若是想快速找到漏洞,那么就根据危险函数回溯到变量,去进行审计。
若是想找到精彩的漏洞,那就要通读全文,理解逻辑。
通读全文的技巧:
1.找函数集文件,往往函数集文件里面都包含通用函数。因此,可以在index.php文件或者一些功能性文件头部找到。
2.找配置文件,通常有config关键字,通过这个文件能了解程序的小部分功能,并且,如果配置文件中的参数以双引号括起来,那么就可能存在代码执行漏洞。只要我们在修改配置的时候,利用PHP可变变量的特性即可执行代码,比如下面这幅图就是双引号。(这里理解的不是很深刻,没有案例)
补充:可变变量就如下面这幅图
其中,$$a=‘world'’就等同于$hello='world',可变变量指的实际就是$$a中的变量名部分(虽然这里变量名部分是$a)可以由另一个变量$a的值来命名。
因此最后输出结果是hello world
再比如,像<?php "${@phpinfo()}"; ?> 这样的代码也是可以执行的。原理就在于双引号是解析执行,单引号是绝对的字符串。另外需要注意的是,有的写法在一些版本中不兼容,所以,下面几种写法是在所有版本中都能运行的写法:
"${ phpinfo()}"; 第一个字符为空格)
"${ phpinfo()}"; 第一个字符为tab
"${/**/phpinfo()}"; 第一个字符为注释
"${【回车】phpinfo()}"; 第一个字符为回车
"${@phpinfo()}"; 第一个字符为@
原理就是可变变量内的花括号有这么一个规则,需要判断花括号内的内容是否为真正的代码,条件即是文本的第一个字符串是否为PHP语法解析引擎的分割字符和特殊的语法符号!
综上所述需要满足两个条件,一个是双引号,另外一个是让花括号内的内容被当做是代码
再看一个比较绕的代码:
这个比较绕就在于他是二次嵌套,实际上,只要将可变变量以及上面几个例子理解透彻,就会发现,不管怎么嵌套,只要最内层的phpinfo()执行了,那么网页就会显示相应信息。附上一个也可以执行的三层嵌套:
3.找安全过滤文件,安全过滤文件很重要,决定我们找到的可疑点能否利用。大多数应用程序都会在程序入口处对参数用函数进行过滤。
4.index文件,通过读index文件,可以了解整个程序运行流程,架构,包含的核心文件,不同目录的不同index文件有不同的实现方式。所以,最好将几个核心目录的index文件都读一遍。
以上内容没有涉及框架,如果有框架,那么难度还会更高。
补充几个PHP常用过滤函数:
addslashes(string $str)
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。
strip_tags( string,[allowed_tags])
从字符串中去除html或者php中的标记。第二个参数可选,是允许的标记有哪些。
str_replace(find,replace,string,[count])
find是找到要替换的内容,replace是替换成这里的值,string是查找目标的范围。前三个变量都是必须的,count可选,是对替换数进行计数的变量。
preg_replace($find,$replace,$subject,$limit,$count)
preg_replace()函数执行一个正则表达式的搜索和替换。
前三个参数和str_replace()一样的用法
$limit: 可选,对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
$count: 可选,为替换执行的次数。
array_merge($arr1,$arr2,$arr3,……,$arrn)
将n个数组合并成一个数组
strlen($str)返回字符串长度
getenv() 获取环境变量
比如getenv('HTTP_CLIENT_IP')
strcasecmp($str1,$str2)
不区分大小写比较两个字符串字符大小,$str1$str2,return 1;$str1=$str2,return 0;
preg_match($pattern,$subject,[$matches])
$pattern是正则匹配,$subject是要匹配的一个范围对象,如果提供了参数matches,它将被填充为搜索结果。 $matches[0]将包含完整模式匹配到的文本, $matches[1] 将包含第一个捕获子组匹配到的文本,以此类推。(这个$matches不是太懂)
header(string,replace,http_response_code)
header() 函数向客户端发送原始的 HTTP 报头。
认识到这一点很重要,即必须在任何实际的输出被发送之前调用 header() 函数(在 PHP 4 以及更高的版本中,您可以使用输出缓存来解决此问题):
上面这个实际上就是302重定向
下面这个是提示用户保存一个生成的 PDF 文件(Content-Disposition 报头用于提供一个推荐的文件名,并强制浏览器显示保存对话框):
require_once($file)
require_once 语句和 require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含。
unset($var1,$var2,……,$varn)
销毁变量,用法有点诡异,看例子
可以看到函数内echo $foo会得到错误提示该变量没有定义,因为unset将$foo在函数内的局部变量销毁了。
而外部调用环境的$foo仍保留着没有被unset进行销毁,上面官方描述上写了调用环境的$foo将保留的是在使用unset()前的变量值,因此echo出bars,而不是bar。
了解整体结构之后,进行功能点审计
按上面的文件查看步骤,函数集文件->配置文件->过滤文件->index文件,下面就应该测试最容易出现漏洞的地方了,也就是各个功能点。
这个时候,最好下载相关文件,部署到环境中,然后点点点,先简单黑盒测试,若没发现什么弊端,再去看代码,并且这个时候看代码就可以省略一些黑盒中测试过的点了。
上传文件功能
只要是能上传的地方,就都可能存在漏洞。常见的就两种,一个是格式没有限制,或者过滤不完善,导致各种任意文件上传。第二个就是文件名没有进行sql注入检测,很多程序员会忘记这一点,导致sql注入。因为文件名也是要存到数据库中的。
文件管理功能
如果程序员在开发中,直接将文件名或者文件路径在参数中传递,那么就可能导致攻击者利用../或者..\来进行跳转目录达到任意文件操作,比如任意文件读取。
另外,直接用文件名或者文件路径在参数中传递,还可能导致xss,因为,程序可能需要在页面中输出文件名字,这个时候,若文件名字也没有过滤,那么就会存在xss攻击。
登录认证功能
登录认证功能不是指一个登录过程,而是整个操作过程中的认证。而现在认证又是基于cookie和session,程序又经常会把用户账号等认证信息放到cookie中,来保持用户可以长时间登录,不会因为session超时或者关闭浏览器就退出用户。但是,如果这段cookie没有进行加密,就会导致任意用户登录的漏洞!只需要知道用户的部分信息即可登录!
找回密码功能
找回密码的时候,有的网站做的不好,改密码不用填写旧密码,直接改,然后给用户发送验证码,但是由于验证码是纯数字,而且,如果验证码时间过长,那么就会被爆破出来。
4376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
