工具和常见的几种思想
常见的点
一套简单的CMS源码审计
总结
这篇是关于php;
常见的也是php的代码审计,类似java框架,asp.net,python的Django还是有漏洞之类的,只是比较固定和稀少;
像php这种语言本身就是弱语言类型(很多点都利用了弱类型比较和转换),功能函数也是奇多(导致了其与sql,xml等语言的花式组合),加之处理一个问题的方法也是奇多(其中就难保不会出现漏洞)
当然php的thinkphp框架,有机会来(这款框架就安全性没有其他几种语言那么强的安全措施,倒转还有一个烂大街的log写webshell的常见问题,以及最近挺火的远程代码执行)
1
工具和常见的几种思想
1工具
这里 我介绍两款免费常用的审计工具和一款php编写调试工具
1.Seay源代码审计系统
下载地址:
https://www.waitalone.cn/seay-source-code-auditv2.html
2.(PHP代码审计工具——rips)
下载地址:
https://sourceforge.net/projects/rips-scanner/
使用教程:
https://www.cnblogs.com/Jewel591/p/7477483.html
3.phpstorm
如果对于版本没有什么要求
直接按照
http://www.3322.cc/soft/17468.html激活即可
这款工具的调试运行,作者还是多提醒一点
.php等文件必须在www文件夹下,其他的搜下就知道了
4.xdebug
这款debug暂时还没有用,不过看各位前辈经常用到,特提出来
2几种常见的审计思想
其实个人认为就两种,由点破面,由面破点
当然还有
1.由点破面
根据经验和工具找漏洞关键词,来溯源调用过程
看是否可控,可控后看调用的输入入口
如果单个可控条件满足我们的要求,但是无法实施漏洞触发,再全局看下哪里有满足我们条件的地方,组合起来触发
其中用到我们的工具Seay源代码审计工具
2.由面破点
通读全文,理清大意,再根据问题关键词,勾画对应位置 ---英语阅读
深入理解一套CMS源码就是这样
3.如果追求速度,那么无疑第一种最好,也是入门首选,暂时只专注于问题地方(作者目前也是用的第一种)
2
常见的点
这里就不写那些有的没的了,只详细给出作者认为个人目前阶段审计挖掘常用的点
1推荐学习
1.php常见漏洞
审计中弱类型比较,首当其冲,其他的函数问题大多围绕这个比较特性
== 与=== 的差别;
数组,字符,数字,对象之间的比较转换;
当然还有其他web漏洞,这里不多说
2.php常见漏洞函数
还是必须要写出来有个清晰的认识,写出一些前辈的总结吧
1).先写出 == 与 ===的差别
=== 在两个数比较时,也会比较参数的类型
来看一个代码简单理解下
<?php if("0admin" == 0){ echo "ok1"."
";}if("0a" === 0){ echo "ok2"."
";}
没错,只输出了 ok1,第二个进行了类型的比较
2).md5的0开头比较,利用了php其弱类型比较特点
其实也是利用了 ==来比较造成的漏洞
从网上随便抄了两个payload,看下下面的代码
<?php $a=md5("s155964671a");$b=md5("s214587387a");echo $a."
";echo $b."
";if($a == $b){ echo "ok1"."
";}if($a === $b){ echo "ok2"."
";}
输出也只有 ok1:
0e3427684168224515249741172544690e848240448830537924465865611904ok1
3).ereg的00截断,一道很多ctf类型的题原型
<?php if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '
You password must be alphanumeric
'; } else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999) { if (strpos ($_GET['password'], '*-*') !== FALSE) { die('Flag: ' . $flag); } else { echo('
*-* have not been found
'); } } else { echo '
Invalid password
'; }}?>
payload ?password=1e9%00-
字符长度满足,内容包括特殊字符且为a-zA-Z0-9,且大于9999999,%00后内容ereg不再判断
4).strcmp
判断输入密码是否相等
如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0; 如果两者相等,返回 0。
<?php $m=$_GET['a'];$n="admin";if(strcmp($m,$n) == 0){ echo "ok1"."
";}if(strcmp($m,$n) === 0){ echo "ok2"."
