PHP代码审计基础-初级篇

日光海岸 發表於 2019-10-8 18:59:00

对于php代码审计我也是从0开始学的，对学习过程进行整理输出沉淀如有不足欢迎提出共勉。对学习能力有较高要求，整个系列主要是在工作中快速精通php代码审计，整个学习周期5天，建议花一天时间熟悉php语法。
 
我是直接phpstudy2019一键搭建小白首选
所谓工欲善其事必先利其器，找一款适合自己的php开发工具自行百度搭建，我用的是phpstrom .
 
初级篇主要讲
1. php历史版本漏洞。
2. 变量配置缺陷。
3. 函数缺陷。
4. 弱语言缺陷。
 
<h1 id="PHP代码审计初级篇--PHP配置漏洞">PHP配置漏洞</h1>
 
我们要熟知php各版本漏洞
<h3 id="PHP代码审计初级篇--Register_globals全局变量注册开关">Register_globals  全局变量注册开关</h3>
在该选项为on情况下，会直接把用户GET，POST等方式提交的参数注册成全局变量并初始化值为参数对应的值
Php小于4.2.3默认打开 5.3废弃 5.4移除
 
<h3 id="PHP代码审计初级篇--Allow_url_include是否允许包含远程文件">Allow_url_include  是否允许包含远程文件</h3>
Php 5.2 后默认设置off
 
<h3 id="PHP代码审计初级篇--Magic_quotes_gpc魔术引号自动过滤">Magic_quotes_gpc 魔术引号自动过滤</h3>
会自动在get post,cookie 变量对单引号，双引号，反斜杠，空字符的前面加反斜杠
缺陷不会过滤$_SERVER 变量 
Php5.3后废弃，5.4移除小于4.2.3 默认打开
 
<h3 id="PHP代码审计初级篇--Magic_quotes_runtime魔术引号自动过滤">Magic_quotes_runtime  魔术引号自动过滤</h3>
和上面一样却是对从数据库取出的数据进行转义  防止二次注入同样在5.4取消
 
 
<h3 id="PHP代码审计初级篇--Safe_mode安全模式">Safe_mode  安全模式</h3>
在开启时做命令执行操作会提示执行命令失败，和一些敏感操作. 可以查看配置是否开启。
 
<h3 id="PHP代码审计初级篇--Open_basedir可访问目录">Open_basedir  可访问目录</h3>
默认web目录，查看配置是否出现全目录可访问情况
 
<h3 id="PHP代码审计初级篇--Disable_functions禁用函数">Disable_functions 禁用函数</h3>
禁用敏感函数如exec  可以通过dl()函数来绕过自定义php扩展方法实现命令执行，这个函数并不安全。
 
<h3 id="PHP代码审计初级篇--Display_errors错误显示">Display_errors  错误显示</h3>
生产环境关闭错误回显 display_errors=off
 
<h1 id="PHP代码审计初级篇--PHP漏洞函数">PHP漏洞函数</h1>
<h2 id="PHP代码审计初级篇--变量覆盖"> 变量覆盖</h2>
<h3 id="PHP代码审计初级篇--extract()">      extract()</h3>
该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。条件：若有EXTR_SKIP则不行。
<div class="cnblogs_code">
<pre><?php
$a = "Original";
$my_array = array("a" => "Cat", "b" => "Dog", "c" => "Horse");
extract($my_array);
echo "$a = $a; $b = $b; $c = $c";
?>

