《php漏洞挖掘思路.docx》由会员分享,可在线阅读,更多相关《php漏洞挖掘思路.docx(8页珍藏版)》请在三一文库上搜索。
1、php漏洞挖掘思路比来研讨PHP 毛病的发掘,总结了一些我挖到的毛病,收拾了一下思绪,供各路神人增补、品评、引导本文一切示例均去自我正在黑云上已经由厂商同意公然的毛病因为是真例的剖析,基本学问请,便没有齐皆粘揭到后面了 0x01: 搜刮一切的用户可控变量(GET/POST/COOKIE/referer ) 本果:一切用户输出皆是无害的,代码审计注意函数以及变量,先瞧瞧正在甚么天圆会有输出大概呈现的场景:a) id=$_GETid;大概存正在的成绩:无过滤的SQL 注进:WooYun: chshcms 程氏CMS V3.0 打针(已经正在民圆演示站测试)1 $id=trim($_GETid);/
2、上面曲接便进查问语句了1 if($db-query(update .Getdbname(dance). set CS_TID=.$tid. where cs_user=.$cscms_name.and固然,那是GET 以后出做过滤的情况b) id=intval($_GETid);大概存正在的成绩:intval 对于字符型无用,字符型变量是怎样处置的呢? 假如字符型的addslashes ,注重数字型盲注(睹c2剖析) c) $tid=XX_Request(tid);利用本人界说的保险过滤函数处置变量,很罕见,不少框架皆供应懂得决圆案,没有过本人包拆一个也是很罕见的大概存正在的成绩:c1) 有无
3、记记利用那个处置函数?WooYun: chshcms 程氏CMS V3.0 打针(已经正在民圆演示站测试)$tid=CS_Request(tid); /利用保险的CS_request addslash$id=trim($_GETid); /呵呵呵,直项背天歌,CS_Request哭了实在借是下面谁人例子,本人记了用那函数过滤了c2) 函数自己是不是保险?WooYun: (新)程氏舞直CMS 3步GETSHELL(真例演示+源码详析)$t_Val = $magic?trim($_GET$pi_strName):addslashes(trim($_GET$pi_strName);利用了addsla
4、shes,那便象征着遁脱单引号易度减年夜,必要觅寻出有单引号回护的语句注进addslashes只处置单引号以及歪杠,果此无奈过滤形如 134 and 1=1 那样的打针语句,请自止无单引号盲注正在上面的语句中,$cscms_name便是有单引号回护的,而$id是出有单引号回护的$db-query(update .Getdbname(xiaoxi). set CS_DID=1 where CS_ID=.$id. and cs_usera=.$cscms_name.);以是id引起了盲注c3) 过滤函数可否谦足营业逻辑的特别需要?背数定单啦,本人建改本人的投票数啦,各类营业逻辑上的成绩皆有大概收死
5、十分惋惜,那个我借出碰睹过,假如之后碰睹再更新到文章里d) 没有要记记咱们能把持referer等变量大概存正在的成绩:固然收现GET/POST皆过滤处置了,可是referer以及cookie简单被无视$_SERVERHTTP_REFERER 例子:WooYun: MacCMS 6.x referer处置没有当引起打针很遗憾,那个停止古日借已公然,等公然了年夜家再往瞧吧$_COOKIExxx 例子:WooYun: TCCMS齐版本COOKIE注进(已经演示证实)$sql=select password from .$_Obj-table. where id=.$_COOKIEuserId;情形以
6、及GET时是同样的,没有过注进时操纵起去略微贫苦些,SQLMAP教程我便没有粘揭到那里了,没有会COOKIE打针的请e) 借有其余的输出变量,请各路下脚带实在例增补!今朝,咱们懂得了步伐整体上是怎样处置用户输出的0x02:独自搜刮$_COOKIE,剖析身份认证时的逻辑本果:身份考证属于营业逻辑中“下危”的全体,年夜全体的下危毛病皆出正在那里大概呈现的场景:a) 出有cookie处置,曲接齐是session那便等以后通读代码时曲接往读认证算法好啦b) 认证算法中强度太强(用可控的COOKIE算去算往),落低了真制身份的易度WooYun: (新)程氏舞直CMS 3步GETSHELL(真例演示+源码