";}
paylaod a[]=1
也只返回了ok1
显然还是利用了我们的 ==
这里payload可以是数组,也可以是对象(但是作者目前还没有找到合适的payload)
5).md5和sha1不能处理数组
先来md5,这个很有意思,数组可以绕开 === 判断
<?php $a=$_GET['a'];$b=$_GET['b'];if(md5($a) == md5($b)){ echo "ok1"."
";}if((md5($a) === md5($b))){ echo "ok2"."
";}
payload ?a[]=1&b[]=2
ok1 和 ok2都输出了
同样sha1
<?php $a=$_GET['a'];$b=$_GET['b'];if(sha1($a) == sha1($b)){ echo "ok1"."
";}if((sha1($a) === sha1($b))){ echo "ok2"."
";}
payload ?a[]=1&b[]=2
ok1 和 ok2都输出了
6).is_numeric
输出这个代码观察
<?php if(is_numeric(0x23)) { echo "ok1" . "
";}if(is_numeric("23aa")) { echo "ok1" . "
";}
只有ok1,说明我们能用其他编码绕过
7).in_array
也是一个弱类型,当in_array函数第三个参数不为true时
1sh.php会被认为是1.php
具体下面介绍的项目有练习
8).serialize 和 unserialize漏洞
有点多,有兴趣自己搜索下
浅显的认识可以参考作者的个人博客:http://47.106.140.244/2018/08/php%e5%8f%8d%e5%ba%8f%e5%88%97%e5%8c%96%e6%bc%8f%e6%b4%9e/
9).filter_var()的问题
FILTER_VALIDATE_URL 这个问题,很容易就可以绕过的
给出几个前辈的paylaod
?url=http://xxx.com()sec-redclub.com
()里换成@&?/,:#这些任意一个即可
10).htmlentities()
ENT_COMPAT(默认值):只转换双引号。ENT_QUOTES:两种引号都转换。ENT_NOQUOTES:两种引号都不转换。
算一个bug吧
11).就不继续列举了,有兴趣自己去扩展下视野
3.有一个代码审计的项目蛮有趣的,
https://github.com/hongriSec/PHP-Audit-Labs,也是作者这几天在学习的内容
4.这里还是想推荐sqli-labs注入天书,因为审计中存在很多硬刚sql注入的正则绕过
5.也可以参考作者的个人博客总结
http://47.106.140.244/2018/09/%e5%88%9d%e6%8e%a2php%e5%ae%a1%e8%ae%a1/
http://47.106.140.244/category/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/
2分类
太多,显得臃肿,太少,显得不走心
所以这里作者把知识点分类(读者也可以自己去找下思维图)
分类0.防护类
1.sql注入
2.代码或命令执行
3.文件操作
4.其他类
5.其他的情况
0.防护类
先把它单独拉出来分析,总没错
sql,xss过滤函数等等
无外乎看看正则过滤,preg_replace,replace等等
具体的绕过,下面分析
1.SQL注入类
这个问题,作者反复想了下
主暂时分为三类
没有任何防护硬刚正则二次注入
没有任何防护
漏洞嘛,多找找,极具耐心,总能找到一个点的
翻看了以前dede的漏洞,发现很多都是漏掉的防护点导致的问题
自己以前审计的大米cms的存储xss,就是没有任何防护,sql防护倒是可以
不多说
硬刚正则
这个可能是极有意思的主题了
目前看到绕过正则的一共这几种
(1)查找正则匹配遗留的关键词
等于= 换成regexp like等
延时注入的代替 推荐一篇文章:https://www.cdxy.me/?p=789