# 结果：$a = Cat; $b = Dog; $c = Horse</pre>
</div>
<h3 id="PHP代码审计初级篇--parse_str()">      parse_str()</h3>
解析字符串并注册成变量
<div class="cnblogs_code">
<pre>$b=1;
Parse_str('b=2');
Print_r($b);
# 结果: $b=2</pre>
</div>
<h3 id="PHP代码审计初级篇--import_request_variables()">      import_request_variables()</h3>
将 GET/POST/Cookie 变量导入到全局作用域中，全局变量注册。在5.4之后被取消，只可在4-4.1.0和5-5.4.0可用。
<div class="cnblogs_code">
<pre>//导入POST提交的变量值，前缀为post_
import_request_variable("p"， "post_");
//导入GET和POST提交的变量值，前缀为gp_，GET优先于POST
import_request_variable("gp"， "gp_");
//导入Cookie和GET的变量值，Cookie变量值优先于GET
import_request_variable("cg"， "cg_");</pre>
</div>
<h3 id="PHP代码审计初级篇--$$变量覆盖">    $$变量覆盖</h3>
## 提交参数chs，则可覆盖变量"$chs"的值。$key为chs时，$$key就变成$chs
<div class="cnblogs_code">
<pre><?
$chs = '';
if($_POST && $charset != 'utf-8'){
$chs = new Chinese('UTF-8', $charset);
foreach($_POST as $key => $value){
 $$key = $chs->Convert($value);
}
unset($chs);
}</pre>
</div>
<h2 id="PHP代码审计初级篇--绕过过滤的空白字符">绕过过滤的空白字符</h2>
<div class="cnblogs_code">
<pre>" "%00" (ASCII0 (0x00))，空字节符。
制表符
"\t" (ASCII9 (0x09))，水平制表符。
空白字符：
"\n" (ASCII 10 (0x0A))，换行符。
"\v" "\x0b" (ASCII11 (0x0B))，垂直制表符。
"\f" "%0c" 换页符
"\r" "%0d"(ASCII13 (0x0D))，回车符。
空格:
" " "%20" (ASCII32 (0x20))，普通空格符。</pre>
</div>
Trim 函数过滤 \t\n\r 缺少了\f（%0c）
从而绕过%0c过滤
<h2 id="PHP代码审计初级篇--截断">截断</h2>
   
     Iconv 异常字符截断问题
<div class="cnblogs_code">
<pre>## 因iconv遇到异常字符就不转后面的内容了，所以可以截断。
## 这里chr(128)到chr(255)都可以截断。
$a='1'.char(130).'2';
echo iconv("UTF-8","gbk",$a); //将字符串的编码从UTF-8转到gbk
echo iconv('GB2312', 'UTF-8', $str); //将字符串的编码从GB2312转到UTF-8</pre>
</div>
<h3 id="PHP代码审计初级篇--eregi、ereg可用%00截断">  eregi、ereg可用%00截断</h3>
功能：正则匹配过滤条件：要求php<5.3.4可以把非法的数据放在%00后面进行绕过我们可以看一个ctf题就是考察了这个知识
## http://127.0.0.1/Php_Bug/05.php?password=1e9%00*-* #GET方式提交password，然后用ereg()正则限制了password的形式，只能是一个或者多个数字、大小写字母，继续strlen()限制了长度小于8并且大小必须大于9999999，继续strpos()对password进行匹配，必须含有-，最终才输出flag #因为ereg函数存在NULL截断漏洞，导致了正则过滤被绕过,所以可以使用%00截断正则匹配。 #对于另一个难题可以使用科学计数法表示，计算器或电脑表达10的的幂是一般是e，也就是1.99714e13=19971400000000，所以构造 1e8 即 100000000 > 9999999，在加上-。于是乎构造password=1e8%00*-*,成功得到答案
<div class="cnblogs_code">
<pre><?php
if (isset ($_GET['password'])) {
if (ereg ("^+$",$_GET['password']) === FALSE)
{
 echo 'You password must be alphanumeric';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
 if (strpos ($_GET['password'], '*-*') !== FALSE)
 {
 die('Flag: ' . $flag);
 }
 else
 {
 echo('*-* have not been found');
 }
}
else
{
 echo 'Invalid password';
}
}</pre>
</div>
<h3 id="PHP代码审计初级篇--move_uploaded_file用\0截断">     move_uploaded_file 用\0截断</h3>
5.4.x<= 5.4.39, 5.5.x<= 5.5.23, 5.6.x <= 5.6.7 原来在高版本（受影响版本中），PHP把长度比较的安全检查逻辑给去掉了，导致了漏洞的发生
获取文件名不一致%00 \0  导致截断后面的文件名
<h3 id="PHP代码审计初级篇--inclue用？截断">     inclue用？截断</h3>
<?php $name=$_GET['name']; $filename=$name.'.php'; include $filename; ?>
当输入的文件名包含URL时，问号截断则会发生，并且这个利用方式不受PHP版本限制，原因是Web服务其会将问号看成一个请求参数。测试POC： http://127.0.0.1/test/t1.php?name=http://127.0.0.1/test/secret.txt? 则会打开secret.txt中的文件内容。本测试用例在PHP5.5.38版本上测试通过。
 
<h3 id="PHP代码审计初级篇--系统长度截断">     系统长度截断</h3>
这种方式在PHP5.3以后的版本中都已经得到了修复。 win260个字符，linux下4*1024=4096字节
 