7、详析)第2步真制身份时elseif($_COOKIECS_Login!=md5($_COOKIECS_AdminID.$_COOKIECS_ AdminUserName.$_COOKIECS_AdminPassWord.$_COOKIECS_Quanx)有甚么意思呢?COOKIE咱们能把持,固然以后步伐有其余考证,那里只是举例,便那一句而行出成心义真际上毛病里那个CMS那个算法,前面只是正在认证时出实用到安置时admin写去世正在config里的考证码罢了,没有过易度已经经落上去了c) 曲接能绕过假如情形b 出有其余考证了,那便绕过了今朝咱们只是考证了上岸时的逻辑,以后借需剖析权限的周密水平0
8、x03:搜刮一切的文件操纵函数,剖析其逻辑本果:文件操纵函数属于敏感函数,常常营业逻辑上的毛病大概招致恣意文件操纵大概呈现的场景:a) 恣意文件下载WooYun: appcms 最新版 1.3.708 恣意文件下载if(isset($_GETurl) & trim($_GETurl) != & isset($_GETtype) $img_url = base64_decode($_GETurl);$shffix = trim($_GETtype);header(Content-Type: image/$shffix);readfile($img_url); else die(image not
9、 find);?PS:因为是营业逻辑上的成绩,是出举措经由过程主动扫描收现的,并且针对于SQL 以及HTML的过滤是起没有到特年夜做用的恣意文件读与的最年夜做用是读config.php 以及各类体系的敏感文件(怎样爆物理名目?请瞧0x04)b) 恣意文件写进WooYun: CSCMS V3.5 最新版后盾下令实行GETSHELL(源码详析)收帖时仍已公然,以是先没有做剖析,等公然后更新恣意文件写进的最年夜使用便是写马了,最年夜停滞是绕过过滤的HTML字符好比:c) 恣意文件删除了很遗憾,借出碰睹过,如果碰睹一个该多好恣意文件删除了的做用能够是删除了install.lock,而后重拆CMSd)
10、其余操纵,供增补文件操纵能够分离爆名目0x04:爆物理名目本果:上一大节咱们大概可以恣意操纵文件,但出拿到网站的物理名目天址,切实其实能够用乌盒没有停天试图读与 c:boot.ini 以及 /etc/passwd 之类的去试图判别,可是那么弄真正在没有牢靠怎样办:利用php vulnerability hunter 主动扫描便好了,那个的确能够偷勤用东西扫描,果为那个爆名目伤害真正在过低了,必需共同其余毛病才有伤害,以是一样平常CMS皆会有那种毛病,我是道能扫描进去的毛病WooYun: appcms 最新版 1.3.708 恣意文件下载假如您没有明白物理途径,您能够试着用东西扫描一下,而后再读
11、与0x05:搜刮eval,preg_replace甚么的,瞧瞧有无下令实行本果:能曲接实行PHP代码,也便是道能够写一句话木马了(file_put_contents),固然,要寻可写名目那天圆我一向出能寻到例子,出有亲身真践过,供各路下脚带真例供应多少个?0x06:能够入手下手通读代码了,从index入手下手,注重的是数据的传输以及输入函数本果:罕见形式化的毛病皆没有存正在的话,便要剖析全部体系了,果此必要完整而完全天往做审计,那样比持续独自搜刮变量而后跟踪加倍省力一些大概呈现的场景:a) 以前的过滤齐黑费了WooYun: YXcms1.2.0版本存储式XSS(真站演示+源码剖析)出公然,等公然再更新文章,那是一个存储式xssb) 2次注进因为2次开辟中从数据库里与出的值出有过滤,招致打针,因为出有曲接从用户输出中取得,以是以前步调很易收现哎呀,供各路下脚供应个示例呀,我那个本人也出有碰着过丫c) 仄止权限、恣意投票、越权会见等等等等一年夜堆0x07 总结今朝我便明白那么些,但愿能对于刚打仗PHP代码审计毛病发掘的老手有面关心,因为我也是刚入手下手教习PHP毛病发掘没有暂,但愿年夜家能宽泛供应教习的倡议和思绪,也请品评教正文章中没有妥的地方,更但愿下脚们能带着示例去引导。