最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~
本文所有示例均来自我在乌云上已由厂商允许公开的漏洞
由于是实例的分析,基础知识请百度,就不全都粘贴到前面了
0x01: 搜索所有的用户可控变量(GET/POST/COOKIE/referer)
原因:所有用户输入都是有害的,代码审计注重函数和变量,先看看在什么地方会有输入
可能出现的场景:
a) id=$_GET['id'];
可能存在的问题:
无过滤的SQL注入:
WooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站测试)
$id=trim($_GET["id"]);
//下面直接就进查询语句了
if($db->query("update ".Getdbname('dance')." set CS_TID=".$tid." where cs_user='".$cscms_name."' and
当然,这是GET之后没做过滤的情景
b) id=intval($_GET['id']);
可能存在的问题:intval对字符型无用,字符型变量是怎么处理的呢?
如果字符型的addslashes,注意数字型盲注(见c2分析)
c) $tid=XX_Request("tid");
使用自己定义的安全过滤函数处理变量,很常见,很多框架都提供了解决方案,不过自己包装一个也是很常见的
可能存在的问题:
c1) 有没有忘记使用这个处理函数?
WooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站测试)
$tid=CS_Request("tid"); //使用安全的CS_request addslash $id=trim($_GET["id"]); //呵呵呵,曲项向天歌,CS_Request哭了
其实还是上面那个例子,自己忘了用这函数过滤了
c2) 函数本身是否安全?
WooYun: (新)程氏舞曲CMS 三步GETSHELL(实例演示+源码详析)
$t_Val = $magic?trim($_GET[$pi_strName]):addslashes(trim($_GET[$pi_strName]));
使用了addslashes,这就意味着逃脱单引号难度加大,需要寻找没有单引号保护的语句注入
addslashes只处理单引号和斜杠,因此无法过滤形如 134 and 1=1 这样的注射语句,请自行百度无单引号盲注
在下面的语句中,$cscms_name就是有单引号保护的,而$id是没有单引号保护的
$db->query("update ".Getdbname('xiaoxi')." set CS_DID=1 where CS_ID=".$id." and cs_usera='".$cscms_name."'");
所以id引发了盲注
c3) 过滤函数能否满足业务逻辑的特殊需求?
负数订单啦,自己修改自己的投票数啦,各种业务逻辑上的问题都有可能发生
非常可惜,这个我还没撞见过,如果以后撞见再更新到文章里
d) 不要忘记我们能控制referer等变量
可能存在的问题:
虽然发现GET/POST都过滤处理了,但是referer和cookie容易被忽视
$_SERVER["HTTP_REFERER"] 例子:
WooYun: MacCMS 6.x referer处理不当引发注射
很遗憾,这个截至今日还未公开,等公开了大家再去看吧
$_COOKIE['xxx'] 例子:
WooYun: TCCMS全版本COOKIE注入(已演示证明)
$sql="select password from ".$_Obj->table." where id=".$_COOKIE['userId'];
情况和GET时是一样的,不过注入时操作起来稍微麻烦些,SQLMAP教程我就不粘贴到这里了,不会COOKIE注射的请百度
e) 还有其他的输入变量,请各路高手带着实例补充!
目前,我们了解了程序总体上是如何处理用户输入的
0x02:单独搜索$_COOKIE,分析身份认证时的逻辑
原因:身份验证属于业务逻辑中“高危”的部分,大部分的高危漏洞都出在这里
可能出现的场景:
a) 没有cookie处理,直接全是session
那就等之后通读代码时直接去读认证算法好啦
b) 认证算法中强度太弱(用可控的COOKIE算来算去),降低了伪造身份的难度
WooYun: (新)程氏舞曲CMS 三步GETSHELL(实例演示+源码详析)
第二步伪造身份时
elseif($_COOKIE['CS_Login']!=md5($_COOKIE['CS_AdminID'].$_COOKIE['CS_AdminUserName'].$_COOKIE['CS_AdminPassWord'].$_COOKIE['CS_Quanx'])){
有什么意义呢?COOKIE我们能控制,当然之后程序有别的验证,这里只是举例,就这一句而言没有意义
实际上漏洞里这个CMS这个算法,后面只是在认证时没有用到安装时admin写死在config里的验证码而已,不过难度已经降下来了
c) 直接能绕过
如果情况b 没有其他验证了,那就绕过了
目前我们只是验证了登陆时的逻辑,之后还需分析权限的缜密程度
0x03:搜索所有的文件操作函数,分析其逻辑
原因:文件操作函数属于敏感函数,往往业务逻辑上的漏洞可能导致任意文件操作
可能出现的场景:
a) 任意文件下载
WooYun: appcms 最新版 1.3.708 任意文件下载
