PHP代碼審計基礎-初級篇

對於php代碼審計我也是從0開始學的，對學習過程進行整理輸出沉淀如有不足歡迎提出共勉。對學習能力有較高要求，整個系列主要是在工作中快速精通php代碼審計，整個學習周期5天 ，建議花一天時間熟悉php語法。

 

我是直接phpstudy2019一鍵搭建小白首選

所謂工欲善其事必先利其器，找一款適合自己的php開發工具自行百度搭建，我用的是phpstrom .

 

初級篇主要講

1. php歷史版本漏洞。

2. 變量配置缺陷。

3. 函數缺陷。

4. 弱語言缺陷。

 

PHP配置漏洞

 

我們要熟知php各版本漏洞

Register_globals  全局變量注冊開關

在該選項為on情況下，會直接把用戶GET，POST等方式提交的參數注冊成全局變量並初始化值為參數對應的值

Php小於4.2.3默認打開 5.3廢棄 5.4移除

 

Allow_url_include  是否允許包含遠程文件

Php 5.2 后默認設置off

 

Magic_quotes_gpc 魔術引號自動過濾

會自動在get post,cookie 變量對單引號，雙引號，反斜杠，空字符的前面加反斜杠

缺陷不會過濾$_SERVER 變量 

Php5.3后廢棄，5.4移除 小於4.2.3 默認打開

 

Magic_quotes_runtime  魔術引號自動過濾

和上面一樣 卻是對從數據庫取出的數據進行轉義  防止二次注入 同樣在5.4取消

 

 

Safe_mode  安全模式

在開啟時做命令執行操作會提示執行命令失敗，和一些敏感操作. 可以查看配置是否開啟。

 

Open_basedir  可訪問目錄

默認web目錄，查看配置是否出現全目錄可訪問情況

 

Disable_functions 禁用函數

禁用敏感函數如exec  可以通過dl()函數來繞過自定義php擴展方法實現命令執行，這個函數並不安全。

 

Display_errors  錯誤顯示

生產環境關閉錯誤回顯 display_errors=off

 

PHP漏洞函數

 變量覆蓋

      extract()

該函數使用數組鍵名作為變量名，使用數組鍵值作為變量值。針對數組中的每個元素，將在當前符號表中創建對應的一個變量。條件：若有EXTR_SKIP則不行。

<?php
$a = "Original";
$my_array = array("a" => "Cat", "b" => "Dog", "c" => "Horse");
extract($my_array);
echo "$a = $a; $b = $b; $c = $c";
?>
 
# 結果：$a = Cat; $b = Dog; $c = Horse

      parse_str()

解析字符串並注冊成變量

$b=1;
Parse_str('b=2');
Print_r($b);
# 結果: $b=2

      import_request_variables()

將 GET/POST/Cookie 變量導入到全局作用域中，全局變量注冊。在5.4之后被取消，只可在4-4.1.0和5-5.4.0可用。

//導入POST提交的變量值，前綴為post_
import_request_variable("p"， "post_");
//導入GET和POST提交的變量值，前綴為gp_，GET優先於POST
import_request_variable("gp"， "gp_");
//導入Cookie和GET的變量值，Cookie變量值優先於GET
import_request_variable("cg"， "cg_");

    $$變量覆蓋

## 提交參數chs，則可覆蓋變量"$chs"的值。$key為chs時，$$key就變成$chs

<?
$chs = '';
if($_POST && $charset != 'utf-8'){
    $chs = new Chinese('UTF-8', $charset);
    foreach($_POST as $key => $value){
        $$key = $chs->Convert($value);
    }
    unset($chs);
}

繞過過濾的空白字符

" "%00" (ASCII  0 (0x00))，空字節符。
制表符
"\t" (ASCII  9 (0x09))，水平制表符。
空白字符：
"\n" (ASCII 10 (0x0A))，換行符。
"\v" "\x0b" (ASCII  11 (0x0B))，垂直制表符。
"\f" "%0c" 換頁符
"\r" "%0d"(ASCII  13 (0x0D))，回車符。
空格:
" " "%20" (ASCII  32 (0x20))，普通空格符。

Trim 函數過濾 \t\n\r 缺少了\f（%0c）

從而繞過%0c過濾

截斷

   

     Iconv 異常字符截斷問題

## 因iconv遇到異常字符就不轉后面的內容了，所以可以截斷。
## 這里chr(128)到chr(255)都可以截斷。
$a='1'.char(130).'2';
echo iconv("UTF-8","gbk",$a); //將字符串的編碼從UTF-8轉到gbk
echo iconv('GB2312', 'UTF-8', $str); //將字符串的編碼從GB2312轉到UTF-8

  eregi、ereg可用%00截斷

功能：正則匹配過濾 條件：要求php<5.3.4可以把非法的數據放在%00后面進行繞過我們可以看一個ctf題就是考察了這個知識

## http://127.0.0.1/Php_Bug/05.php?password=1e9%00*-*
#GET方式提交password，然后用ereg()正則限制了password的形式，只能是一個或者多個數字、大小寫字母，繼續strlen()限制了長度小於8並且大小必須大於9999999，繼續strpos()對password進行匹配，必須含有-，最終才輸出flag
#因為ereg函數存在NULL截斷漏洞，導致了正則過濾被繞過,所以可以使用%00截斷正則匹配。
#對於另一個難題可以使用科學計數法表示，計算器或電腦表達10的的冪是一般是e，也就是1.99714e13=19971400000000，所以構造 1e8 即 100000000 > 9999999，在加上-。於是乎構造password=1e8%00*-*,成功得到答案

