ref:http://blog.nsfocus.net/php-vulnerability-mining/

【干货分享】PHP漏洞挖掘——进阶篇

 
 

从常见的PHP风险点告诉你如何进行PHP漏洞挖掘,以及PHP渗透测试中的黑盒与白盒。你与PHP大师只有这一篇文章的差距!

一. PHP漏洞挖掘特点

PHP有着移植性好,容易部署,开发简单的特点,多用于中小型web应用的开发。这就导致了PHP应用的价值多体现在整站框架/模板的开发上。

程序员在设计一个站点的时候,永远会把功能实现和开发成本放在第一位,而这些恰恰是与安全相矛盾的。快速开发导致的后遗症就是,开发者在还未完全了解原站所有功能的情况下就将二次开发后的网站发布上线了。

很多开源模板被二次甚至三次开发,并冠以其它公司的名字。这类情况并不在少数。

PHP漏洞组成

PHP开发出来的系统存在很多特有漏洞,这些漏洞往往隐藏于服务端代码逻辑之中,而且极难通过黑盒的方式发现,传统的渗透性测试几乎无能为力。

于是我们需要转向更深处,看看盒子里面的构造。

二. PHP白盒审计

一句话描述我们要做的工作

         起点                                                             终点    

被引用过很多次的一张图

一些特别的代码结构

当然还有“坑爹”的PHP特性

见过很多次的一个界面

三. 如何进行漏洞挖掘——常见的PHP风险点

可操作的参数名

如果我们提交URL:

key.php?<script>alert(1);</script>=1&bbb=2 那么就导致一个xss的漏洞,想象一下如果这个key提交给include()等函数或者sql查询呢。

变量覆盖

a)这时我们提交URL: var.php?a=bye那么最后的显示效果应该是什么呢?

b)需要注意的是那个%3d。这个问题也同样会作用于mb_parse_str()

c)在register_globals开启的时候,请求var.php?GLOBALS[a]=aaaa&b=111,效果会如何呢?

d) 在register_globals被禁止的时候,import_request_variables可以同样起到对全局变量赋值的作用。

magic_quotes_gpc

魔术引号magic_quotes_gpc其实某些意义上来讲并不算是一个风险点,相反它其实是一个PHP特有的安全设置。一般来讲,懒惰的程序猿们常常认为魔术引号是用来掩盖他们代码缺陷的万用过滤器。可惜那帮无聊的白帽子们总能想出绕过办法..

下面几种情况可能会导致GPC被绕过1.$_SERVER

  • 2.getenv()得到的变量
  • 3.$HTTP_RAW_POST_DATA与PHP输入、输出流

数据库操作容易忘记使用单引号保护

宽字节注入

因此,各类编码的一编一转,最终被绕进去的很可能是程序员。可能出现问题的编码如下:

举个栗子——比如这段奇葩代码…

<?php

$sql = “SELECT * FROM article WHERE articleid='”.urldecode($_GET[id]).”‘”;

?>

GPC的高级“用法”

//提交                        ’
//魔术引号处理         \’
//我们要的字符         \

eval/preg_replace命令执行

命令执行无疑是PHP漏洞中最耸人听闻的一类了。简简单单一个请求就能够一步拿shell,这是多少黑客们梦寐以求的事情了…然而对于程序员来讲,犯下这样的错误往往就在一念之间。

ThinkPHP一键getshell

preg_replace的e修饰符会使进行替换时的replacement参数以PHP方式执行,又由于“作用导致分割后的第二个子串(参数值)被当做PHP函数执行。

http://www.11jia.net/index.php/module/action/param1/$%7B@phpinfo()%7D

非常见命令执行函数

其它PHP漏洞

session_destroy()任意删除文件漏洞(php4<4.3 php5<5.14):

当我们提交构造

val.php?del=1(cookie:PHPSESSID=/../1.php)时,由于session_destroy的作用会删除sess_/../1.php

特殊字符截断

著名的null字符截断————

提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”

当然还有一些在梦游的程序员…

四. 黑盒与白盒的统一

黑盒与白盒

软件测试中的黑盒与白盒

PHP渗透测试中的黑盒与白盒

典型的两种思路

平时的学习应该如何加强

对于PHP站点的web安全评估需要引入的几点:

五. 学习资料

  • http://www.php100.com/
  • http://www.5idev.com/
  • http://www.cnseay.com/
  • http://www.w3school.com.cn/
  • http://bbs.phpchina.com/
  • http://www.php-security.org/
  • http://bugs.php.net/http://sebug.net/
 

文章分类: 威胁通报

ref:【干货分享】PHP漏洞挖掘——进阶篇的更多相关文章

  1. 2. web前端开发分享-css,js进阶篇

    一,css进阶篇: 等css哪些事儿看了两三遍之后,需要对看过的知识综合应用,这时候需要大量的实践经验, 简单的想法:把qq首页全屏另存为jpg然后通过ps工具切图结合css转换成html,有无从下手 ...