<?php if(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) { $img_url = base64_decode($_GET['url']); $shffix = trim($_GET['type']); header("Content-Type: image/{$shffix}"); readfile($img_url); } else { die('image not find'); } ?>
PS:由于是业务逻辑上的问题,是没办法通过自动扫描发现的,而且针对SQL和HTML的过滤是起不到特大作用的
任意文件读取的最大作用是读config.php 和各种系统的敏感文件(如何爆物理目录?请看0x04)
b) 任意文件写入
WooYun: CSCMS V3.5 最新版 后台命令执行GETSHELL(源码详析)
发帖时仍未公开,所以先不做分析,等公开后更新~
任意文件写入的最大应用就是写马了,最大障碍是绕过过滤的HTML字符比如: <>,解决方式是大量应用base64
c) 任意文件删除
很遗憾,还没撞见过,要是撞见一个该多好
任意文件删除的作用可以是删除install.lock,然后重装CMS
d) 其他操作,求补充
文件操作可以结合爆目录
0x04:爆物理目录
原因:上一小节我们可能能够任意操作文件,但没拿到网站的物理目录地址,的确可以用黑盒不停地试图读取 c:\boot.ini 和 /etc/passwd 之类的来试图判断,但是这么弄实在不可靠
怎么办:使用php vulnerability hunter 自动扫描就好了,这个确实可以偷懒用工具扫描,因为这个爆目录危害实在太低了,必须配合其他漏洞才有危害,所以一般CMS都会有这种漏洞,我是说能扫描出来的漏洞
WooYun: appcms 最新版 1.3.708 任意文件下载
如果你不知道物理路径,你可以试着用工具扫描一下,然后再读取
0x05:搜索eval,preg_replace什么的,看看有没有命令执行
原因:能直接执行PHP代码,也就是说可以写一句话木马了(file_put_contents),当然,要找可写目录
这地方我一直没能找到例子,没有亲自实践过,求各路高手带实例提供几个?
0x06:可以开始通读代码了,从index开始,注意的是数据的传输和输出函数
原因:常见模式化的漏洞都不存在的话,就要分析整个系统了,因此需要完全而彻底地去做审计,这样比继续单独搜索变量然后跟踪更加省力一些
可能出现的场景:
a) 之前的过滤全白费了
WooYun: YXcms1.2.0版本 存储式XSS(实站演示+源码分析)
没公开,等公开再更新文章,这是一个存储式xss
b) 二次注入
由于二次开发中从数据库里取出的值没有过滤,导致注射,由于没有直接从用户输入中获得,所以之前步骤很难发现
哎呀,求各路高手提供个示例呀,我这个自己也没有碰到过丫
c) 平行权限、任意投票、越权访问 等等 等等 一大堆
0x07 总结
目前我就知道这么些,希望能对刚接触PHP代码审计漏洞挖掘的新手有点帮助,由于我也是刚开始学习PHP漏洞挖掘不久,希望大家能广泛提供学习的建议以及思路,也请批评指正文章中不妥之处,更希望高手们能带着示例来指导。
各种吐槽:
Ray | 2013/12/27 14:43
好文,学到了很多东西。
五道口杀气 | 2013/12/27 14:57
MVC的代码看一下框架本身实现有没有问题,然后去看model就行了,model有多强,决定了有多大的空间,而变量的过滤在controller里调用时应该几乎是差不多的,所以这类代码从index.php开始读可能也不是太有必要
insight-labs | 2013/12/28 10:19
框架会有很多很隐蔽的洞,现在还不太清楚怎么具体挖掘。比如双引号导致的代码执行。
Coner | 2014/01/11 11:04
框架和普通cms在具体操作上面确实存在不小的差异,
her0ma | 2013/12/30 22:50
刚学mvc代码审计呢,都是苦逼的从view层跟,然后再controller……
erevus | 2013/12/28 11:13
我说说的我经验
挖SQL注入,全局搜索select,insert,updata这几个关键字 然后找到SQL语句 向上跟 跟到传入变量的地方 看看中途有没有过滤
挖任意代码执行,全局搜索各种可以执行命令的函数,然后也是一个个看 向上跟.(一直没挖到...)
挖XSS...直接黑盒挖,看看有没有过滤 过滤了的话就去看过滤的代码是怎样 然后看看能不能绕...
小胖子 | 2013/12/28 11:49
回源跟进这种办法也不错,直接找$_GET这种比较费体力啊~
insight-labs | 2013/12/28 20:50
RIPS
这种工具我会和你说么
jk_影 | 2013/12/28 22:02
这个工具很耗资源啊
Coner | 2014/01/11 11:08
对面向对象支持很无力,遇到框架基本就跪了,不过听说新版本正在开发中,会有些质的突破
her0ma | 2013/12/30 22:53
MVC的话,这样跟会压力很大…… 一般都是看功能然后重点跟进!不过也经常跟丢……貌似有一些辅助工具~
Coner | 2014/01/11 11:04
代码回溯噪音太大了。
Holiday0 | 2014/01/04 21:39
b) id=intval($_GET['id']);
可能存在的问题:intval对字符型无用
什么意思?过滤不了字符型?intval("aaa")不是等于0么
lxj616 | 2014/01/05 10:53
需要取出字符串比如“aaa”时用intval会变成取得数字0,所以肯定会用别的方法过滤~
Holiday0 | 2014/01/05 15:26
哦,懂了,原来是这个意思,谢谢~
luwikes | 2014/01/13 09:19
不错,LZ辛苦