PHP审计基础

php核心配置

register_globals	全局变量注册开关	设置为on时，把GET/POST的变量注册成全局变量	PHP 5.4.0中移除
allow_url_include	包含远程文件	设置为on时，可包含远程文件	PHP 5.2后默认为off
allow_url_fopen	打开远程文件
magic_quotes_gpc	魔术引号自动过滤	设置为on时，自动在GET/POST/COOKIE变量中',",\,NULL的前面加上\	PHP5不会过滤$_SERVER变量，PHP5.4以后移除
magic_quotes_runtime	魔术引号自动过滤	与mq_gpc的区别：mq_runtime只过滤从数据库/文件中获取的数据	PHP5.4以后移除
magic_quotes_sybase	魔术引号自动过滤	会覆盖掉_gpc；仅仅转义NULL和把'替换成"	PHP5.4以后移除
safe_mode	安全模式	联动配置指令有很多；......	PHP5.4以后移除
open_basedir	PHP可访问目录	用;分割多个目录，且以前缀而非目录划分	PHP5.2.3以后范围时PHP_INI_ALL
disable_functions	禁用函数	如果使用此指令，切记把dl()函数也加入到禁用列表
display_errors/error_reporting	错误显示	d_errors为off时，关闭错误回显，为on时，可配置e_reporting，等级制
。。。

审计思路

1）敏感关键字

2）可控变量

3）敏感功能点

4）通读代码

SQL注入

经常出现在登录页面/获取HTTP头/订单处理等地方。

防范

1.addslashes函数

过滤的值范围和_gpc时一样的

2.mysql_[real_]escape_string函数

在PHP 4.0.3以上，\x00 \n \r \ ' " \xla受影响

3.intval等字符转化

上面提到的过滤方式，对int类型注入效果并不好。

4.PDO prepare预编译

XSS漏洞

输出函数：print/print_r/echo/var_dump/printf/sprintf/die/var_export

经常出现在文章发表/评论回复/留言以及资料设置等地方。特别是在发表文章的时候，因为这里大多都是富文本，有各种图片引用/文字格式设置等，所以经常出现对标签事件过滤不严格导致的xss。

CSRF漏洞

CSRF主要用于越权操作，所以漏洞自然在有权限控制的地方，像管理后台/会员中心/论坛帖子以及交易管理等。

黑盒挖掘经验：打开几个有非静态操作的页面，抓包看看有没有token，如果没有的话，再直接请求（不带referer）这个页面，如果返回的数据还是一样的话，那说明很有可能有CSTF漏洞了。

白盒挖掘经验：通读代码看看几个核心文件里面有没有验证token和referer相关的代码。核心文件指被大量文件引用的文件。

文件包含漏洞

include/include_once/require/require_once

文件包含漏洞大多出现在模块加载/模板加载以及cache调用的地方，比如传入的模块名参数，实际上是直接把这个拼接到了包含文件的路径中。

文件包含截断：

1.%00；受限于gpc和addslashes，php5.3之后被修复。

2.././....；不受限gpc，同样在PHP5.3之后被修复。windows下240个.或者./能够截断，linux2038个./组合才能截断

文件上传漏洞

move_uploaded_file

1.未过滤或本地过滤

2.黑名单拓展名过滤

3.文件头/content-type验证绕过

代码执行漏洞

eval/assert/preg_replace/call_user_func/call_user_func_array/array_map等，还有PHP东陶函数$a($b)

preg_replace：读字符串进行正则处理，当pattern部分带/e修饰符时，replacement的值会被当成php代码执行。

call_user_func和array_map等数十个函数...

命令执行漏洞

system/exec/shell_exec/passthru/pcntl_exec/popen/proc_open/另外``实际上时调用shell_exec函数

system/exec/shell_exec/passthru会执行命令并直接回显结果

pcntl_exec：pcntl是PHP的多进程处理拓展，在处理大量任务的情况下会使用到

popen/prc_open不会直接回显结果，而是返回一个文件指针：popen('whoami >> D:2.txt','r')

变量覆盖漏洞

extract/parse_str，import_request_variables则是用在没有开启全局变量注册的时候，调用这个函数则相当于开启了全部变量这侧，PHP5.4以后被取消。

$$

extract需要一定条件，没有第二个参数或者第二个参数extract_type为EXTR_OVERWRITE/EXTR_IF_EXISTS时，可覆盖。

parse_str直接覆盖

import_request_variables把GET/POST/COOKIE的参数注册成变量，用在register_globals被禁止时，需要php4.1~5.4。

业务逻辑漏洞

逻辑漏洞很大，这里单说业务逻辑上面的漏洞。

支付/找回密码/程序安装等。

挖掘经验：通读代码，理解业务流程。

值得关注的点：程序是否可重复安装/修改密码处是否可越权修改其他用户密码/找回密码验证码是否可暴力破解以及修改其他用户密码/cookie是否可预测/cookie验证是否可绕过等。