RIPS源码阅读记录(二)

Author: tr1ple

这部分主要分析scanner.php的逻辑，在token流重构完成后，此时ini_get是否包含auto_prepend_file或者auto_append_file

取出的文件路径将和tokens数组结合，每一个文件都为一个包含require+文件名的token数组

接着回到main.php中，此时调用scanner的parse开始解析，这里的一个设计点问题就是要扫描漏洞，此时已经需要准备好的有哪些东西

1.file_scanning:

这里实际上就代表的是将要进行扫描的文件，在这里实际上是对每个待扫描的php文件都将调用parse进行解析，files就是前端指定的目录位置，勾选subdirs就包括其子目录的php文件

2.scan_functions:

扫描的结果显示级别是根据前端verbosity来进行选择，扫描函数是根据vuln type来选择

主要分为两个大类，客户端攻击和服务端

客户端主要包括

a.xss

主要是以下函数在输出时可能存在xss，其中每种函数都对应一个数组，0代表跟踪该函数所有参数，1代表跟踪第一个，2代表第2个，

其中securing_xss为一些过滤函数，包括把字符转为实体，将左右尖括号、单双引号、&转为html实体，所以这种防御并不是百分百有效的

b.http 头部注入

c.会话固定漏洞

服务端主要包括：

a.代码执行

这里的securing_preg主要针对php5.x的e修饰符导致的代码执行，preg_quote将对正则进行转义

b.反射注入

c.文件读取

securing_file主要包括以下三种

d.文件系统操作相关和e文件包含相关也都是用的相同的securing_file

f.命令执行相关

securing_function主要关注两个命令转义函数

g.sql操作相关：

securing_function:

h.xpath注入

securing_functions

i.ldap注入

j.连接相关的函数

k.php对象注入：

l.其他一些高危函数

因此以上一共是3种客户端+12种服务端=15种预配置的漏扫类型，但是这些漏洞并没有完全涵盖比如csrf、ssrf、xxe以及无法检测一些越权漏洞等逻辑漏洞，以及反序列化也不一定是unserialize，可能是phar反序列化

上面预先配置的这些函数也是作者对php的函数都做了相关的调查，建立在对php语言与漏洞本身的理解基础上(白盒对基础的要求还是高)

3.info_functions

info类中主要包括一些辅助审计的函数检测，比如出现phpinfo，将对应phpinfo detected，以及不同数据库用到的函数如果出现，则代表当前应用使用了哪些数据库

4.source_functions

待扫描的函数初始化后，将初始化source点

source点主要包括：

a.otherinput 包括http头部一些信息，超全局数组变量等操作函数

b.从文件中提取的输入

c.从数据库中提取的输入

这些输入点全部都定义在source.php，其中还包括userinput，http server相关的一些参数，不过这两类输入在初始化时并未加入source_functions数组

info中还包含了常用的一些pop链构造需要的一些gadget方法