PHP代码审计2-常用超全局变量,常用命令注入,常用XSS漏洞审计,文件包含

超全局变量

$GLOBALS — 引用全局作用域中可用的全部变量
$_SERVER — 服务器和执行环境信息
$_GET — HTTP GET 变量
$_POST — HTTP POST 变量
$_FILES — HTTP 文件上传变量
$_REQUEST — HTTP Request 变量
$_SESSION — Session 变量
$_ENV — 环境变量
$_COOKIE — HTTP Cookies

已经被弃用的变量

$_HTTP_COOKIE_VARS
$_HTTP_ENV_VARS
$_HTTP_GET_VARS
$_HTTP_POST_FILES
$_HTTP_POST_VARS
$_HTTP_SERVER_VARS

常用命令注入　　【当存在以下命令时，可能导致命令注入（不同系统，情况不同）】

system():执行外部程序，并且显示输出

string system ( string $command [, int &$return_var ] )

同 C 版本的 system() 函数一样， 本函数执行 command 参数所指定的命令， 并且输出执行结果

exec():执行一个外部程序

string exec ( string $command [, array &$output [, int &$return_var ]] )

exec() 执行 command 参数所指定的命令。

passthru():执行外部程序并且显示原始输出

void passthru ( string $command [, int &$return_var ] )

同 exec() 函数类似， passthru() 函数 也是用来执行外部命令（command）的。 当所执行的 Unix 命令输出二进制数据， 并且需要直接传送到浏览器的时候， 需要用此函数来替代 exec() 或 system() 函数。 常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。

`` 反引号

shell_exec():通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回

string shell_exec ( string $cmd )

popen():打开进程文件指针

resource popen ( string $command , string $mode )

打开一个指向进程的管道，该进程由派生给定的 command 命令执行而产生。

proc_open():执行一个命令，并且打开用来输入/输出的文件指针。

resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] )

类似 popen() 函数， 但是 proc_open() 提供了更加强大的控制程序执行的能力

pcntl_exec():在当前进程空间执行指定程序

void pcntl_exec ( string $path [, array $args [, array $envs ]] )

常见代码执行函数

eval():把字符串作为PHP代码执行

mixed eval ( string $code )

把字符串 code 作为PHP代码执行。

assert():检查一个断言是否为 FALSE

PHP5：bool assert ( mixed $assertion [, string $description ] )

PHP7：bool assert ( mixed $assertion [, Throwable $exception ] )

assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动。

preg_replace():执行一个正则表达式的搜索和替换

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

搜索subject中匹配pattern的部分， 以replacement进行替换。

常用XSS漏洞审计

反射型

1、变量直接输出

echo $_GET("XSS")

2、$_SERVER变量参数

$_SERVER['PHP_SELF']：PHP_SELF:当前执行脚本的文件名，与 document root 有关

$_SERVER['HTTP_USER_AGENT']：当前请求头中 User-Agent: 项的内容，如果存在的话。该字符串表明了访问该页面的用户代理的信息

$_SERVER['HTTP_REFERER']：引导用户代理到当前页的前一页的地址（如果存在）。由 user agent 设置决定

$_ SERVER ['REQUEST_URI']：访问页面使用的请求方法，可能需要结合urldecode()进行解码

存储型

审查SQL语句

主要是 update insert 更新和插入语句，内容输入输出没有被过滤或者过滤不严！

防御：htmlspecialchars 函数

string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = true ]]] )

预定义字符

& （和号） 成为 &
" （双引号） 成为 "
' （单引号） 成为 '
< （小于） 成为 &lt;
> （大于） 成为 &gt;

文件包含

在 PHP 中，有四个用于包含文件的函数，当使用这些函数包含文件时，文件中包含的 PHP代码会被执行

include():当使用该函数包含文件时，只有代码执行到 include()函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行

include_once():功能和 include()相同，区别在于当重复调用同一文件时，程序只调用一次。

require():

1.require()与 include()的区别在于 require()执行如果发生错误，函数会输出错误信息，并终止脚本的运行。

2.使用 require()函数包含文件时，只要程序一执行，立即调用文件，而 include()只有程序执行到该函数时才调用

require_once():

它的功能与 require()相同，区别在于当重复调用同一文件时，程序只调用一次。

本地包含：受gpc影响，截断%00

远程包含：前提将配置文件中allow_url_fopen 和 allow_url_include设为 On

伪协议【伪协议不同于因特网上所真实存在的协议，如http://，https://，ftp://，而是为关联应用程序而使用的.如:tencent://(关联QQ)，data:(用base64编码来在浏览器端输出二进制文件)，还有就是javascript:】

php://filter/read=convert.base64-encode/resource=

在 allow_url_include = On 且 PHP >= 5.2.0php://input