  2. web前端开发分享-css,js进阶篇

    一,css进阶篇: 等css哪些事儿看了两三遍之后,需要对看过的知识综合应用,这时候需要大量的实践 经验, 简单的想法:把qq首页全屏另存为jpg然后通过ps工具切图结合css转换成html,有无 从 ...

  3. [网站安全] [实战分享]WEB漏洞挖掘的一些经验分享

    WEB漏洞有很多种,比如SQL注入,比如XSS,比如文件包含,比如越权访问查看,比如目录遍历等等等等,漏洞带来的危害有很多,信息泄露,文件上传到GETSHELL,一直到内网渗透,这里我想分享的最主要的 ...

  4. ref:PHP反序列化漏洞成因及漏洞挖掘技巧与案例

    ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧与案例 一.序列化和反序列化 序列化和反序列化的目的是使得程序间传输对象会更加 ...

  5. 一篇RPO漏洞挖掘文章翻译加深理解。

    这是我第一次尝试翻译一篇漏洞挖掘文章,翻译它也是为了加深理解它.这是一篇很有意思的漏洞挖掘文章. 前几天在看fd的博客,偶然看到了这篇文章,虽然有点老了.但是思路真的牛皮.我决定花费时间和精力研究它们 ...

  6. 【干货分享】Node.js 中文资料导航

    这篇文章与大家分享一批高质量的的 Node.js 中文资料.Node.js 是一个基于 Chrome JavaScript 运行时建立的一个平台, 用来方便地搭建快速的, 易于扩展的网络应用 Node ...

  7. 最强最全干货分享:Android开发书籍、教程、工具等

    最全干货分享,本文收集整理了Android开发所需的书籍.教程.工具.资讯和周刊各种资源,它们能让你在Android开发之旅的各个阶段都受益. 入门<Learning Android(中文版)& ...

  8. (转) exp1-1:// 一次有趣的XSS漏洞挖掘分析(1)

    from http://www.cnblogs.com/hookjoy/p/3503786.html 一次有趣的XSS漏洞挖掘分析(1)   最近认识了个新朋友,天天找我搞XSS.搞了三天,感觉这一套 ...

  9. 干货分享:SQLSERVER使用裸设备

    干货分享:SQLSERVER使用裸设备 这篇文章也适合ORACLE DBA和MYSQL DBA 阅读 裸设备适用于Linux和Windows 在ORACLE和MYSQL里也是支持裸设备的!! 介绍 大 ...

随机推荐

  1. Bash to check SSL cert expired

    Code like this, You can send out a email to notice $ cat urls.txt www.baidu.com $ cat cert_chk.sh #! ...

  2. 远程调试openstack

    之前一直没有找到方法调试openstack的horizon代码,现在终于找到方法了,特别感谢下面这篇博客,讲解非常清晰: http://blog.csdn.net/tantexian/article/ ...

  3. SpringCloud学习(3)——Eureka服务注册中心及服务发现

    Eureka概述: Eureka是Netflix的一个子模块, 也是核心模块之一.Eureka是一个基于REST的服务, 用于定位服务, 以实现云端中间层服务发现和故障转移.服务注册与发现对于微服务框 ...

  4. jdbc:oracle:thin:@localhost:1521:orcl和jdbc:oracle:thin:@localhost:1521/orcl的区别

      Oracle Thin JDBC Driver 驱动程序包名:ojdbc14.jar.ojdbc6.jar 驱动程序类名: oracle.jdbc.driver.OracleDriver JDBC ...

  5. KMP next表模板

    void makeNext(const char P[],int next[]) { int q,k;//q:模版字符串下标:k:最大前后缀长度 int m = strlen(P);//模版字符串长度 ...

  6. 将oh-my-zsh编程真正的my zsh

    环境: Ubuntu 32位 oh-my-zsh安装: 1.安装zsh: sudo apt-get install zsh 2.将当前用户的shell环境修改为zsh:  chsh -s /bin/z ...

  7. 使用Forms Authentication

    using System; using System.Web; using System.Web.Security;   namespace AuthTest {   public class Aut ...

  8. SDUT 3917

    UMR 现在手里有 n 张康纳的表情,最上面一张是玛吉呀巴库乃.现在 UMR 如果每次把最上面的 m 张牌移到最下面而不改变他们的顺序及朝向,那么至少经过多少次移动玛吉呀巴库乃才会又出现在最上面呢? ...

  9. 【洛谷 P4542】 [ZJOI2011]营救皮卡丘(费用流)

    题目链接 用最多经过\(k\)条经过\(0\)的路径覆盖所有点. 定义\(ds[i][j]\)表示从\(i\)到\(j\)不经过大于\(max(i,j)\)的点的最短路,显然可以用弗洛伊德求. 然后每 ...

  10. windows+python3.6下安装fasttext+fasttext在win上的使用+gensim(fasttext)

    真是坑了好久,faxttext对win并不是很友好,所以遇到了很多坑,记录下来,以供大家少走弯路. 法1:刚开始直接用pip install fasttext,最后一直报下面这个错误 “error:M ...