PHP代码审计2-常用超全局变量,常用命令注入,常用XSS漏洞审计,文件包含
超全局变量
$GLOBALS — 引用全局作用域中可用的全部变量
$_SERVER — 服务器和执行环境信息
$_GET — HTTP GET 变量
$_POST — HTTP POST 变量
$_FILES — HTTP 文件上传变量
$_REQUEST — HTTP Request 变量
$_SESSION — Session 变量
$_ENV — 环境变量
$_COOKIE — HTTP Cookies
已经被弃用的变量
$_HTTP_COOKIE_VARS
$_HTTP_ENV_VARS
$_HTTP_GET_VARS
$_HTTP_POST_FILES
$_HTTP_POST_VARS
$_HTTP_SERVER_VARS
常用命令注入 【当存在以下命令时,可能导致命令注入(不同系统,情况不同)】
system():执行外部程序,并且显示输出
string system ( string $command [, int &$return_var ] )
同 C 版本的 system() 函数一样, 本函数执行 command 参数所指定的命令, 并且输出执行结果
exec():执行一个外部程序
string exec ( string $command [, array &$output [, int &$return_var ]] )
exec() 执行 command 参数所指定的命令。
passthru():执行外部程序并且显示原始输出
void passthru ( string $command [, int &$return_var ] )
同 exec() 函数类似, passthru() 函数 也是用来执行外部命令(command)的。 当所执行的 Unix 命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec() 或 system() 函数。 常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。
`` 反引号
shell_exec():通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回
string shell_exec ( string $cmd )
popen():打开进程文件指针
$command , string $mode )打开一个指向进程的管道,该进程由派生给定的 command 命令执行而产生。
proc_open():执行一个命令,并且打开用来输入/输出的文件指针。
resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] )
类似 popen() 函数, 但是 proc_open() 提供了更加强大的控制程序执行的能力
pcntl_exec():在当前进程空间执行指定程序
void pcntl_exec ( string $path [, array $args [, array $envs ]] )
常见代码执行函数
eval():把字符串作为PHP代码执行
mixed eval ( string $code )
把字符串 code 作为PHP代码执行。
assert():检查一个断言是否为 FALSE
PHP5:bool assert ( mixed $assertion [, string $description ] )
PHP7:bool assert ( mixed $assertion [, Throwable $exception ] )
assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动。
preg_replace():执行一个正则表达式的搜索和替换
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
搜索subject中匹配pattern的部分, 以replacement进行替换。
常用XSS漏洞审计
反射型
1、变量直接输出
echo $_GET("XSS")
2、$_SERVER变量参数
$_SERVER['PHP_SELF']:PHP_SELF:当前执行脚本的文件名,与 document root 有关
$_SERVER['HTTP_USER_AGENT']:当前请求头中 User-Agent: 项的内容,如果存在的话。该字符串表明了访问该页面的用户代理的信息
$_SERVER['HTTP_REFERER']:引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定
$_ SERVER ['REQUEST_URI']:访问页面使用的请求方法,可能需要结合urldecode()进行解码
存储型
审查SQL语句
主要是 update insert 更新和插入语句,内容输入输出没有被过滤或者过滤不严!
防御:htmlspecialchars 函数
string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = true ]]] )
预定义字符
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >
文件包含
在 PHP 中,有四个用于包含文件的函数,当使用这些函数包含文件时,文件中包含的 PHP代码会被执行
include():当使用该函数包含文件时,只有代码执行到 include()函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行
include_once():功能和 include()相同,区别在于当重复调用同一文件时,程序只调用一次。
require():
1.require()与 include()的区别在于 require()执行如果发生错误,函数会输出错误信息,并终止脚本的运行。
2.使用 require()函数包含文件时,只要程序一执行,立即调用文件,而 include()只有程序执行到该函数时才调用
require_once():
它的功能与 require()相同,区别在于当重复调用同一文件时,程序只调用一次。
本地包含:受gpc影响,截断%00
远程包含:前提将配置文件中allow_url_fopen 和 allow_url_include设为 On
伪协议【伪协议不同于因特网上所真实存在的协议,如http://,https://,ftp://,而是为关联应用程序而使用的.如:tencent://(关联QQ),data:(用base64编码来在浏览器端输出二进制文件),还有就是javascript:】
php://filter/read=convert.base64-encode/resource=
在 allow_url_include = On 且 PHP >= 5.2.0php://input
