URL:

key.php?=1&bbb=2 那么就导致一个xss的漏洞,想象一下如果这个key提交给include()等函数或者sql查询呢。

2. 变量覆盖

a)这时我们提交URL: var.php?a=bye那么最后的显示效果应该是什么呢?

b)需要注意的是那个%3d。这个问题也同样会作用于mb_parse_str()

c)在register_globals开启的时候,请求var.php?GLOBALS[a]=aaaa&b=111,效果会如何呢?

d) 在register_globals被禁止的时候,import_request_variables可以同样起到对全局变量赋值的作用。

3. magic_quotes_gpc

魔术引号magic_quotes_gpc其实某些意义上来讲并不算是一个风险点,相反它其实是一个PHP特有的安全设置。一般来讲,懒惰的程序猿们常常认为魔术引号是用来掩盖他们代码缺陷的万用过滤器。可惜那帮无聊的白帽子们总能想出绕过办法..

4. 下面几种情况可能会导致GPC被绕过1.$_SERVER

  • getenv()得到的变量
  • $HTTP_RAW_POST_DATA与PHP输入、输出流

5. 数据库操作容易忘记使用单引号保护

6. 宽字节注入

因此,各类编码的一编一转,最终被绕进去的很可能是程序员。可能出现问题的编码如下:

举个栗子——比如这段奇葩代码…

  1. <?php 
  2.  
  3. $sql = “SELECT * FROM article WHERE articleid='”.urldecode($_GET[id]).”‘”; 
  4.  
  5. ?> 

7. GPC的高级“用法”

  1. //提交                        ’ 
  2. //魔术引号处理         \’ 
  3. //我们要的字符         \ 

8. eval/preg_replace命令执行

命令执行无疑是PHP漏洞中最耸人听闻的一类了。简简单单一个请求就能够一步拿shell,这是多少黑客们梦寐以求的事情了…然而对于程序员来讲,犯下这样的错误往往就在一念之间。

9. ThinkPHP一键getshell

preg_replace的e修饰符会使进行替换时的replacement参数以PHP方式执行,又由于“作用导致分割后的第二个子串(参数值)被当做PHP函数执行。

http://www.11jia.net/index.php/module/action/param1/$%7B@phpinfo()%7D

10. 见命令执行函数

11. 其它PHP漏洞

session_destroy()任意删除文件漏洞(php4<4.3 php5<5.14):

当我们提交构造

  1. val.php?del=1cookie:PHPSESSID=/../1.php)时,由于session_destroy的作用会删除sess_/../1.php 

12. 特殊字符截断

著名的null字符截断————

提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”

13. 当然还有一些在梦游的程序员…

四、黑盒与白盒的统一

1. 黑盒与白盒

软件测试中的黑盒与白盒

PHP渗透测试中的黑盒与白盒

PHP渗透测试中的黑盒与白盒

典型的两种思路

2. 平时的学习应该如何加强

对于PHP站点的web安全评估需要引入的几点:

对于PHP站点的web安全评估需要引入的几点:

五、学习资料

  • http://www.php100.com/
  • http://www.5idev.com/
  • http://www.cnseay.com/
  • http://www.w3school.com.cn/
  • http://bbs.phpchina.com/
  • http://www.php-security.org/
  • http://bugs.php.net/http://sebug.net/

原文链接:http://blog.nsfocus.net/php-vulnerability-mining/

【本文是51CTO专栏作者“绿盟科技博客”的原创稿件,转载请通过51CTO联系原作者获取授权】

戳这里,看该作者更多好文

【编辑推荐】

  1. 放弃了 7 年的 Java,投身互联网做 PHP,我是如何成为创业公司的 CTO?
  2. OrientDB远程代码执行漏洞利用与分析
  3. Android漏洞扫描工具Code Arbiter
  4. 从CNVD-2017-17486谈缓冲区溢出漏洞的原理分析
  5. 有钱Python,没钱PHP,编程语言也嫌贫爱富
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

× Python最火的编程语言