<?php
if (isset ($_GET['password'])) {
    if (ereg ("^[a-zA-Z0-9]+$",$_GET['password']) === FALSE)
    {
        echo '<p>You password must be alphanumeric</p>';
    }
    else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
    {
        if (strpos ($_GET['password'], '*-*') !== FALSE)
        {
            die('Flag: ' . $flag);
        }
        else
        {
            echo('<p>*-* have not been found</p>');
        }
    }
    else
    {
        echo '<p>Invalid password</p>';
    }
}

     move_uploaded_file 用\0截斷

5.4.x<= 5.4.39, 5.5.x<= 5.5.23, 5.6.x <= 5.6.7 原來在高版本（受影響版本中），PHP把長度比較的安全檢查邏輯給去掉了，導致了漏洞的發生

獲取文件名不一致%00 \0  導致截斷后面的文件名

     inclue用？截斷

<?php $name=$_GET['name']; $filename=$name.'.php'; include $filename; ?>

當輸入的文件名包含URL時，問號截斷則會發生，並且這個利用方式不受PHP版本限制，原因是Web服務其會將問號看成一個請求參數。 測試POC： http://127.0.0.1/test/t1.php?name=http://127.0.0.1/test/secret.txt? 則會打開secret.txt中的文件內容。本測試用例在PHP5.5.38版本上測試通過。

 

     系統長度截斷

這種方式在PHP5.3以后的版本中都已經得到了修復。 win260個字符，linux下4*1024=4096字節

 

   mysql長度截斷

mysql內的默認字符長度為255，超過的就沒了。 由於mysql的sql_mode設置為default的時候，即沒有開啟STRICT_ALL_TABLES選項時，MySQL對於插入超長的值只會提示warning

     mysql中utf-8截斷

insert into dvwa.test values (14,concat("admin",0xc1,"abc"))寫入為admin  

弱類型比較

 

以下等式會成立

'' == 0 == false
 
'123' == 123
 
'abc' == 0
 
'123a' == 123
 
'0x01' == 1
 
'0e123456789' == '0e987654321'
 
[false] == [0] == [NULL] == ['']
 
NULL == false == 0
 
true == 1

    ==、>、<的弱類型比較

這里用到了PHP弱類型的一個特性，當一個整形和一個其他類型行比較的時候，會先把其他類型轉換成整型再比。

##方法1
 
##$a["a1"]="1e8%00";
 
##這里用%00繞過is_numeric,然后1e8可以比1336大，因此最后能$v1=1
 
##方法2
 
##$a["a1"]=["a"];
 
##使用數組，可以，因為數組恆大於數字或字符串
 
##方法3
 
##$a["a1"]=1337a;
 
##1337a過is_numeric，又由>轉成1337與1336比較
 
<?php
 
is_numeric(@$a["a1"])?die("nope"):NULL;   
 
if(@$a["a1"]){
 
    var_dump($a);
 
    ($a["a1"]>1336)?$v1=1:NULL;
 
}
 
var_dump($v1);

      switch 弱類型

// 第一種：弱類型，1e==1
// $x1=1e
// 第二種：利用數組名字bypass
// $x1=1[]
// 傳入后為string(3) "1[]",但在switch那里為1
if (isset($_GET['x1']))
{
    $x1 = $_GET['x1'];
    $x1=="1"?die("ha?"):NULL;
    switch ($x1)
    {
        case 0:
        case 1:
            $a=1;
            break;
    }
}

      md5比較（0e相等、數組為Null）

md5('240610708') //0e462097431906509019562988736854
 
md5('QNKCDZO') //0e830400451993494058024219903391
 
0e 純數字這種格式的字符串在判斷相等的時候會被認為是科學計數法的數字，先做字符串到數字的轉換。
 
md5('240610708')==md5('QNKCDZO'); //True
 
md5('240610708')===md5('QNKCDZO'); //False
 
 
 
這樣的對應數值還有：
 
var_dump(md5('240610708') == md5('QNKCDZO'));
 
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
 
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
 
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
 
var_dump('0010e2' == '1e3');
 
var_dump('0x1234Ab' == '1193131');
 
var_dump('0xABCdef' == ' 0xABCdef');

可以用於登錄判斷

240610708

技巧：找出在某一位置開始是0e的，並包含“XXX”的字符串

Md5 加密數組都是空 可以利用繞過   

    json傳數據{“key”:0}

PHP將POST的數據全部保存為字符串形式，也就沒有辦法注入數字類型的數據了而JSON則不一樣，JSON本身是一個完整的字符串，經過解析之后可能有字符串，數字，布爾等多種類型。

第一個application/x-www-form-urlencoded，是一般表單形式提交的content-type第二個，是包含文件的表單。第三，四個，分別是json和xml，一般是js當中上傳的.

{“key”:”0″}

這是一個字符串0，我們需要讓他為數字類型，用burp攔截，把兩個雙引號去掉，變成這樣：

{“key”:0}

 

     十六進制與十進制比較

== 兩邊的十六進制與十進制比較，是可以相等的。

 

至此已經介紹完了php常規函數缺陷，版本漏洞，語言特性導致的漏洞。需要熟記這些缺陷的利用方法。