Php5 GPC绕过缺陷

转载 2007年09月13日 20:07:00
Php5 GPC绕过缺陷
--------------------------------------------------------------------------------
作者:T_Torchidy  来源:  类别:漏洞分析资料  日期:2006-08-13  今日/总浏览: 1/1027 


在讨论具体的缺陷之前我们先来了解一点php安全方面的小东西。magic_quotes_gpc选项是php中的一个重要的安全设置,当该选项为ON也就是打开的时候,所有从GET,POST,COOKie传递过来的数据中的',", /,以及NULL等元字符都会被自动的加上/实现转义,这个选项使得Sql注入或者插入代码以及XSS中引入字符串或者改变程序流程变得困难,但是在php5中一些特殊变量的存在使得在某些情况下,还是会被恶意用户引入元字符到数据库以及程序中。
    Php中的变量除了来源于$_GET,$_POST,$_Cookie的提交之外,还来源于$_SERVER,$_ENV, $_SESSION等等,其中$_ENV和$_SESSION我们又不能很方便的控制和自由提交,所以剩下一个$_SERVER变量。而$_SERVER变量包括的东西里除了来自服务器本身还有有很大一部分来源于用户提交的HTTP请求,如:

QUERY_STRING             //用户GET方法提交时的查询字符串
HTTP_REFERER             //用户请求的来源变量,在一些程序取得用户访问记录时用得比较多
HTTP_USER_AGENT          //用户的浏览器类型,也用于用户的访问记录的取得
HTTP_HOST                //提交的主机头等内容
HTTP_X_FORWARDED_FOR     //用户的代理主机的信息

如上的变量在php5.0以下是受magic_quotes_gpc选项影响的,当magic_quotes_gpc选项为ON时,该数组中的元字符等内容就会做转义处理,为OFF时,用户的提交就会不做任何处理,直接送到数组中。现在的大部分安全点的程序都已经注意到$GET,$POST,以及$Cookie的危险性,如下的内容摘自Discuz的变量初试化的代码:

$magic_quotes_gpc = get_magic_quotes_gpc();
@extract(daddslashes($_POST));
@extract(daddslashes($_GET));
if(!$magic_quotes_gpc) {
    $_FILES = daddslashes($_FILES);
}

很好,已经注意到来自$_GET,$_POST,$_FILES以及$_Cookie的变量的安全性,但是$_SERVER变量呢?尽管在magic_quotes_gpc为on的情况下这些变量可能受到保护,但是很明显,忽视$_SERVER的结果就是安全隐患的增加,你就可以去寻找程序取得$_SERVER的地方,很可能就是脆弱点了!同样,在Bo-blog里有如下代码:

$ip_tmp1 = $_SERVER['HTTP_X_FORWARDED_FOR'];
if ($ip_tmp1!= "" && $ip_tmp1!= "unknown") $userdetail['ip']=$ip_tmp1;
else $userdetail['ip']=$ip_tmp;

然后在tb.php中58行左右用如下语句写replies表:

$blog->query("INSERT INTO  `{$db_prefix}replies` VALUES ('{$currentmaxid}', '4', '{$v_id}', '{$reptime}', '-1', '{$blog_name}', '{$title}', '{$url}', '{$userdetail['ip']}', '{$excerpt}', '0', '0', '0', '0', '', '0', '', '0', '', '0', '', '', '', '', '', '', '', '')");

很明显可以看到,如果我们能避过'然后用/*注释掉后面的东西的话,我们就可以伪造IP后面的一些内容了,由于很多程序本身就疏于对$_SERVER变量,所以我们只要饶过php本身对'的转义就可以了。在php4中,如果magic_quotes_gpc为Off的话就不用管了,但是如果magic_quotes_gpc为On的话,我们可能作为就不是那么大了!
    但是这种情况在php5中获得了彻底的改观,在测试中发现php5中无论magic_quotes_gpc是On还是Off,Php对$_SERVER变量是不会做转义处理的,意味着我们可以很轻松地带进程序',",以及NULL字符,这对于那些变量过滤不严格的程序来说是致命的!不知道php5是为了什么原因而这样做的,用如下的脚本可以证明这一点:

<?
echo "a=".$_GET[a]."/r/n";
echo "HTTP_X_FORWARDED_FOR=".$_SERVER['HTTP_X_FORWARDED_FOR']."/r/n";
echo "HTTP_REFERER=".$_SERVER['HTTP_REFERER']."/r/n";
echo "QUERY_STRING=".$_SERVER['QUERY_STRING']."/r/n";
?>

