51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

PHP漏洞挖掘——进阶篇

作者:绿盟科技
安全 应用安全
本篇文章从常见的PHP风险点告诉你如何进行PHP漏洞挖掘,以及PHP渗透测试中的黑盒与白盒。

 

从常见的PHP风险点告诉你如何进行PHP漏洞挖掘,以及PHP渗透测试中的黑盒与白盒。你与PHP大师只有这一篇文章的差距!

一、PHP漏洞挖掘特点

PHP有着移植性好,容易部署,开发简单的特点,多用于中小型web应用的开发。这就导致了PHP应用的价值多体现在整站框架/模板的开发上。

PHP漏洞挖掘特点

PHP漏洞挖掘特点

程序员在设计一个站点的时候,永远会把功能实现和开发成本放在***位,而这些恰恰是与安全相矛盾的。快速开发导致的后遗症就是,开发者在还未完全了解原站所有功能的情况下就将二次开发后的网站发布上线了。

很多开源模板被二次甚至三次开发,并冠以其它公司的名字。这类情况并不在少数。

PHP漏洞挖掘特点

二、PHP漏洞组成

PHP开发出来的系统存在很多特有漏洞,这些漏洞往往隐藏于服务端代码逻辑之中,而且极难通过黑盒的方式发现,传统的渗透性测试几乎无能为力。

PHP漏洞组成

PHP漏洞组成

于是我们需要转向更深处,看看盒子里面的构造。

[[204160]]

三、PHP白盒审计

一句话描述我们要做的工作

起点 终点

被引用过很多次的一张图

一些特别的代码结构

当然还有“坑爹”的PHP特性

见过很多次的一个界面

三、如何进行漏洞挖掘——常见的PHP风险点

1. 可操作的参数名

常见的PHP风险点

如果我们提交URL:

key.php?=1&bbb=2 那么就导致一个xss的漏洞,想象一下如果这个key提交给include()等函数或者sql查询呢。

2. 变量覆盖

a)这时我们提交URL: var.php?a=bye那么***的显示效果应该是什么呢?

b)需要注意的是那个%3d。这个问题也同样会作用于mb_parse_str()

c)在register_globals开启的时候,请求var.php?GLOBALS[a]=aaaa&b=111,效果会如何呢?

d) 在register_globals被禁止的时候,import_request_variables可以同样起到对全局变量赋值的作用。

3. magic_quotes_gpc

魔术引号magic_quotes_gpc其实某些意义上来讲并不算是一个风险点,相反它其实是一个PHP特有的安全设置。一般来讲,懒惰的程序猿们常常认为魔术引号是用来掩盖他们代码缺陷的万用过滤器。可惜那帮无聊的白帽子们总能想出绕过办法..

[[204163]]

4. 下面几种情况可能会导致GPC被绕过1.$_SERVER

  • getenv()得到的变量
  • $HTTP_RAW_POST_DATA与PHP输入、输出流

5. 数据库操作容易忘记使用单引号保护

6. 宽字节注入

因此,各类编码的一编一转,最终被绕进去的很可能是程序员。可能出现问题的编码如下:

举个栗子——比如这段奇葩代码…

  1. <?php 
  2.  
  3. $sql = “SELECT * FROM article WHERE articleid='”.urldecode($_GET[id]).”‘”; 
  4.  
  5. ?> 

7. GPC的高级“用法”

  1. //提交                        ’ 
  2. //魔术引号处理         \’ 
  3. //我们要的字符         \ 

8. eval/preg_replace命令执行

命令执行无疑是PHP漏洞中最耸人听闻的一类了。简简单单一个请求就能够一步拿shell,这是多少黑客们梦寐以求的事情了…然而对于程序员来讲,犯下这样的错误往往就在一念之间。

[[204164]]

9. ThinkPHP一键getshell

preg_replace的e修饰符会使进行替换时的replacement参数以PHP方式执行,又由于“作用导致分割后的第二个子串(参数值)被当做PHP函数执行。

http://www.11jia.net/index.php/module/action/param1/$%7B@phpinfo()%7D

10. 见命令执行函数

11. 其它PHP漏洞

session_destroy()任意删除文件漏洞(php4<4.3 php5<5.14):

当我们提交构造

  1. val.php?del=1cookie:PHPSESSID=/../1.php)时,由于session_destroy的作用会删除sess_/../1.php 

12. 特殊字符截断

著名的null字符截断————

提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”

13. 当然还有一些在梦游的程序员…

四、黑盒与白盒的统一

1. 黑盒与白盒

软件测试中的黑盒与白盒

PHP渗透测试中的黑盒与白盒

PHP渗透测试中的黑盒与白盒

典型的两种思路

2. 平时的学习应该如何加强

对于PHP站点的web安全评估需要引入的几点:

对于PHP站点的web安全评估需要引入的几点:

五、学习资料

  • http://www.php100.com/
  • http://www.5idev.com/
  • http://www.cnseay.com/
  • http://www.w3school.com.cn/
  • http://bbs.phpchina.com/
  • http://www.php-security.org/
  • http://bugs.php.net/http://sebug.net/

原文链接:http://blog.nsfocus.net/php-vulnerability-mining/

【本文是51CTO专栏作者“绿盟科技博客”的原创稿件,转载请通过51CTO联系原作者获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
PHP漏洞渗透测试
相关推荐
聊聊 Docker-Compose 进阶篇
configs和secrets是DockerCompose和DockerSwarm中用于管理容器配置和敏感数据的两个不同的功能。

2023-03-26 09:08:36

Java进阶篇——Springboot2源码探究
看起来是将元数据中的包名提取成数组,我们打开看看该类在初始化的时候具体干了什么,可以看到实际上在初始化时调用了一个ClassUtils.getPackageName,传入了一个什么呢,metadata.getclassname,他是什么呢,打断点!

