0x00 前言

---

國內公開的PHP自動化審計技術資料較少，相比之下，國外已經出現了比較優秀的自動化審計實現，比如RIPS是基於token流為基礎進行一系列的程式碼分析。傳統靜態分析技術如資料流分析、汙染傳播分析應用於PHP這種動態指令碼語言分析相對較少，但是卻是實現白盒自動化技術中比較關鍵的技術點。今天筆者主要介紹一下最近的研究與實現成果，在此拋磚引玉，希望國內更多的安全研究人員將精力投入至PHP自動化審計技術這一有意義的領域中。

0x01 基礎知識

---

自動化審計的實現方式有多種，比如直接使用正規表示式規則庫進行定位匹配，這種方法最簡單，但是準確率是最低的。最可靠的思路是結合靜態分析技術領域中的知識進行設計，一般靜態分析安全工具的流程大多是下圖的形式：

靜態分析工作所要做的第一件事情就是將原始碼進行建模，通俗一點講，就是將字串的原始碼轉為方便於我們後續漏洞分析的中間表示形式，即一組代表此程式碼的資料結構。建模工作中一般會採用編譯技術領域中的方法，如詞法分析生成token，生成抽象語法樹，生成控制流程圖等。建模工作的優劣，直接影響到後續汙染傳播分析和資料流分析的效果。

執行分析就是結合安全知識，對載入的程式碼進行漏洞分析和處理。最後，靜態分析工具要生成判斷結果，從而結束這一階段的工作。

0x02 實現思路

---

經過一段時間的努力，筆者和小夥伴也大致實現了一款針對自動化的靜態分析工具。具體實現思路正是採用了靜態分析技術，如果想深入瞭解實現思路，可以閱讀之前發過的文章。 在工具中，自動化審計流程如下：

• 首先載入使用者輸入的待掃描的工程目錄中所有的PHP檔案，並對這些PHP檔案做判別，如果掃描的PHP檔案是Main file，即真正處理使用者請求的PHP檔案，那麼對這種型別的檔案進行漏洞分析。如果不是Main file型別，比如PHP工程中的類定義，工具函式定義檔案，則跳過不做分析。

• 其次進行全域性資料的蒐集，重點蒐集的資訊有待掃描的工程中類資訊的定義，如類所在的檔案路徑、類中的屬性、類中的方法以及引數等資訊。同時對每個檔案生成檔案摘要，檔案摘要中重點蒐集各個賦值語句的資訊，以及賦值語句中相關變數的淨化資訊和編碼資訊。

• 全域性初始化之後，進行編譯前端模組的相關工作，使用開源工具PHP-Parser對待分析的PHP程式碼進行抽象語法樹（AST）的構建。在AST的基礎上，使用CFG構建演算法構建控制流圖，並實時地生成基本塊的摘要資訊。

• 編譯前端的工作中，如果發現敏感函式的呼叫，就停下來進行汙染傳播分析，進行過程間分析、過程內分析，找到對應的汙點資料。然後基於資料流分析過程中搜集的資訊，進行淨化資訊和編碼資訊的判斷，從而判斷是否為漏洞程式碼。

如果上一步是漏洞程式碼，則轉入漏洞報告模組進行漏洞程式碼段的收集。其實現的基礎是在系統環境中維護一個單例模式的結果集上下文物件，如果生成一條漏洞記錄，則加入至結果集中。當整個掃描工程結果之後，使用Smarty將結果集輸出到前端，前端做掃描結果的視覺化。

0x03 初始化工作

---

在真實的PHP審計中，遇到敏感函式的呼叫，比如mysql_query，我們就會不由自主地去手動分析第一個引數，看是否可控。事實上，很多CMS都會將一些資料庫查詢的方法進行封裝，使得呼叫方便且程式邏輯清晰，比如封裝為一個類MysqlDB。這時，在審計中我們就不會搜尋mysql_query關鍵字了，而是去找比如db->getOne這種類的呼叫。

那麼問題來了，在自動化程式進行分析的時候，如何獲知db->getOne函式是個資料庫的訪問類方法呢？

這就需要在自動化分析的初期就要對整個工程的所有類與定義的方法進行蒐集，以便於程式在分析的時候尋找需要跟進的方法體。

對於類資訊和方法資訊的蒐集，應該作為框架初始化的一部分完成，儲存在單例上下文中：

同時，需要識別分析的PHP檔案是否是真正處理使用者請求的檔案，因為有些CMS中，一般會將封裝好的類寫入單獨的檔案中，比如將資料庫操作類或者檔案操作類封裝到檔案中。對於這些檔案，進行汙染傳播分析是沒有意義的，所以在框架初始化的時候需要進行識別，原理很簡單，分析呼叫型別語句和定義型別語句的比例，根據閾值進行判別，錯誤率很小。

最後，對每個檔案進行摘要操作，這一步的目的是為了後續分析時碰到require，include等語句時進行檔案間分析使用。主要收集變數的賦值、變數的編碼、變數的淨化資訊。

