18-PHP常见漏洞之代码审计

1、sql注入漏洞中，常见的防护方案有哪些？请简述原理和用法

• 类型转换（数字型）

  原理：将输入内容强制转换为整数或浮点来防止SQL注入

  常用函数：

  • intval($input)

  • floatval()

  • floor()

  • (int)$input

  • $input + 0

    以intval函数为例，用法如下：

    <?php
    /*强制类型转换*/
    $id=intval($_GET['id']); 	//因查询ID为整数 所以可以强制转换为整数
    $id=$pdo->quote($_GET['name']);
    /*预处理语句*/
    $stmt =$pdo->prepare("SELECT id, name FROM users WHERE id=?;");
    $stmt->execute([$_GET['id']]);
    ?>
    

• 特殊字符转义（字符型）

  原理：在单引号'、双引号"、反斜线\与 NULL前加上反斜线可用于防止SQL注入。

  • addslashes函数以及magic_quotes_gpc选项具有该功能
    其中，当magic_quotes_gpc=On时，如果post、get、cookie过来的数据有单引号、双引号、反斜线与 NULL等字符，PHP解析器就会自动增加转义字符\，如果这个选项为off，那么我们就必须调用addslashes函数来为字符串增加转义。

    • 开启gpc，打开php.ini 找到 magic_quotes_gpc = Off 设置成On 重启服务，即可开启

      <?php
      var_dump(get_magic_quotes_gpc()); //查询gpc的值 1 是开启 0是关闭
      

  用法：在程序中通常是检测 gpc是否开启 如果没有开启则使用 addslashes 对传过来的字符进行过滤

  <?php
  function check_put($str){
   if(!get_magic_quotes_gpc()){ 		//判断gpc是否开启
   return addslashes($str); 			//没有开启 使⽤ addslashes 进⾏过滤
   }
   return $str;
  }
  echo check_put($_GET['id']);
  

2、针对常见的防护方案，哪些是可以绕过的？哪些又没法绕过？

• 以下场景可以实现绕过

  • SQL语句中传参无单引号闭合：如数字型时，攻击者的SQL注入语句不需要单引号闭合，即addslashes函数不起作用，可以绕过。

  • 宽字节注入（传入的参数会使用GBK编码，如：iconv()和 mb_convert_encodeing()函数等）

    如：SQL语句为id=1%df'时，addslashes()函数会在单引号(%27)前面加⼀个反斜杠(%5c)，在GBK编码中，%df%5c为汉字運，这就导致后面的单引号逃逸，实现绕过。

  • 编解码绕过（urldecode、base64_decode、json_decode 编码注入）

    以urldecode编码注入为例：对注入语句进行两次编码，首先前端会进行一次解码，然后将依旧是url编码的注入语句传递给后端，使得addslashes()过滤失效，最后urlencode函数进行解码还原注入语句

    $id= $_GET['id'];
    $id = addslashes($id);
    $id = urldecode($id);
    echo "select * from news where id='$id'";
    

  • 弱类型绕过

    php是⼀种弱类型，会自动转换类型。如果只是判断并没有赋值。可能会造成漏洞。如

    <?php
    $id = isset($_GET['id'])?$_GET['id']:1;
    //如果使⽤intval
    if(intval($id)<99){		//仅判断并没有赋值,id=1' or 1=1即可绕过
     die("不符合条件");
    }
    $sql= "select * from news where id=$id";
    echo $sql;
    

  • 二次注入绕过

    二次注入的原理：在第一次数据库插入数据的时候，仅仅使用了 addslashes或magic_quotes_gpc 对特殊字符进行转义，虽然会添加 \ 进行转义，但是\并不会插入到数据库中，在写数据库的时候还是保留了原来的数据。

  • http头信息注入绕过

    通常程序员会设置全局过滤防止SQL注入，开启之后 GET、POST、Cookie这些传入过来的值都会进行过滤。而http头信息是直接获取，不会对其进行过滤。通过http头信息注入，来实现绕过

• 没法绕过的场景

  • 强制类型转换（如intval函数处理数字型参数）
  • 参数化查询（预处理语句）：SQL代码与数据分离，使得攻击者无法改变SQL命令的结构。
  • 严格的输入白名单验证：非白名单字符（如'、"、#）会被直接拒绝。
  • 数据库权限最小化

3、请参考pikachu靶场，审计并利用宽字节注入漏洞

• 查询pikachu源码中set character_set_client=gbk语句，找到宽字节注入漏洞模块

  

  漏洞实现：构造kobe%df' or 1=1 #后，SQL语句变化%df\'or 1=1 #即 %df%5c%27 or 1=1 # ==> 運' or 1=1 # 实现单引号逃逸

  

