长亭百川云 - 文章详情

PHP代码审计菜鸟笔记(二)

侠易龙门阵

61

2024-07-13

长文,需要的话可以收藏保存

过本地搭建 Damn Vulnerable Web Application (DVWA) 学习漏洞的利用和修复思路的时候,就感觉通过阅读 low、medium、high、impossible 的不同等级的存在漏洞缺陷的源代码,可以对漏洞的成因有代码层面的理解,也方便给修复建议的时候和研发进行代码层面的交流。

于是就想系统地学习和练习代码审计这块的知识,目前主要的学习资料就是**《代码审计 企业级Web代码安全架构》这本书,PHP语言比较容易上手,环境搭建简单,搞Web的基本都会一点,而且PHP这门语言像腾讯、百度等都广泛运用到了Web上,还是很值得研究的。学习PHP的时候,除了网上的教程,我主要参考了《PHP和MySQL Web开发》**这本书。

这里就把我学习的笔记整理成博客,感觉有输出才能更好地巩固学习效果。

PHP代码审计菜鸟笔记系列:

PHP代码审计菜鸟笔记(一):代码审计前的准备

摘要:学习到这里,就可以开始搭建PHP代码审计的练习环境了,一种比较简单的方式就是在Windows下边安装好phpStudy,然后安装 Notepad++ 编辑器和 Seay源代码审计系统。

PHP代码审计菜鸟笔记(二):通用代码审计思路-本文

摘要:学到这一节,就是结合例子了解下几种常见的审计思路,还有就是学会了Seay代码审计工具的基本操作。


本文涉及的工具附件,下载地址如下:

https://gitee.com/sosly/blogattachment/tree/master/PHP代码审计菜鸟笔记/

0x01 代码审计工具实现思路

代码审计工具的实现大都是基于代码审计的经验和审计思路,然后把能够自动化的工作尽可能自动化,辅助提高审计效率。

我看了下“Seay源代码审计系统”的默认正则匹配规则,如下:

下边也可以填写测试数据,在工具里验证。

配置文件里也能找到这些规则的文本,感兴趣的可以研究,默认规则文本整理如下:

  1. 1    \b(include|require)(_once){0,1}(\s{1,5}|\s{0,5}\().{0,60}\$(?!.*(this->))\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    文件包含函数中存在变量,可能存在文件包含漏洞

  2. 2    \bpreg_replace\(\s{0,5}.*/[is]{0,2}e[is]{0,2}["']\s{0,5},(.*\$.*,|.*,.*\$)    preg_replace的/e模式,且有可控变量,可能存在代码执行漏洞

  3. 3    \bphpinfo\s{0,5}\(\s{0,5}\)    phpinfo()函数,可能存在敏感信息泄露漏洞

  4. 4    \bcall_user_func(_array){0,1}\(\s{0,5}\$\w{1,15}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    call_user_func函数参数包含变量,可能存在代码执行漏洞

  5. 5    \b(file_get_contents|fopen|readfile|fgets|fread|parse_ini_file|highlight_file|fgetss|show_source)\s{0,5}\(.{0,40}\$\w{1,15}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    读取文件函数中存在变量,可能存在任意文件读取漏洞

  6. 6    \b(system|passthru|pcntl_exec|shell_exec|escapeshellcmd|exec)\s{0,10}\(.{0,40}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    命令执行函数中存在变量,可能存在任意命令执行漏洞

  7. 7    \b(mb_){0,1}parse_str\s{0,10}\(.{0,40}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    parse_str函数中存在变量,可能存在变量覆盖漏洞

  8. 8    \${{0,1}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,4}=\s{0,4}.{0,20}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    双$$符号可能存在变量覆盖漏洞

  9. 9    ["'](HTTP_CLIENT_IP|HTTP_X_FORWARDED_FOR|HTTP_REFERER)["']    获取IP地址方式可伪造,HTTP_REFERER可伪造,常见引发SQL注入等漏洞

  10. 10    \b(unlink|copy|fwrite|file_put_contents|bzopen)\s{0,10}\(.{0,40}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    文件操作函数中存在变量,可能存在任意文件读取/删除/修改/写入等漏洞

  11. 11    \b(extract)\s{0,5}\(.{0,30}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,5},{0,1}\s{0,5}(EXTR_OVERWRITE){0,1}\s{0,5}\)    extract函数中存在变量,可能存在变量覆盖漏洞

