PHP 漏洞全解 1-9

PHP 漏洞全解(一)-PHP 网页的安全性问题
针对 PHP 的网站主要存在下面几种攻击方式:
1、命令注入(Command Injection)
2、eval 注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
4、跨网站脚本攻击(Cross Site Scripting, XSS)
5、SQL 注入攻击(SQL injection)
6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
7、Session 会话劫持(Session Hijacking)
8、Session 固定攻击(Session Fixation)
9、HTTP 响应拆分攻击(HTTP Response Splitting)
10、文件上传漏洞(File Upload Attack)
11、目录穿越漏洞(Directory Traversal)
12、远程文件包含攻击(Remote Inclusion)
13、动态函数注入攻击(Dynamic Variable Evaluation)
14、URL 攻击(URL attack)
15、表单提交欺骗攻击(Spoofed Form Submissions)
16、HTTP 请求欺骗攻击(Spoofed HTTP Requests)
几个重要的 php.ini 选项
Register Globals

PHP 漏洞全解(二)-命令注入攻击
命令注入攻击
PHP 中可以使用下列 5 个函数来执行外部的应用程序或函数
system、exec、passthru、shell_exec、“(与 shell_exec 功能相同)
函数原型
string system(string command, int &return_var)
command 要执行的命令
return_var 存放执行命令的执行后的状态值
string exec (string command, array &output, int &return_var)
command 要执行的命令
output 获得执行命令输出的每一行字符串
return_var 存放执行命令后的状态值
void passthru (string command, int &return_var)
command 要执行的命令
return_var 存放执行命令后的状态值作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com
string shell_exec (string command)
command 要执行的命令
漏洞实例
例 1:
//ex1.php

<?php $dir = $_GET["dir"]; if (isset($dir)) { echo "

";
system("ls -al ".$dir);
echo "

"; } ?>

我们提交 http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
提交以后，命令变成了 system(“ls -al | cat /etc/passwd”);
eval 注入攻击
eval 函数将输入的字符串参数当作 PHP 程序代码来执行
函数原型:
mixed eval(string code_str) //eval 注入一般发生在攻击者能控制输入的字符串的时候
//ex2.php

<?php作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com $var = "var"; if (isset($_GET["arg"])) { $arg = $_GET["arg"]; eval("\$var = $arg;"); echo "\$var =".$var; } ?>

当我们提交 http://www .sectop.com/ex2.php?arg=phpinfo();漏洞就产生了
动态函数

<?php func A() { dosomething(); } func B() { dosomething(); } if (isset($_GET["func"])) { $myfunc = $_GET["func"]; echo $myfunc(); } ?>

程序员原意是想动态调用 A和 B函数，那我们提交 http://www .sectop.com/ex.php?func=phpinfo 漏
洞产生
防范方法
1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用 escapeshellarg 函数来处理命令参数
4、使用 safe_mode_exec_dir 指定可执行文件的路径
esacpeshellarg 函数会将任何引起参数或命令结束的字符转义，单引号“’”，替换成“\’”，双引号“"”，替
换成“"”，分号“;”替换成“;”
用 safe_mode_exec_dir 指定可执行文件的路径，可以把会使用的命令提前放入此路径内
safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com
PHP 漏洞全解(三)-客户端脚本植入
客户端脚本植入
客户端脚本植入(Script Insertion)，是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对
象内。当用户打开这些对象后，攻击者所植入的脚本就会被执行，进而开始攻击。
可以被用作脚本植入的 HTML 标签一般包括以下几种:
1、 跳转钓鱼页面
或者使用其他自行构造的 js 代码进行攻击
防范的方法
一般使用 htmlspecialchars 函数来将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选,值可为 ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES，默认值 ENT_COMPAT，
表示只转换双引号不转换单引号。ENT_QUOTES，表示双引号和单引号都要转换。ENT_NOQUOTES，
表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& —-> &
" —-> "
‘ —-> ‘
< —-> <作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com