除开-- + -- - # %23等,还有一个很有意思的注释 ;%00
(2)其实,更多的作者看到的结合其他的奇思绕过(注释,闭合)
hpp污染,md5(str,true),超全局变量覆盖,request请求的差异等,addslashes函数和gpc滥用
这个作者只有提醒下,具体要自己慢慢接触
二次注入
也简单分为两种
a.入数据库函数一次,出数据库函数一次,就还原了
b.利用其他没有检查的数据进行注入
作者看到的大多数情况都要和其他齐思结合,只能说有一个点有问题,就再去寻找另一个点与之结合突破
2.代码或命令执行
像system eval 函数系统命令调用,反引号,动态函数执行就不在这讨论了,遇到了就去考虑绕过或者替换就行了
有一个点作者一直觉得很有意思,preg_replace /e修正执行代码
如果在构造正则表达式的时候,使用了/e修正符,这时,preg_replace() 就会将 replacement 参数当作 PHP代码执行。但是replacement一般都是开发者事先写好的,这是就要考虑怎样去替换掉了,超全局变量覆盖,get,post,request的请求解析顺序,hpp污染
3.文件操作
作者分为四类 :上传绕过,任意文件读写,任意文件删除,文件包含
具体文件操作函数,读者自己搜下,因为都有用,所以就不挑到写了
上传绕过
作者不多说什么函数问题,个人觉得黑盒的一个知识更有趣;可以不会其他,这个必须会,拿shell呀
https://github.com/c0ny1/upload-labs 推荐一套github上的源码,有20个知识点吧,就不复制过来占位置了
https://github.com/LandGrey/upload-labs-writeup/ 这套源码的解题答案(本来想写文章的,看了这篇解题,瞬间写的想法没有了,哈哈哈)
http://47.106.140.244/2018/10/%e6%96%87%e4%bb%b6%e4%b8%8a%e4%bc%a0%e7%9a%84%e5%a7%bf%e5%8a%bf/ 个人博客关于文件上传的总结
任意文件读写
个人遇到比较多的还是log的写shell,如thinkphp的问题
其他的看到后台写模板的情况比较多
任意文件删除
一个很容易忽视的点,开发人员和审计人员
任意文件包含
分为本地包含和远程包含,看配置文件
一般是绕过正则,进行其他有用文件的包含以及php伪协议进行其他文件内容的查看
4.其他类
这个点是作者认为最有意思的,因为前面写的很多地方都有总结
这个点的宗旨就是结合各种情况进行利用
前面其实作者都写了,只提一点核心思想
既是 “有一个点有问题,就再去寻找另一个点与之结合突破”
5.其他的情况
不谈学习知识,能不硬刚正则就不硬刚
这种,作者比较关心的偏门的地方和情况
header头的sql注入
暂不谈crlf注入以及xss等头跳转,是开发人员对user-agent,refer,cookies进行了一个数据库的入库查询,但是并没有像post和get的数据一样进行check_sql和check_xss等检查
就构成了没有任何防护的注入
其中也有可能系统开了gpc的,但由于它们是在$_SERVERE变量中不受GPC的影响,那我们就可以去查找HTTP_CLIENT_IP和HTTP_X_FORWARDFOR关键字来快速寻找漏洞
宽字节只提一笔
也是gpc的问题
有些CMS源码中并没有判断gpc情况,直接addslashes一次,如果本身就开启了,相当于两次转义了,可以使用函数 get_magic_quotes_gpc() 进行检测
超全局变量
常见的三个$GET $POST $REQUEST,当然还有其他$FILE等
这个有什么用?变量覆盖结合其他点进行绕过,注入,写文件,getshell等
PHP-Audit-Labs项目day-15,还是day-14就有一个题,可以去看看
这里给出一个很有用的知识点
php中双引号解析变量、而单引号不解析变量(相信很多新手都有一会双信号,一会单引号的习惯)
运行
php$s="ok";echo "1".'$s'."