<h3 id="PHP代码审计初级篇--mysql长度截断">   mysql长度截断</h3>
mysql内的默认字符长度为255，超过的就没了。由于mysql的sql_mode设置为default的时候，即没有开启STRICT_ALL_TABLES选项时，MySQL对于插入超长的值只会提示warning
<h3 id="PHP代码审计初级篇--mysql中utf-8截断">     mysql中utf-8截断</h3>
<code>insert into dvwa.test values (14,concat("admin",0xc1,"abc"))</code>写入为admin  
<h2 id="PHP代码审计初级篇--弱类型比较">弱类型比较</h2>
 
以下等式会成立
<div class="cnblogs_code">
<pre>'' == 0 == false

'123' == 123

'abc' == 0

'123a' == 123

'0x01' == 1

'0e123456789' == '0e987654321'

[false] == == [NULL] == ['']

NULL == false == 0

true == 1</pre>
</div>
<h3 id="PHP代码审计初级篇--==、>、<的弱类型比较">    ==、>、<的弱类型比较</h3>
这里用到了PHP弱类型的一个特性，当一个整形和一个其他类型行比较的时候，会先把其他类型转换成整型再比。
<div class="cnblogs_code">
<pre>##方法1

##$a["a1"]="1e8%00";

##这里用%00绕过is_numeric,然后1e8可以比1336大，因此最后能$v1=1

##方法2

##$a["a1"]=["a"];

##使用数组，可以，因为数组恒大于数字或字符串

##方法3

##$a["a1"]=1337a;

##1337a过is_numeric，又由>转成1337与1336比较

<?php

is_numeric(@$a["a1"])?die("nope"):NULL;

if(@$a["a1"]){

var_dump($a);

($a["a1"]>1336)?$v1=1:NULL;

}

var_dump($v1);</pre>
</div>
<h3 id="PHP代码审计初级篇--switch弱类型">      switch 弱类型</h3>
<div class="cnblogs_code">
<pre>// 第一种：弱类型，1e==1
// $x1=1e
// 第二种：利用数组名字bypass
// $x1=1[]
// 传入后为string(3) "1[]",但在switch那里为1
if (isset($_GET['x1']))
{
$x1 = $_GET['x1'];
$x1=="1"?die("ha?"):NULL;
switch ($x1)
{
 case 0:
 case 1:
 $a=1;
 break;
}
}</pre>
</div>
<h3 id="PHP代码审计初级篇--md5比较（0e相等、数组为Null）">      md5比较（0e相等、数组为Null）</h3>
<div class="cnblogs_code">
<pre>md5('240610708') //0e462097431906509019562988736854

md5('QNKCDZO') //0e830400451993494058024219903391

0e 纯数字这种格式的字符串在判断相等的时候会被认为是科学计数法的数字，先做字符串到数字的转换。

md5('240610708')==md5('QNKCDZO'); //True

md5('240610708')===md5('QNKCDZO'); //False


这样的对应数值还有：

var_dump(md5('240610708') == md5('QNKCDZO'));

var_dump(md5('aabg7XSs') == md5('aabC9RqS'));

var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));

var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));

var_dump('0010e2' == '1e3');

var_dump('0x1234Ab' == '1193131');

var_dump('0xABCdef' == ' 0xABCdef');</pre>
</div>
可以用于登录判断
240610708
技巧：找出在某一位置开始是0e的，并包含“XXX”的字符串
Md5 加密数组都是空可以利用绕过   
<h3 id="PHP代码审计初级篇--json传数据{“key”:0}">    json传数据{“key”:0}</h3>
PHP将POST的数据全部保存为字符串形式，也就没有办法注入数字类型的数据了而JSON则不一样，JSON本身是一个完整的字符串，经过解析之后可能有字符串，数字，布尔等多种类型。
第一个application/x-www-form-urlencoded，是一般表单形式提交的content-type第二个，是包含文件的表单。第三，四个，分别是json和xml，一般是js当中上传的.
{“key”:”0″}
这是一个字符串0，我们需要让他为数字类型，用burp拦截，把两个双引号去掉，变成这样：
{“key”:0}
 
<h3 id="PHP代码审计初级篇--十六进制与十进制比较">     十六进制与十进制比较</h3>
== 两边的十六进制与十进制比较，是可以相等的。
 
至此已经介绍完了php常规函数缺陷，版本漏洞，语言特性导致的漏洞。需要熟记这些缺陷的利用方法。
 

</div>
<div id="MySignature" role="contentinfo">
从此山高路远，纵马扬鞭。愿往后旅途，三冬暖，春不寒，天黑有灯，下雨有伞。此生尽兴，不负勇往。 
来源：https://www.cnblogs.com/feizianquan/p/11637318.html

頁: [1]

琼殿技术论坛's Archiver

PHP代码审计基础-初级篇