—-> >
把 show .php 的第 98 行改成

<?php echo htmlspecialchars(nl2br($row['question']), ENT_QUOTES); ?>

然后再查看插入 js 的漏洞页面
PHP 漏洞全解(四)-xss 跨站脚本攻击
跨网站脚本攻击
XSS(Cross Site Scripting)，意为跨网站脚本攻击，为了和样式表 css(Cascading Style Sheet)区别，
缩写为 XSS
跨站脚本主要被攻击者利用来读取网站用户的 cookies 或者其他个人数据，一旦攻击者得到这些数据，那
么他就可以伪装成此用户来登录网站，获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送 xss 的 http 链接给目标用户
2、目标用户登录此网站，在登陆期间打开了攻击者发送的 xss 链接
3、网站执行了此 xss 攻击脚本
4、目标用户页面跳转到攻击者的网站，攻击者取得了目标用户的信息作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com
5、攻击者使用目标用户的信息登录网站，完成攻击
当有存在跨站漏洞的程序出现的时候，攻击者可以构造类
似 http://www .sectop.com/search.php?key= ，诱骗用户点击后，可以获取用户
cookies 值
防范方法:
利用 htmlspecialchars 函数将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选,值可为 ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES，默认值
ENT_COMPAT，表示只转换双引号不转换单引号。ENT_QUOTES，表示双引号和单引号都要转换。
ENT_NOQUOTES，表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& —-> &
" —-> "
‘ —-> ‘
< —-> <

—-> >
$_SERVER[“PHP_SELF”]变量的跨站
在某个表单中，如果提交参数给自己，会用这样的语句

PHP 漏洞全解(六)-跨网站请求伪造
跨网站请求伪造攻击
CSRF(Cross Site Request Forgeries)，意为跨网站请求伪造，也有写为 XSRF。攻击者伪造目标用户
的 HTTP 请求，然后此请求发送到有 CSRF 漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻
击者利用隐蔽的 HTTP 连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他
又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的 HTTP 链接，从而达到攻击者的目的。
例如:某个购物网站购买商品时，采用 http://www .shop.com/buy.php?item=watch&num=1，item
参数确定要购买什么物品，num 参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接
，那么如果目标用户不
小心访问以后，购买的数量就成了 1000 个
实例
随缘网络 PHP 留言板 V1.0
任意删除留言
//delbook.php 此页面用于删除留言

<?php include_once("dlyz.php"); //dlyz.php 用户验证权限，当权限是 admin 的时候方可删除留言 include_once("../conn.php"); $del=$_GET["del"]; $id=$_GET["id"]; if ($del=="data") {作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com $ID_Dele= implode(",",$_POST['adid']); $sql="delete from book where id in (".$ID_Dele.")"; mysql_query($sql); } else { $sql="delete from book where id=".$id; //传递要删除的留言 ID mysql_query($sql); } mysql_close($conn); echo ""; ?>

当我们具有 admin 权限，提交 http://localhost/manage/delbook.php?id=2 时，就会删除 id 为 2
的留言
利用方法:
我们使用普通用户留言（源代码方式），内容为




插入 4 张图片链接分别删除 4 个 id 留言，然后我们返回首页浏览看，没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后，来刷新首页，会发现留言就剩一条，其他在图片链接中指定的 ID 号的
留言，全部都被删除。
攻击者在留言中插入隐藏的图片链接，此链接具有删除留言的作用，而攻击者自己访问这些图片链接的时
候，是不具有权限的，所以看不到任何效果，但是当管理员登陆后，查看此留言，就会执行隐藏的链接，
而他的权限又是足够大的，从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET[“act”])
{
$username=$_POST[“username”];
$sh=$_POST[“sh”];
$gg=$_POST[“gg”];
$title=$_POST[“title”];
$copyright=$_POST[“copyright”].“
设计制作：厦门随缘
网络科技”;
$password=md5($_POST[“password”]);
if(empty($_POST[“password”]))
{
$sql="updateglyset作者:http://www.sectop.com/文档制作:http://www.mythhack.comusername=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright
."’ where id=1";
}
else
{
$sql="updateglysetusername=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title
."’,copyright=’".KaTeX parse error: Expected 'EOF', got '}' at position 27: …’ where id=1"; }̲ mysql_query(sql);
mysql_close($conn);
echo “”;
}
这个文件用于修改管理密码和网站设置的一些信息，我们可以直接构造如下表单:

欢迎您安装使用随缘网络 PHP 留言板 V1.0(带审核 功能)！ 随缘网络 PHP 留言本 V1.0 版权所有：厦门 随缘网络科技 2005-2009
承接网站建设及系统定制 提供优惠主机域名 存为 attack.html，放到自己网站上 http://www .sectop.com/attack.html，此页面访问后会自动向目 标程序的 pass.php 提交参数，用户名修改为 root，密码修改为 root，然后我们去留言板发一条留言，隐 藏这个链接，管理访问以后，他的用户名和密码全部修改成了 root 防范方法 防范 CSRF 要比防范其他攻击更加困难，因为 CSRF 的 HTTP 请求虽然是攻击者伪造的，但是却是由目标 用户发出的，一般常见的防范方法有下面几种: 1、检查网页的来源 2、检查内置的隐藏变量 3、使用 POST，不要使用 GET 检查网页来源 在//pass.php 头部加入以下红色字体代码，验证数据提交作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com if($_GET["act"]) { if(isset($_SERVER["HTTP_REFERER"])) { $serverhost = $_SERVER["SERVER_NAME"]; $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]); $strdomain = explode("/",$strurl); $sourcehost = $strdomain[0]; if(strncmp($sourcehost, $serverhost, strlen($serverhost))) { unset($_POST); echo ""; } } ……

PHP 漏洞全解(八)-HTTP 响应拆分
HTTP 请求的格式
1）请求信息：例如“Get /index.php HTTP/1.1”，请求 index.php 文件
2）表头：例如“Host: localhost”，表示服务器地址
3）空白行
4）信息正文
“请求信息”和“表头”都必须使用换行字符（CRLF）来结尾，空白行只能包含换行符，不可以有其他空格符。
下面例子发送 HTTP 请求给服务器 www .yhsafe.com
GET /index.php HTTP/1.1↙ //请求信息
Host:www.yhsafe.com↙ //表头
↙ //空格行作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com
↙
↙符号表示回车键，在空白行之后还要在按一个空格才会发送 HTTP 请求，HTTP 请求的表头中只有
Host 表头是必要的饿，其余的 HTTP 表头则是根据 HTTP 请求的内容而定。
HTTP 请求的方法
1）GET：请求响应
2）HEAD：与 GET 相同的响应，只要求响应表头
3）POST：发送数据给服务器处理，数据包含在 HTTP 信息正文中
4）PUT：上传文件
5）DELETE：删除文件
6）TRACE：追踪收到的请求
7）OPTIONS：返回服务器所支持的 HTTP 请求的方法
8）CONNECT：将 HTTP 请求的连接转换成透明的 TCP/IP 通道
HTTP 响应的格式
服务器在处理完客户端所提出的 HTTP 请求后，会发送下列响应。
1）第一行是状态码
2）第二行开始是其他信息
状态码包含一个标识状态的数字和一个描述状态的单词。例如：
HTTP/1.1 200 OK
200 是标识状态的是数字，OK 则是描述状态的单词，这个状态码标识请求成功。
HTTP 请求和响应的例子
打开 cmd 输入 telnet，输入 open www.00aq.com 80
打开连接后输入
GET /index.php HTTP/1.1↙
Host:www.00aq.com↙
返回 HTTP 响应的表头作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com
返回的首页内容
使用 PHP 来发送 HTTP 请求
header 函数可以用来发送 HTTP 请求和响应的表头
函数原型
void header(string string [, bool replace [, int http_response_code]])
string 是 HTTP 表头的字符串
如果 replace 为 TRUE，表示要用目前的表头替换之前相似的表头；如果 replace 为 FALSE，表示
要使用多个相似的表头，默认值为 TRUE
http_response_code 用来强制 HTTP 响应码使用 http_response_code 的值
实例：

<?php // 打开 Internet socket 连接 $fp = fsockopen(www.00aq.com, 80); // 写入 HTTP 请求表头 fputs($fp, "GET / HTTP/1.1\r\n"); fputs($fp, "Host: www.00aq.com\r\n\r\n"); // HTTP 响应的字符串 $http_response = ""; while (!feof($fp)) { // 读取 256 位的 HTTP 响应字符串 $http_response .= fgets($fp, ); } // 关闭 Internet socket 连接 fclose($fp); // 显示 HTTP 响应信息作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com echo nl2br(htmlentities($http_response)); ?>

HTTP 响应拆分攻击
HTTP 响应拆分是由于攻击者经过精心设计利用电子邮件或者链接，让目标用户利用一个请求产生两个响
应，前一个响应是服务器的响应，而后一个则是攻击者设计的响应。此攻击之所以会发生，是因为 WEB
程序将使用者的数据置于 HTTP 响应表头中，这些使用者的数据是有攻击者精心设计的。
可能遭受 HTTP 请求响应拆分的函数包括以下几个：
header(); setcookie(); session_id(); setrawcookie();
HTTP 响应拆分通常发生在：
Location 表头：将使用者的数据写入重定向的 URL 地址内
Set-Cookie 表头：将使用者的数据写入 cookies 内
实例：

