PHP审计基础

php核心配置

register_globals 全局变量注册开关 设置为on时,把GET/POST的变量注册成全局变量 PHP 5.4.0中移除
allow_url_include 包含远程文件 设置为on时,可包含远程文件 PHP 5.2后默认为off
allow_url_fopen  打开远程文件    
magic_quotes_gpc 魔术引号自动过滤 设置为on时,自动在GET/POST/COOKIE变量中',",\,NULL的前面加上\ PHP5不会过滤$_SERVER变量,PHP5.4以后移除
magic_quotes_runtime 魔术引号自动过滤 与mq_gpc的区别:mq_runtime只过滤从数据库/文件中获取的数据 PHP5.4以后移除
magic_quotes_sybase 魔术引号自动过滤 会覆盖掉_gpc;仅仅转义NULL和把'替换成" PHP5.4以后移除
safe_mode 安全模式 联动配置指令有很多;...... PHP5.4以后移除
open_basedir PHP可访问目录 用;分割多个目录,且以前缀而非目录划分 PHP5.2.3以后范围时PHP_INI_ALL
disable_functions 禁用函数 如果使用此指令,切记把dl()函数也加入到禁用列表  
display_errors/error_reporting 错误显示 d_errors为off时,关闭错误回显,为on时,可配置e_reporting,等级制  
。。。      

 

 

 

 

审计思路

1)敏感关键字

2)可控变量

3)敏感功能点

4)通读代码

 

SQL注入

经常出现在登录页面/获取HTTP头/订单处理等地方。

防范

1.addslashes函数

过滤的值范围和_gpc时一样的

2.mysql_[real_]escape_string函数

在PHP 4.0.3以上,\x00 \n \r \ ' " \xla受影响

3.intval等字符转化

上面提到的过滤方式,对int类型注入效果并不好。

4.PDO prepare预编译

 

XSS漏洞

输出函数:print/print_r/echo/var_dump/printf/sprintf/die/var_export

经常出现在文章发表/评论回复/留言以及资料设置等地方。特别是在发表文章的时候,因为这里大多都是富文本,有各种图片引用/文字格式设置等,所以经常出现对标签事件过滤不严格导致的xss。

 

CSRF漏洞

CSRF主要用于越权操作,所以漏洞自然在有权限控制的地方,像管理后台/会员中心/论坛帖子以及交易管理等。

黑盒挖掘经验:打开几个有非静态操作的页面,抓包看看有没有token,如果没有的话,再直接请求(不带referer)这个页面,如果返回的数据还是一样的话,那说明很有可能有CSTF漏洞了。

白盒挖掘经验:通读代码看看几个核心文件里面有没有验证token和referer相关的代码。核心文件指被大量文件引用的文件。

 

文件包含漏洞

include/include_once/require/require_once

文件包含漏洞大多出现在模块加载/模板加载以及cache调用的地方,比如传入的模块名参数,实际上是直接把这个拼接到了包含文件的路径中。

文件包含截断:

1.%00;受限于gpc和addslashes,php5.3之后被修复。

2.././....;不受限gpc,同样在PHP5.3之后被修复。windows下240个.或者./能够截断,linux2038个./组合才能截断

 

文件上传漏洞

move_uploaded_file

1.未过滤或本地过滤

2.黑名单拓展名过滤

3.文件头/content-type验证绕过

 

代码执行漏洞

eval/assert/preg_replace/call_user_func/call_user_func_array/array_map等,还有PHP东陶函数$a($b)

preg_replace:读字符串进行正则处理,当pattern部分带/e修饰符时,replacement的值会被当成php代码执行。

call_user_func和array_map等数十个函数...

 

命令执行漏洞

system/exec/shell_exec/passthru/pcntl_exec/popen/proc_open/另外``实际上时调用shell_exec函数

system/exec/shell_exec/passthru会执行命令并直接回显结果

pcntl_exec:pcntl是PHP的多进程处理拓展,在处理大量任务的情况下会使用到

popen/prc_open不会直接回显结果,而是返回一个文件指针:popen('whoami >> D:2.txt','r')

 

变量覆盖漏洞

extract/parse_str,import_request_variables则是用在没有开启全局变量注册的时候,调用这个函数则相当于开启了全部变量这侧,PHP5.4以后被取消。

$$

extract需要一定条件,没有第二个参数或者第二个参数extract_type为EXTR_OVERWRITE/EXTR_IF_EXISTS时,可覆盖。

parse_str直接覆盖

import_request_variables把GET/POST/COOKIE的参数注册成变量,用在register_globals被禁止时,需要php4.1~5.4。

 

业务逻辑漏洞

逻辑漏洞很大,这里单说业务逻辑上面的漏洞。

支付/找回密码/程序安装等。

挖掘经验:通读代码,理解业务流程。

值得关注的点:程序是否可重复安装/修改密码处是否可越权修改其他用户密码/找回密码验证码是否可暴力破解以及修改其他用户密码/cookie是否可预测/cookie验证是否可绕过等。

 

posted @ 2019-05-22 11:19  p0pl4r  阅读(293)  评论(0编辑  收藏  举报