  12. 12    \$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,5}\(\s{0,5}\$_(POST|GET|REQUEST|SERVER)\[.{1,20}\]    可能存在代码执行漏洞,或者此处是后门

  13. 13    ^(?!.*\baddslashes).{0,40}\b((raw){0,1}urldecode|stripslashes)\s{0,5}\(.{0,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    urldecode绕过GPC,stripslashes会取消GPC转义字符

  14. 14    `\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}`    ``反引号中包含变量,变量可控会导致命令执行漏洞

  15. 15    \barray_map\s{0,4}\(\s{0,4}.{0,20}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}\s{0,4}.{0,20},    array_map参数包含变量,变量可控可能会导致代码执行漏洞

  16. 16    select\s{1,4}.{1,60}from.{1,50}\bwhere\s{1,3}.{1,50}=["\s\.]{0,10}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句select中条件变量无单引号保护,可能存在SQL注入漏洞

  17. 17    delete\s{1,4}from.{1,20}\bwhere\s{1,3}.{1,30}=["\s\.]{0,10}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞

  18. 18    insert\s{1,5}into\s{1,5}.{1,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句insert中插入变量无单引号保护,可能存在SQL注入漏洞

  19. 19    update\s{1,4}.{1,30}\s{1,3}set\s{1,5}.{1,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞

  20. 20    \b(eval|assert)\s{0,10}\(.{0,60}\$\w{1,20}((\[["']|\[)\${0,1}[\w\[\]"']{0,30}){0,1}    eval或者assertc函数中存在变量,可能存在代码执行漏洞

  21. 21    \b(echo|print|print_r)\s{0,5}\({0,1}.{0,60}\$_(POST|GET|REQUEST|SERVER)    echo等输出中存在可控变量,可能存在XSS漏洞

  22. 22    (\bheader\s{0,5}\(.{0,30}|window.location.href\s{0,5}=\s{0,5})\$_(POST|GET|REQUEST|SERVER)    header函数或者js location有可控参数,存在任意跳转或http头污染漏洞

  23. 23    \bmove_uploaded_file\s{0,5}\(    存在文件上传,注意上传类型是否可控

0x02 常见的代码审计思路

1)根据敏感关键字回溯参数传递过程;
2)查找可控变量,正向追踪变量传递过程;
3)寻找敏感功能点,通读功能点代码;
4)直接通读全文代码

下边会结合具体的实例来练习。

0x03 敏感函数回溯参数过程

例如:

1)通过select、insert 结合from和where 等关键字,判定是一条SQL语句,然后通过对字符串的识别,判断这个SQL语句里边的参数有没有拼接或者 单引号过滤。

2)HTTP头里边的HTTP_CLIENT、HTTP_X_FORWARDFOR 等获取到的IP地址 经常没有过滤就直接拼接到了SQL语句中,并且因为是在$_SERVER 变量中,不受GPC的影响,因此可以查找HTTP_CLIENT、HTTP_X_FORWARDFOR 关键字来快速寻找漏洞。

然后来了一个espcms 的审计实例,这里我安装了一个2014年的旧版本的espcms 跟着操作,也复现了这个例子:

易思ESPCMSV5.9.14.08.28安装包 下载:
官网链接:http://www.ecisp.cn/html/cn/download/espcmstool/541.html
备用链接

其实这个例子,也讲解了Seay源代码审计系统的常用方法。

1)cms安装与环境准备

我的测试环境是Win10 操作系统中,安装了phpStudy 服务器环境,然后安装了“易思ESPCMSV5.9.14.08.28”,安装过程中自己设置管理员密码。安装后可以访问后台:

http://127.0.0.1/espcms/adminsoft/index.php

登录后是这个样子

这样基本的审计环境就搭好了,顺便我也安装了 Seay源代码审计系统。

2)利用Seay源代码审计系统 审计一个功能点

可以看着一起操作,我步骤写的很细致。这个例子也是“Seay源代码审计系统”的入门教学。

先“新建项目”载入程序,然后自动审计,注意文件夹选择 安装后的Web目录下的那个espcms的文件夹

我这里是第28行,这个文件,说的是里边的变量$parentid 无单引号保护,可能存在注入

/adminsoft/control/citylist.php

双击,跳转到代码:

然后左边可以跟踪变量,选中$parentid就看到这个变量的在当前文件的传递过程:

  1. 1)$parentid = $this->fun->accept('parentid', 'R');  

  2. 2)$sql = "select * from $db_table where parentid=$parentid";

接下来定位函数:

双击点进去

  1. function accept($k, $var = 'R', $htmlcode = true, $rehtml = false) {

  2.        switch ($var) {

  3.            case 'G':

  4.                $var = &$_GET;

  5.                break;

  6.            case 'P':

  7.                $var = &$_POST;

  8.                break;

  9.            case 'C':

  10.                $var = &$_COOKIE;

  11.                break;

  12.            case 'R':

  13.                $var = &$_GET;

  14.                if (empty($var[$k])) {

  15.                    $var = &$_POST;

  16.                }

  17.                break;

  18.        }

  19.        $putvalue = isset($var[$k]) ? $this->daddslashes($var[$k], 0) : NULL;

  20.        return $htmlcode ? ($rehtml ? $this->preg_htmldecode($putvalue) : $this->htmldecode($putvalue)) : $putvalue;

  21.    }

这个函数大致意思就是,从Web请求包中获取 Get提交或者Post提交的对应参数。然后经过daddslashes() 函数过滤,这个函数就是包装了addslashes()函数,

需要说明的是,书里特别指出了一点:

addslashes() 过滤了单引号、双引号、NULL字符、斜杠。
只要参数在拼接到 SQL语句前,除非有宽字节注入或其他特殊情况,只要使用了 addslashes() 这个函数进行过滤,就不能注入了。

说到这,难道参数 $parentid 分析到这里就凉凉了?不是的,因为这里有个

  1. $sql = "select * from $db_table where parentid=$parentid";

这个参数并不需要单引号来闭合 ,所以直接构造可以注入的语句,

如果这个语句写成下边这种情况:

  1. $sql = "select * from $db_table where parentid='$parentid'";

因为量变有了单引号,这就属于“只要参数在拼接到 SQL语句前,除非有宽字节注入或其他特殊情况,只要使用了 addslashes() 这个函数进行过滤,就不能注入了”所描述的情况了。

好,既然这里可以利用,继续分析调用过程。

我们再回到

/adminsoft/control/citylist.php

既然oncitylist() 这个函数有问题,然后这个函数在类 important 里,就看哪里实例化了这个例,目的是找到调用这个函数的地方。

看到 /adminsoft/index.php 这里有:

这里读一下代码,涉及到2个参数 分别是 archive、action,初学的时候可能有些懵逼,我们不妨在未登录状态下,先访问

http://127.0.0.1/espcms/adminsoft/index.php

看看情况,发现默认情况下,URL会自动跳转到:

http://127.0.0.1/espcms/adminsoft/index.php?archive=adminuser&action=login

这和代码里的

  1. $archive = indexget('archive', 'R');

  2. $archive = empty($archive) ? 'adminuser' : $archive;

  3. $action = indexget('action', 'R');

  4. $action = empty($action) ? 'login' : $action;

对应,就是访问 /espcms/adminsoft/index.php ,没有参数的话,默认$archive 就是 adminuser,对应调用的文件就是/adminsoft/control/adminuser.php

$action 如果没有收到传入的参数,默认就是login,意味着就会调用adminuser.php 文件中的important实例化后的onlogin() 函数.

那么问题来了,我们的目的是触发 /adminsoft/control/citylist.php 文件中的 oncitylist 函数,那这个URL里的参数该如何构造?

依葫芦画瓢 ?archive=citylist&action=citylist

注意,刚才分析了 oncitylist() 函数调用了 accept(‘parentid’, ‘R’) 函数,去接收一个Get或者Post过来的参数 parentid

所以利用的Payload 应该构造为:

?archive=citylist&action=citylist&parentid=1

注意parentid 这个参数就是注入点,parentid的值可以随意尝试,这里就先写1 。

可以写我们的利用语句,完整就是:

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=1

由于这个注入点,在/espcms/adminsoft/ 目录下,是需要管理员登录后才可访问的,所以我们先登录,再来测试这个注入点。

3)审计结果的验证

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=1

加一个单引号:

直接报错了。

如果有黑盒测试经验的话,这个时候用salmap跑就比较方便。

但是咱们这次是白盒审计,SQL语句、代码、数据库啥都能看到,我们就练习下白盒审计的思路。这部分要是有些迷惑,就还要复习一下sql注入的基础。

那现在,我们知道了如下信息:

1)sql语句

  1. $sql = "select * from $db_table where parentid=$parentid";

可以考虑用union语句拼接。

2)数据库表的字段数目

找到city表 ,有5列,

结合前边的,显示位就是cityname ,也就是第三列, 那么语句可以构造为:

  1. parentid=-1 union select 1,2,version(),4,5

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1 union select 1,2,version(),4,5

换一个函数 user()

http://127.0.0.1/espcms/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1 union select 1,2,user(),4,5

到这里,就跟着书里的思路,复现了这样一个漏洞。

敏感函数回溯参数方法小结:

优点:这种逆向追踪回溯参数的思路,在需要快速寻找漏洞的情况下比较有效。
缺点:不适合运营在企业中的安全运营场景,企业中做自身产品的代码审计时,需要了解整个应用的业务场景,才能发掘到更多有价值的漏洞。

0x04 通读全文代码

看到这一点,字面意思是不是“随便找代码目录下的文件,然后逐个读完”,感觉这方法是不是有些笨。

其实通读全文代码也有一些技巧,如果只是找文件逐个读完,很难理解整套代码业务逻辑。

以discuz X2.5 为例,下载了一个老版本:

http://download.comsenz.com/DiscuzX/2.5/Discuz\_X2.5\_SC\_UTF8.zip

应该首先看程序的大致代码结构,比如主目录有哪些文件,模块目录有哪些文件,文件命名特点等等。

看代码目录的时候,要注意以下几种文件:

1)函数集文件

关键字:functions、common等,这些文件里边有公共的函数。

一个技巧就是去打开index.php或者一些功能性文件,看它们在文件头部包含了哪些文件。

2)配置文件

关键字:config等

3)安全过滤文件

关键字:filter、safe、check等

4)index文件

入口文件,通常阅读一遍核心目录的index文件,就能大致了解整套程序的架构、流程、包含的文件、核心文件等。

对于各种框架的代码,作者的建议是,学代码审计前期 不建议读开源框架的代码或应用,先找一些小应用来读,等总结了一定经验,对PHP比较熟悉后,再去读像Thinkphp、Yii、Zend Framework 等开源框架。

通读全文代码方法小结:

优点:更好地了解程序的架构和业务逻辑。
缺点:花费时间较多,程序越大约累。

0x05 根据功能点的定向审计

有一些代码审计经验后,就知道哪些功能点对应哪些常见的漏洞,这样快速挖掘漏洞的时候,就可以安装好测试环境,然后配合黑盒测试,来审计常见的功能点。

例如:

1)文件上传功能
2)文件管理功能
3)登录认证功能
4)找回密码功能

然后书中说了一个BugFree老版本重装的问题,问题出现在install\index.php 文件中。

问题代码逻辑:

  1. if(is_file("install.lock") && $action != UPGRADED && $action != INSTALLED)

  2. {

  3. header("location: ../index.php");

  4. }

说这段代码存在一个逻辑漏洞,因为这里仅仅使用了 header(“location: ../index.php”); 后边没有接 die() 或者exit() 等函数退出流程,这个跳转只是HTTP头的跳转,当前PHP文件中,下边的代码依然会继续执行,用浏览器请求 install\index.php 会跳转,用burpsuite 可以看到 接下来的代码执行导致程序再次重装的效果。

我没找到这BugFree的代码,但是这种header的写法 ,很多cms都有,我就改了 另一个CMS代码中的类似点,测了下 header 跳转语句后, 后边如果不接exit 的执行效果,发现确实和书中说的一样,如果header跳转后,不写exit,下边的代码还是会执行,用burpsuite这种 默认不跳转,能看到页面余下代码执行的结果。

恢复 exit

其实这样写的话,即使你用浏览器访问看起来跳转了,那个PHP文件后续的代码也是执行了。

一个简单的例子:

  1. <?php

  2. header('Location: https://sosly.me');

  3. //exit;

  4. echo '5';

  5. sleep(5);

  6. ?>

你把这个保存成一个php文件,放到web目录下,然后访问。

发现卡了5秒后跳转到 https://sosly.me ,burpsuite抓包可以看到 返回的数据5:

0x06 小结

讲了代码审计的几种常见思路,以及不同方法的适用场景,并练习了几个可操作的实例。

1)根据敏感关键字回溯参数传递过程;
2)查找可控变量,正向追踪变量传递过程;
3)寻找敏感功能点,通读功能点代码;
4)直接通读全文代码。

学到这一节,就是结合例子了解下几种常见的审计思路,还有就是学会了Seay代码审计工具的基本操作。

系列文章,未完待续…


转载请注明出处 :sosly 菜鸟笔记

电脑上也可直接访问博客(**https://sosly.me**)查看,如有内容更新以博客为准。点击原文链接即可跳转。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2