php扩展层,初探php扩展层面(一)

最新推荐文章于 2022-04-23 00:53:59 发布
最新推荐文章于 2022-04-23 00:53:59 发布
阅读量169 收藏
点赞数
文章标签: php扩展层

前段时间想写一个静态代码审计工具,需要对 php 扩展熟悉一些,那么自己从零开始接触这一块,如果有错误的地方,麻烦师傅们指正。

另外呢网上虽然有一些文章,但是感觉都不是特别细,对于刚入门的我来说有些难以理解,因此详细的记录下自己的学习过程。

我在mac环境上折腾了两天gdb,还是没折腾好,无奈选择docker,这里推荐一个

https://github.com/hxer/php-debug/blob/master/Dockerfile

这个dockerfile的vld和 php 版本不匹配,需要更换下低版本的vld。

启动命令

docker run -i -d --security-opt seccomp=unconfined -v /Users/p0desta/Desktop/code:/home php5-debug

编写最简单的php扩展

在ext目录下执行命令 ./ext_skel --extname=p0desta

然后进入到扩展目录下,编辑config.m4文件 16 dnl PHP_ARG_ENABLE(foobar, whether to enable foobar support,

17 dnl Make sure that the comment is aligned:

18 dnl [ --enable-foobar Enable foobar support])

删除第16-18行的注释

然后去php_p0desta.h文件,添加函数声明 PHP_FUNCTION(confirm_foobar_compiled);

PHP_FUNCTION(p0desta);

然后到p0desta.c中 const zend_function_entry p0desta_functions[] = {

PHP_FE(p0desta, NULL)

PHP_FE(confirm_p0desta_compiled, NULL) /* For testing, remove later. */

PHP_FE_END /* Must be the last line in p0desta_functions[] */

};

添加如下 PHP_FE(p0desta, NULL)

然后到最底下编写函数 PHP_FUNCTION(p0desta)

{

php_printf("hello world");

}

然后在当前目录下执行命令 phpize

./configure --enable-p0desta --enable-debug

make

然后会在modules文件夹下生存 so 文件,在php.ini中添加拓展

extension=p0desta.so

304b6badaea1691ffea0c7e1242d9045.png

然后就可以调用自写的函数。

php代码的大致执行流程

开始 -> Scanning,将php代码转换为语言片段(Tokens) -> Parsing,将tokens转化为简单而有意义的表达式 -> Compilation,将表达式编译成opcode -> Execution,顺次执行opcodes,从而实现php脚本的功能。

hook最简单的opcode

关于一些宏的解释参考: https://github.com/pangudashu/php7-internal/blob/master/7/hook.md

这里我使用 zend_set_user_opcode_handler 函数来hook echo 函数

zend_set_user_opcode_handler(ZEND_ECHO, ppecho);

主要原理是将对应的Zend op的handler函数替换成我们自己定义的来实现HOOK

首先我在扩展.h中定义如下

#define ZEND_OPCODE_HANDLER_ARGS void

PHP_FUNCTION(confirm_foobar_compiled);

int ppecho(ZEND_OPCODE_HANDLER_ARGS);

扩展.c中

PHP_MINIT_FUNCTION(p_echo)

{

/* If you have INI entries, uncomment these lines

REGISTER_INI_ENTRIES();

*/

zend_set_user_opcode_handler(ZEND_ECHO, ppecho);

return SUCCESS;

}

int ppecho(ZEND_OPCODE_HANDLER_ARGS)

{

php_printf("hook success");

return ZEND_USER_OPCODE_RETURN;

}

如果打算放行继续执行的话 return ZEND_USER_OPCODE_DISPATCH ,如果不继续执行的话 return ZEND_USER_OPCODE_RETURN

编译完之后看一下效果

d03d43d95b7deebcd5146111df2376a5.png

Webshell简单防御初探

关于一些PHP内核中的定义详情请参考 https://www.kancloud.cn/kancloud/php-internals/42755

这里我们暂时需要了解的有

全局变量 EG()、这个宏可以用来访问符号表,函数,资源信息和常量

CG() 用来访问核心全局变量

PG() PHP全局变量。我们知道php.ini会映射一个或者多个PHP全局结构。举几个使用这个宏的例子:PG(register_globals), PG(safe_mode), PG(memory_limit)

FG() 文件全局变量。大多数文件I/O或相关的全局变量的数据流都塞进标准扩展出口结构。

函数类型

Zend引擎将函数分为以下几个类型 #define ZEND_INTERNAL_FUNCTION 1

#define ZEND_USER_FUNCTION 2

#define ZEND_OVERLOADED_FUNCTION 3

#define ZEND_EVAL_CODE 4

#define ZEND_OVERLOADED_FUNCTION_TEMPORARY 5

ZEND_USER_FUNCTION (用户函数:用户定义的函数) <?php

function test(){

}

?>

ZEND_INTERNAL_FUNCTION (内部函数:由扩展、PHP内核、Zend引擎提供的内部函数)

变量函数 $func = 'print_r';

$func('i am print_r function.');