<?php header("Location: " . $_GET['page']); ?>

请求
GET /location.php?page=http://www.00aq.com HTTP/1.1↙
Host: localhost↙
↙
HTTP/1.1 302 Found
Date: Wed, 13 Jan 2010 03:44:24 GMT
Server: Apache/2.2.8 (Win32) PHP/5.2.6
X-Powered-By: PHP/5.2.6
Location: http://www.00aq.com
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
访问下面的链接，会直接出现一个登陆窗口
http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.
1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%
0d%0a%0d%0a<form%20method=post%20name=form1>帐
号%20<input%20type=text%20name=username%20/><br%20/>密
码%20<input%20name=password%20type=password%20/><br%20/><input%20type=s
ubmit%20name=login%20value=登录%20/>
转换成可读字符串为：
Content-Type: text/html
HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 158

帐号
密码
一个 HTTP 请求产生了两个响应 防范的方法： 1）替换 CRLF 换行字符 <?php header("Location: " . strtr($_GET['page'], array("\r"=>"", "\n"=>""))); ?> 2）使用最新版本的 PHP PHP 最新版中，已经不允许在 HTTP 表头内出现换行字符作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com 隐藏 HTTP 响应表头 apache 中 httpd.conf，选项 ServerTokens = Prod, ServerSignature = Off php 中 php.ini，选项 expose_php = Off

PHP 漏洞全解(九)-文件上传漏洞
一套 web 应用程序，一般都会提供文件上传的功能，方便来访者上传一些文件。
下面是一个简单的文件上传表单

php 的配置文件 php.ini，其中选项 upload_max_filesize 指定允许上传的文件大小，默认是 2M $_FILES 数组变量 PHP 使用变量$_FILES 来上传文件，$_FILES 是一个数组。如果上传 test.txt，那么$_FILES 数组的内 容为： $FILES Array { [file] => Array { [name] => test.txt //文件名称 [type] => text/plain //MIME 类型 [tmp_name] => /tmp/php5D.tmp //临时文件 [error] => 0 //错误信息 [size] => 536 //文件大小，单位字节 }作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com } 如果上传文件按钮的 name 属性值为 file 那么使用$_FILES['file']['name']来获得客户端上传文件名称，不包含路径。使用 $_FILES['file']['tmp_name']来获得服务端保存上传文件的临时文件路径 存放上传文件的文件夹 PHP 不会直接将上传文件放到网站根目录中，而是保存为一个临时文件，名称就是 $_FILES['file']['tmp_name']的值，开发者必须把这个临时文件复制到存放的网站文件夹中。 $_FILES['file']['tmp_name']的值是由 PHP 设置的，与文件原始名称不一样，开发者必须使用 $_FILES['file']['name']来取得上传文件的原始名称。 上传文件时的错误信息 $_FILES['file']['error']变量用来保存上传文件时的错误信息，它的值如下： 错误信息 数值 说 明 UPLOAD_ERR_OK 0 没有错误 UPLOAD_ERR_INI_SIZE 1 上传文件的大小超过 php.ini 的设置 UPLOAD_ERR_FROM_SIZE 2 上传文件的大小超过 HTML 表单中 MAX_FILE_SIZE 的值 UPLOAD_ERR_PARTIAL 3 只上传部分的文件 UPLOAD_ERR_NO_FILE 4 没有文件上传 文件上传漏洞 如果提供给网站访问者上传图片的功能，那必须小心访问者上传的实际可能不是图片，而是可以指定的 PHP 程序。如果存放图片的目录是一个开放的文件夹，则入侵者就可以远程执行上传的 PHP 文件来进行攻击。 下面是一个简单的文件上传例子： <?php // 设置上传文件的目录 $uploaddir = "D:/www/images/"; // 检查 file 是否存在 if (isset($_FILES['file1'])) { // 要放在网站目录中的完整路径，包含文件名 $uploadfile = $uploaddir . $_FILES['file1']['name']; // 将服务器存放的路径，移动到真实文件名 move_uploaded_file($_FILES['file1']['tmp_name'], $uploadfile);作者:http://www.sectop.com/ 文档制作:http://www.mythhack.com } ?> ……
这个例子没有检验文件后缀，可以上传任意文件，很明显的上传漏洞