2023-01-12 08:50:46

最快让你上手ReactiveCocoa之进阶篇
由于时间的问题,暂且只更新这么多了,后续还会持续更新本文《最快让你上手ReactiveCocoa之进阶篇》,目前只是简短的介绍了些RAC核心的一些方法,后续还需要加上MVVM+ReactiveCocoa实战开发。

2015-10-20 15:57:48

ReactiveCociOS
Hadoop on K8s 编排部署进阶篇
Kubernetes(通常简称为K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它提供了一种强大的方式来管理容器化应用程序的资源和生命周期。

2023-07-10 07:22:16

文章带你了解Django ORM操作(进阶篇
上次咱们学习了一下DjangoORM的基本查询操作。查询操作主要使用的是filter()方法。我们知道filter()查询出来的是值,如果想取第一个值需要再filter().first()才行。

2021-01-01 09:20:20

操作DjangoORM
用Domato通过Fuzzing对PHP进行漏洞挖掘研究
最近,我一直在对PHP解释器进行Fuzzing,我探索了许多工具和技术(AFL,LibFuzzer,甚至是自定义的Fuzzing引擎),但是最近我决定尝试Domato。

2020-10-16 09:42:22

漏洞
Prometheus on k8s 部署与实战操作进阶篇
Prometheus和PrometheusOperator的配置和使用在实际环境中可能会因版本和具体的Kubernetes发行版而有所不同。为了获得更详细和准确的指导,请查阅官方文档和适用于您特定环境的教程。

2023-08-29 10:27:32

SELinux进阶篇 应用目标策略管理非限制进程和用户
非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrct域中,非限制的kernel进程运行在kernelt域中,非限制的用户运行在unconfinedt域中。对于非限制的进程,SELinux策略规则仍然适用...

2011-10-24 09:49:37

管理非限制进程SELinux
XSS攻击进阶篇——那些年我们看不懂的XSS
XSS的实质其实是HTML代码与Javscript代码的注入。但由于XSS的攻击对象是与客户对等的Browser端,因此常常不被开发者所重视。

2017-09-19 15:45:39

BASH漏洞挖掘
BASH除了可以将shell变量导出为环境变量,还可以将shell函数导出为环境变量!当前版本的bash通过以函数名作为环境变量名,以“(){”开头的字串作为环境变量的值来将函数定义导出为环境变量。

2014-09-25 19:30:51

进阶篇-SpringBoot2.x自定义starter启动器
SpringBoot之所以大大地简化了我们的开发,用到的一个很重要的技术就是Starter机制!

2022-09-13 09:02:19

SpringBootStarter机制
学习笔记 用Visio画UML图类结构图(进阶篇
你对UML图的画法是否熟悉,本文就向大家介绍一下用Visio画UML图,希望通过本文的学习你对UML图中类结构图的画法有明确的认识。

2010-07-05 13:08:42

用Visio画UML图
浅谈CSRF漏洞挖掘技巧
CSRF(Crosssiterequestforgery跨站请求伪造,也被称成为“oneclickattack”或者sessionriding。

2013-04-24 15:56:40

漏洞挖掘的高级方法
本篇文章首先我会从一个较高的角度总结于我眼中何谓漏洞挖掘;然后详细讨论在软件漏洞挖掘过程中我们需要掌握的技能以及需要的知识和工具等;最后我将谈谈一些我认为有利于漏洞挖掘但是却并非纯技术性的想法。

2017-11-06 06:05:47

关于PHP漏洞以及如何防止PHP漏洞
漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露、cookie伪造、CSRF(跨站请求)等。这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何有效防止这些漏洞。

2013-07-03 11:28:47

黑盒审计之注入漏洞挖掘思路
我们知道在源码审计中这样的SQL注入漏洞很容易被发现,但是对于我们这样不会代码审计又想要挖漏洞的小菜来说该怎么办那就要讲究方法了,这里和大家分享下我平时挖掘漏洞的一些思路。

2013-12-02 09:35:10

USB Fuzzing基础知识:从漏洞挖掘漏洞报告
本文的目的不是重新定义USBFuzzing测试,也不是对我的Fuzzing测试架构进行完整描述,而是要叙述从Fuzzing测试到漏洞报告的完整步骤。

2020-09-29 10:44:51

漏洞
PHP漏洞全解(九)-文件上传漏洞
本文主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文件上传漏洞。

2012-04-12 16:05:50

针对某APP的漏洞挖掘(抓包+逆向=挖到大漏洞)
本人分享一下最近的一次挖洞过程,希望能够抛砖引玉,大家踊跃分享自己的挖洞经验。

2016-10-14 13:10:35

php漏洞与代码审计
在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。

2013-03-25 11:51:42

php漏洞代码审计php
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服