";echo "2"."$s";
其他版本以及配置问题,并不在我们开始审计的范畴,就不多讨论了
3
一套简单的CMS源码审计
这套源码是作者写这篇文章现找的,目的就是更真实还原个人是怎样审计的
直接给出哪有问题,对于个人而言太没有学习价值了
可以去这找找
http://www.mycodes.net/43/,拿小的CMS练手
这里作者用的phpcom这套源码审计 ,下载链接:
http://www.mycodes.net/43/5429.htm
这里提醒一下,不怕它防,就怕我们看不懂它们,因为知识点其实就那些
1sql
来看下sql的问题,发现它的数据库操作都是往DB类送
找到class DB,在src/class/db/database.php里
作者发现里面没有任何防御,有点失望的时候,去页面搜索框payload了一下,发现非法字符,搜索后发现确实是做了全局防御的,但是是在phpcom.php里做的
看下输入函数里:
if (!MAGIC_QUOTES_GPC) { $_GET = phpcom::addslashes($_GET); $_POST = phpcom::addslashes($_POST); $_COOKIE = phpcom::addslashes($_COOKIE); $_FILES = phpcom::addslashes($_FILES);}
这里就做的很好,先判断了的
作者没有发现ip入库操作,但是有获取ip的操作,不过在phpcom.php用了htmlspecialchars函数来防御,其他文件继承了它的防御
2xss
phpcom.php里
来看下这个防御xss的函数
public function check_urlxss() { $uri = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI']))); if (strpos($uri, ') !== FALSE || strpos($uri, '"') !== FALSE || strpos($uri, 'CONTENT-TRANSFER-ENCODING') !== FALSE) { showmessage('request_tainting'); } return TRUE;}
两次url解码后再全部转为大写,看到strpos函数,想起了前几天看到的一个有趣的花式
strpos 函数返回查找到的子字符串的下标。如果字符串开头就是我们要搜索的目标,则返回下标 0 ;如果搜索不到,则返回 false (而本来搜索到是返回true的)
这里我们可以不用
if(strpos($a,'"') == FALSE){ echo "222";}
(2)作者还看到用了几次的header函数
phpcom::header('Location: ' . $_SERVER['HTTP_REFERER']);
public static function header($string, $replace = true, $http_response_code = 0) { $string = str_replace(array("\r", "\n"), array('', ''), $string); @header($string, $replace, $http_response_code); if (preg_match('/^\s*location:/is', $string)) { exit(); }}
过滤 \r \n 预防crlf
3因为是练习,所以install.php文件,顺便看下
$lockfile = ROOT_PATH . 'data/install.lock';if(file_exists($lockfile)) { show_message('install_locked');
它在文件开头直接判断了的,不存在调到step的步骤问题,略
4代码执行
作者翻到一个反引号,可以作为执行代码,数组的键值
function implode_field_value($array, $glue = ',') { $sql = $comma = ''; foreach ($array as $k => $v) { $sql .= $comma."`$k`='$v'"; $comma = $glue; } return $sql; }
跟踪它,可以发现,phpcom.php 数据库的增删改查都用到了它,说明,全套源码有数据库操作的页面,就可以看下是否存在变量覆盖漏洞
溯源跟踪代码每个页面,搜索看有没有变量覆盖的地方(结合seay审计工具查看变量覆盖特征函数)
作者搜索发现像 $$ 这种覆盖,键值都是确定了的,意味着无法入手
这套源码还有像parse_str这样的覆盖,也是人工的,这里无用
找到eval函数,也是发现写死了的
找到call_user_func_array函数,暂时无理解,不分析,记得webshell的免杀它很有用
preg_replace /e操作是注释了的,看来开发人员也拿不准
如果有幸存在超全局变量,也是个思路
5文件操作(能力原因,还有很大的操作空间)
用seay工具最烦的就是文件操作类,因为大部分都是它误报(因为基本上关于文件的变量都是写死了的),所以放到最后看
(1)像include等包含太多了,作者也没有跟踪代码
文件写入和读取
(2)寻找php file_get_contents
有两个地方转了4,5个文件发现文件名变量前面两个是环境变量,写死了的
其实只要一个最后一个可控就行,就可能进行目录穿梭读取
(3)寻找file_put_contents
也是写死了的
(4)@ulink删除文件函数
(5)当然还有fread等文件操作函数,实在不想跟了,留下来自己看吧
6当然如果老老实实的把上面做完,还有一个黑盒和逻辑要做
夜深了,脚冷,就写到这吧。
4
总结
最后认怂去搜这套源码的漏洞,没有百度到这套源码的历史漏洞,运气确实有点霉
如果练习,作者记得有一套老的phpcms,上面什么漏洞都有,可以去搜下
记得投稿哦
如果有好的技术原创文章
欢迎投稿至邮箱:edu@heetian.com
合天会根据时效、新颖程度、文笔及实用性等要素对文章进行评判,一经发布给予100元-500元不等的稿费
还等什么呢?有才能的你快来投稿吧!
了解更多详情点击重金悬赏 | 合天原创投稿等你来!
扫码关注,2019”猪”事顺利