我们在magic_quotes_gpc为ON 和 Php5的情况下用NC向服务器提交:

GET /eqdkp/includes/3.php?a=Test' HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: luckboy.sufee.net
Connection: Keep-Alive
X-Forwarded-For: 'Test"'
Referer: 'Test"'
Cookie: herefirst=yes; eqdkp_data=a%3A2%3A%7Bs%3A13%3A%22auto_login_id%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22user_id%22%3Bi%3A-1%3B%7D; eqdkp_sid=3c458d65b8c8e504b4427ba8de2eddb3

将会看到:

Warning: inverse host lookup failed for 221.230.129.116: h_errno 11004: NO_DATA

heman.sufee.net [221.230.129.116] 80 (http) open
HTTP/1.1 200 OK
Connection: close
Date: Mon, 07 Aug 2006 09:02:24 GMT
Content-Type: text/html
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/5.0.4
X-Powered-By: ASP.NET

a=Test/'
HTTP_X_FORWARDED_FOR='Test"'
HTTP_REFERER='Test"'
QUERY_STRING=a=Test'

很显然,在php5的环境中我们的$_SERVER变量将不再受magic_quotes_gpc的保护,至于程序该如何加强自己的安全性,还是那句话,加强程序自身的过滤机制吧,不要依赖于语言本身了!记得所有的输入都是有害的 

相关文章推荐

Php5 GPC绕过缺陷

创建时间:2006-08-07 文章属性:原创 文章提交:T_Torchidy (jnchaha_at_163.com) 在讨论具体的缺陷之前我们先来了解一点php安全方面的小东西。magi...

php5中的GPC绕过缺陷

magic_quotes_gpc选项是php中的一个重要的安全设置,当该选项为ON也就是打开的时候,所有从GET,POST,COOKie传递过来的数据中的',", \,以及NULL等元字符都会被自动的...

php5全版本绕过open_basedir读文件脚本 -- phith0n

漏洞很久之前(大概5年前)被提出来了,但并不是php代码上的问题,所以问题一直存在,直到现在。我一直没留意,后来yaseng告诉我的,他测试了好像5.5都可以。 他在评论里发过了:http://zo...
  • god_7z1
  • god_7z1
  • 2014年12月11日 19:08
  • 641

应用Yii1.1和PHP5进行敏捷Web开发03

第二章:入门 很快你就会发现,真正了解Yii只需要使用它。在这一章中,我们将讲解一个Yii应用,更深刻的了解上一章所介绍的Yii的一些概念。遵循Yii的约定,我们写一个Hello, World程序试...

完全PHP5笔记之(COOKIE与SESSION篇)

最近发现写博客也是提高学习效率的有效途径之一。好记性不如烂笔头,归纳总结时,你会发现总有一些东西你认为很熟了,它却在细微处讽刺你的错误。我学习COOKIE与SESSION 时,几乎把社区所有相关的帖子...

记一次痛苦的过程-------源码编译安装apache+php5+mysql

当时有我们准备做一个项目,于是我就自己搭建了lamp服务器,直接yum install所有文件,因为centos是一个比较稳重的系统,所以它上面所有软件都不是最新的,apache是2.2.15版本,p...

Window环境下Nginx + PHP5 + Memcache配置

之前一直用xampp,几乎不用配置,使用起来挺方便的,但是,客户在国外啊,客户当然不会都是高手,所以给客户部署环境最麻烦的就是网络慢,一次传个几十M的文件真让人受不了啊,所以就把主意打到nginx(E...
  • cmd9x
  • cmd9x
  • 2012年06月21日 15:58
  • 548

Cannot load php5apache2_4.dll into server解决办法;

一.原因1: 我们在安装好Apache服务器,一开始正常,但安装PHP配置完成之后,再次启动apache的时候出现了错误 the requested operation has failed; A...

php5对象复制、clone、浅复制与深复制的区别与介绍

对象复制的由来  为什么对象会有“复制”这个概念,这与PHP5中对象的传值方式是密切相关的,让我们看看下面这段简单的代码  PHP代码      * /**      * * 电视机类...

php5+apache2+mysql环境安装authpuppy

php5+apache2+mysql环境安装authpuppy
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Php5 GPC绕过缺陷
举报原因:
原因补充:

(最多只允许输入30个字)