4、命令注入漏洞常见的函数有哪些？

system( )：能够将字符串作为OS命令执行，自带输出功能。

exec( )：能够将字符串作为OS命令执行，需要输出执行结果。返回结果是有限的。

shell_exec( )：通过 shell 执行命令并将完整的输出以字符串的方式返回。

passthru( )：执行外部程序并且显示原始输出。

pcntl_exec( )：pcntl是linux下的⼀个扩展，可以支持php的多线程操作。pcntl_exec函数的作用是在当前进程空间执行。

popen( )：打开⼀个指向进程的管道，该进程由派生给定的 command 命令执行产生。

proc_open( )：执行⼀个命令，并且打开用来输入/输出的文件指针。

反单引号``：在php中称之为执行运算符，PHP 将尝试将反引号中的内容作为 shell 命令来执行，并将其输出信息返。

ob_start( )： 是 PHP 中用于开启输出缓冲的函数

5、代码执行漏洞常见的函数有哪些?

eval( )：函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码，且必须以分号结尾。

assert( )：功能是判断⼀个表达式是否成立，返回true or false，重点是函数会执行此表达式。

preg_replace( )：执行⼀个正则表达式的搜索和替换。

call_user_func( )： 把第一个参数作为回调函数调用。

call_user_func_array( )：调用回调函数，并把⼀个数组参数作为回调函数的参数。

create_function( )：PHP中的内置函数，用于在PHP中创建匿名(lambda-style)函数。

6、如何结合伪协议通过文件包含漏洞读取文件？请简述原理

伪协议： data://、php://input (使用前提：allow_url_include=on) 、php://filter（无限制）

• 以php://filter伪协议为例：

  • php://filter 伪协议允许对文件进行编码或解码，可以用于读取源码文件（绕过 include() 的 PHP 解析）对目标文件进行编码转换，绕过文件包含限制，获取文件原始内容。利用方式如下

    使用php://filter/read=convert.base64-encode/resource=/etc/passwd来读取并以Base64编码形式输出/etc/passwd文件的内容，最后进行Base64解码获取源码。

7、复习php常见漏洞

SQL注入漏洞

概述：未过滤的用户输入直接拼接 SQL 语句，导致恶意 SQL 语句执行。

修复方案：使用预编译语句和参数化查询，对所有用户输入进行严格的验证和过滤。

命令注入

概述：应用程序在执行系统命令时，未对用户输入进行适当的过滤或验证，导致攻击者能够注入恶意命令并在服务器上执行。

修复方案：使用过滤函数内置函数 escapeshellcmd(), escapeshellarg()，过滤和转义输入中的特殊字符，使用白名单限制输入，禁用危险函数。

代码执行

概述：在WEB中，PHP代码执行是指应用程序过滤不严，用户通过http请求将代码注入到应用中执行。

修复方案：严格对用户的输入进行验证与过滤、避免使用动态执行函数如eval()、create_function()、assert()、preg_replace()等、禁用危险函数，在php.ini中禁用不安全的函数，比如eval()、exec()、system()、passthru()等。

文件包含

概述：直接包含用户可控的文件路径，导致本地/远程代码执行。

修复方案：用户输入不能作为 include()的目标、限制 allow_url_include = Off（防止 RFI）、使用白名单验证文件路径。

文件上传

概述：未对上传文件的类型、内容、后缀名等进行严格校验，导致恶意代码上传并执行。

修复方案：严格限制上传文件类型、文件名处理、限制文件上传目录。

变量覆盖漏洞

概述：攻击者通过用户输入覆盖 PHP 代码中的全局变量进而影响程序的正常逻辑，甚至执行恶意操作。

修复方案：避免 extract() 和 parse_str()覆盖全局变量、明确变量来源不依赖全局变量。

XSS漏洞

概述：未对用户输入的数据进行输出时的 HTML 实体编码，导致攻击者可以注入恶意 JavaScript。

修复方案：对所有输出到浏览器的内容进行适当的HTML实体编码。

SSRF漏洞

概述：是由于服务端提供了从其他服务器获取数据，但没有对地址或协议等进⾏过滤或限制造成的漏洞。

修复方案：校验用户输入的url，限制协议类型、使用白名单机制。

CSRF

概述：攻击者诱导用户在已认证的状态下向应用发送伪造请求。

修复方案：添加token/Referrer校验，拒绝空Referrer。

XXE

概述：攻击者通过自定义实体访问系统文件或远程资源。

修复方案：禁用XML解析器中的外部实体解析、使用安全的XML库（默认不支持外部实体）、验证和清理输入的XML内容，避免恶意内容被解析。

反序列化

概述：反序列化不可信数据导致代码执行或逻辑绕过。

修复方案：避免反序列化用户输入、使用 JSON 等安全格式替代