匿名函数

php7的_zend_execute_data struct _zend_execute_data {

const zend_op *opline; /* executed opline */

zend_execute_data *call; /* current call */

zval *return_value;

zend_function *func; /* executed function */

zval This; /* this + call_info + num_args */

zend_execute_data *prev_execute_data;

zend_array *symbol_table;

#if ZEND_EX_USE_RUN_TIME_CACHE

void **run_time_cache; /* cache op_array->run_time_cache */

#endif

#if ZEND_EX_USE_LITERALS

zval *literals; /* cache op_array->literals */

#endif

};

我们看一下如下代码的opcode

eval("system('whoami');");

0b3d432d65c6f0b6d42fab74959dc42d.png

我们hook掉 INCLUDE_OR_EVAL

修改 php_hook_eval.h 增加

PHP_FUNCTION(confirm_foobar_compiled);

static int HOOK_INCLUDE_OR_EVAL(ZEND_OPCODE_HANDLER_ARGS);

# define ZEND_OPCODE_HANDLER_ARGS zend_execute_data *execute_data

修改 hook_eval.c 增加

static int HOOK_INCLUDE_OR_EVAL(ZEND_OPCODE_HANDLER_ARGS)

{

zend_execute_data *tmp = &execute_data;

zend_op *opline = execute_data->opline;

return ZEND_USER_OPCODE_DISPATCH;

}

直接在 execute_data 中往下找调用的函数 system

745bcc5442846f64f169dddbc454ee48.png

这个也就是操作数

string型变量比较特殊,因为内核在保存String型变量时,不仅保存了字符串的值,还保存了它的长度,所以它有对应的两种宏组合STRVAL和STRLEN,即:Z_STRVAL、Z_STRVAL_P、Z_STRVAL_PP与Z_STRLEN、Z_STRLEN_P、Z_STRLEN_PP。

编写 HOOK_INCLUDE_OR_EVAL 如下

static int HOOK_INCLUDE_OR_EVAL(ZEND_OPCODE_HANDLER_ARGS)

{

zend_op *opline = execute_data->opline;

zval *operands = opline->op1.zv;

char *cmd = Z_STRVAL_P(operands);

if(cmd){

if((strstr(cmd, "system")==NULL)&&(strstr(cmd, "exec")==NULL)&&(strstr(cmd, "shell_exec")==NULL)&&(strstr(cmd, "passthru")==NULL)&&(strstr(cmd, "roc_open")==NULL)){

return ZEND_USER_OPCODE_DISPATCH;

}else{

return ZEND_USER_OPCODE_RETURN;

}

}

return ZEND_USER_OPCODE_DISPATCH;

}

看下执行流程

431c6d7f6fdeea3639ec3c1659fa9791.png

当然,只hook掉 ZEND_INCLUDE_OR_EVAL 是很难防御的,比如说

eval('echo `whoami`;');

这种就必须再去hook DO_FCALL

c14ce220abb08c76dbc335e7622a4b59.png

为了不影响业务并且去做更好的防御,还需要更深入的研究。

参考:

http://drops.xmd5.com/static/drops/web-7333.html

https://www.cnblogs.com/iamstudy/articles/php_code_rasp_1.html

weixin_39618275
关注
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
php扩展初探
weixin_33751566的博客
07-19 81
1.首先生成扩展框架结构Cd /alidata/tmp/php-5.6.23/ext./ext_skel --extname=myext --proto=myext.fun1)此时会生成相关文件Configure config.h include myext.c config.m42)主要修改文件Config.m4PHP_ARG_WITH(myext, for myext ...
简单说说 php内核,zend引擎,php扩展
weixin_37657720的博客
02-21 322
内核: 用于处理请求,文件流,错误处理等相关处理 zend引擎: 将源文件转换成机器语言(实际上是字节码opCode),然后再zend虚拟机上运行(这个跟java虚拟机是类似的) 扩展:它是一组函数、类库和流, php使用它们来执行一些特定的操作, 比如需要使用mysql扩展扩展文件实体是 : PhpRoot/ext/php_mysql.dll...
PHP 的 HOOK 实现原理
yolo_yyh的博客
02-20 3831
PHP HOOK OPCode 是通过 int zend_set_user_opcode_handler(zend_uchar opcode, opcode_handler_t handler) 接口替换了 PHP 内置的 OPCode 的 handler (函数指针),那 PHP 是如何执行到我们替换后的 handler 的呢? 一、zend_user_opcodes 和 zend_user_opcode_handlers 以 PHP 5.1 版本为例,zend_set_user_opcode_h
基于PHP扩展的WAF实现
swordheart的博客
04-23 2190
0x00 前言 最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。 未知攻,焉知防。我们先来看看shell们都是怎么躲过查杀的:加密、变形、回调、隐藏关键字……总之就是一句话,让自己变得没有特征,这样就可以躲过狗和盾的查杀。但是万变不离其宗,无论怎么变形,最终都会回到类似这样的格式: 1 2 3 <code>#!php $_GET($_P
php 键名从0开始,从0开始的PHP RASP的学习
weixin_39540315的博客
03-16 318
基础RASP 设计思路RASP(Runtime Application self-protection)是一种在运行时检测攻击并且进行自我保护的一种技术。PHP RASP的设计思路很直接,安全圈有一句名言叫一切输入都是有害的,我们就跟踪这些有害变量,看它们是否对系统造成了危害。我们跟踪了HTTP请求中的所有参数、HTTP Header等一切client端可控的变量,随着这些变量被使用、被复制,信息...
【走进php内核】之 扩展篇(2)
u013756836的专栏
06-09 295
3 扩展的构成及编译 3.1 扩展的构成 扩展首先需要创建一个zend_module_entry结构,这个变量必须是全局变量,且变量名必须是:扩展名称_module_entry,内核通过这个结构得到这个扩展都提供了哪些功能,换句话说,一个扩展可以只包含一个zend_module_entry结构,相当于定义了一个什么功能都没有的扩展。 //zend_modules.h struct _zend_module_entry { unsigned short size; //sizeof(zend_
php扩展开发
afterlife_union的博客
03-24 557
php 扩展开发相关知识
大型、高负载网站架构和应用初探
12-17
总之,大型、高负载网站架构涉及多个层面的技术整合,包括高效Web服务器选择、应用优化、缓存策略、数据库调优、集群技术和数据共享方案。每个环节都需要根据实际需求进行深入研究和精心设计,以确保网站能够稳定、...
Taint analysis
03-19
taint analysis 污点数据分析,ppt,下载
大型Web2.0站点构建技术初探
yi_dei的专栏
10-30 405
  来至 书客网www.8211.cn 一、 web2.0网站常用可用性功能模块分析 二、 Flickr的幕后故事 三、 YouTube 的架构扩展 四、 mixi.jp:使用开源软件搭建的可扩展SNS网站 五、 Technorati的后台数据库架构 六、 通过了解MySpace的六次重构经历,来认识分布式系统到底该如何创建
理解SVM的三境界
shuimanting520的博客
05-03 3975
前言     动笔写这个支持向量机(support vector machine)是费了不少劲和困难的,原因很简单,一者这个东西本身就并不好懂,要深入学习和研究下去需花费不少时间和精力,二者这个东西也不好讲清楚,尽管网上已经有朋友写得不错了(见文末参考链接),但在描述数学公式的时候还是显得不够。得益于同学白石的数学证明,我还是想尝试写一下,希望本文在兼顾通俗易懂的基础上,真真正正能足以成为一
php _hook,PHP HOOK的若干方法
weixin_32723617的博客
03-21 436
0x00 针对OP进行hook在PHP内核中,每一个OP操作都是由一个固定的Handler函数去负责的,看_zend_op的结构体属性第一个就是opcode_handler_t,表示该OP对应的handler函数具体是哪个。主要是调用zend_set_user_opcode_handler,将对应的ZEND OP的handler函数替换成自己定义的函数实现HOOK机制。比如我们对ZEND_ECHO...
基于PHP的Webshell自动检测刍议
weixin_34268610的博客
03-08 243
WotChin · 2015/12/31 14:510x00 引言看到wooyun知识库上众多大神的精彩文章,深感自身LOW到爆,故苦思冥想找来一个题目,主要求邀请码一枚,以便以后继续学习。对于网络维护人员来说,恐怕最头痛的就是网站被黑,还留下了后门,甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力,那么,本文姑且探讨一下在PHP环境下的Webshell...
转载的一篇不错的介绍篇opcode的handler的文章
辛星,前进的路上.
03-17 732
1、opcode结构 在Zend/zend_compile.h文件下 1 2 3 4 5 6 7 8 9 10 11 12 struct _zend_op {         opcode_handler_t handler;         znode_
PHP HOOK的若干方法
Exploit的小站~
04-14 1万+
0x00 针对OP进行hook 在PHP内核中,每一个OP操作都是由一个固定的Handler函数去负责的,看_zend_op的结构体属性第一个就是opcode_handler_t,表示该OP对应的handler函数具体是哪个。 主要是调用zend_set_user_opcode_handler,将对应的ZEND OP的handler函数替换成自己定义的函数实现HOOK机制。 比如
php Zend虚拟机的两种hook方式
vspiders的博客
06-08 770
前言 这节讲一下PHP 的hook的两种方式,opcode handler hook和method hook,没有然后。 handler PHP提供了内置opcode handler替换函数zend_user_opcode_handlers。 ZEND_API int zend_set_user_opcode_handler(zend_uchar opcode, user_opcode_handler_t handler) { if (opcode != ZEND_USER_OPCODE) { if
execute php,php扩展实践zend_execute_ex获取实参
weixin_42491621的博客
03-10 460
其实在实现的 php 函数里面是很容易获取到的,参考 php 的 builtin 函数 func_get_args() 就可以知道了。void **p;int arg_count;int i;zend_execute_data *ex = EG(current_execute_data);if (!ex || !ex->function_state.arguments) {RETURN_FA...
PHP个人博客开发:数据库与界面设计初探
"这篇教程是关于使用PHP构建一个仿博客园的个人博客系统,主要涉及数据库设计和界面构建。作者自学PHP,希望通过分享项目来寻找PHP相关的工作机会。博客项目不完全遵循MVC架构,避免使用JQUERY AJAX,并提供了一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值