0x04 使用者函式處理

---

常見的web漏洞，一般都是由於危險引數使用者可控導致的，這種漏洞稱之為汙點型別漏洞，比如常見的SQLI，XSS等。 PHP內建的一些函式本身是危險的，比如echo可能會造成反射型XSS。然而真實程式碼中，沒人會直接呼叫一些內建的功能函式，而是進行再次封裝，作為自定義的函式，比如：

#!php
function myexec($cmd)
{
    exec($cmd) ;
}

在實現中，我們的處理流程是：

• 利用初始化中獲取的上下文資訊，定位到相應的方法程式碼段

• 分析這個程式碼片段，查詢到危險函式（這裡是exec）

• 定位危險函式中的危險引數（這裡是cmd）

• 如果在分析期間沒有遇到淨化資訊，說明該引數可以進行傳染，則對映到使用者函式myexec的第一個引數cmd，並將這個使用者自定義函式當做危險函式存放至上下文結構中

• 遞迴返回，啟動汙點分析過程

總結為一句話，我們就是跟入到相應的類方法、靜態方法、函式中，從這些程式碼段中查詢是否有危險函式和危險引數的呼叫，這些PHP內建的危險函式和引數位置都是放在配置檔案中的進行配置完成的，如果這些函式和引數一旦被發現，且判斷危險引數並沒有被過濾，則將該使用者自定義函式作為使用者自定義危險函式。一旦後續的分析中發現呼叫這些函式，則立即啟動汙點分析。

0x05 處理變數的淨化和編碼

---

在真實的審計過程中，一旦發現危險引數是可控的，我們就會迫不及待地去尋找看程式設計師有沒有對該變數進行有效的過濾或者編碼，由此判斷是否存在漏洞。 自動化審計中，也是遵循這個思路。在實現中，首先要對每一個PHP中的安全函式進行統計和配置，在程式分析時，對每一條資料流資訊，都應該進行回溯收集必要的淨化和編碼資訊，比如:

#!php
$a = $_GET['a'] ;
$a = intval($a) ;
echo $a ;
$a = htmlspecialchars($a) ;
mysql_query($a) ;

上面的程式碼片段看起來有些怪異，但只是作為演示使用。從程式碼片段可以看出，變數a經過了intval和htmlspecialchars兩個淨化處理，根據配置檔案，我們順利的收集到了這些資訊。這時，要進行一次回溯，目的是將當前程式碼行向上的淨化和編碼資訊進行歸併。 比如在第三行時，變數a的淨化資訊只有一條intval，但是第五行時，要求將變數a的淨化資訊歸併，收集為一個list集合intval和htmlspecialchars，方法就是收集到前驅程式碼中的所有資料流的資訊，並進行回溯。

細節部分是，當使用者同時對同一個變數呼叫瞭如base64_encode和base64_decode兩個函式，那麼這個變數的base64編碼會被消除。同樣，如果同時進行轉義和反轉義也要進行消除。但是如果呼叫順序不對或者只進行了decode，那麼你懂的，相當危險。

0x06 變數回溯和汙點分析

---

1、變數回溯

---

為了尋找出所有的危險sink點的引數（traceSymbol），將向前回溯與當前Block相連的所有的基本塊，具體過程如下：

• 迴圈當前基本塊的所有入口邊，查詢沒有經過淨化的traceSymbol並且查詢基本塊DataFlow屬性中，traceSymbol的名字。

• 如果一旦找到，那麼就替換成對映的symbol，並且將該符號的所有淨化資訊和編碼資訊都複製過來。然後，追蹤會在所有的入口邊上進行。

• 最後，CFG上不同路徑上的結果會返回。

當traceSymbol對映到了一個靜態字串、數字等型別的靜態物件或者當前的基本塊沒有入口邊時，演算法就停止。如果traceSymbol是變數或者陣列，就要檢查是否在超全域性陣列中。

2、汙點分析

---

汙點分析在過程間分析處理內建和使用者定義函式過程中開始，如果程式分析時遇到了敏感的函式呼叫，則使用回溯或者從上下文中獲取到危險引數節點，並開始進行汙點分析。通俗講，就是進行危險引數是否可能導致漏洞的判別。汙點分析工作在程式碼TaintAnalyser中進行實現，獲取到危險引數後，具體步驟如下：

• 首先，在當前基本塊中尋找危險引數的賦值情況，尋找DataFlow的右邊節點中是否存在使用者輸入source，比如$_GET $_POST等超全域性陣列。並使用不同型別漏洞判別的外掛類判斷這些節點是否是安全的。

• 如果當前基本塊中沒有尋找到source，則進入本檔案多基本塊間分析過程。首先獲取當前基本塊的所有前驅基本塊，其中前驅基本塊中包含平行結構（if-else if-else），或者非平行結構（普通語句）。並進行危險變數分析，如果當前迴圈的基本塊中沒有前驅節點，則分析演算法結束。

• 如果基本塊間分析沒有找到漏洞，則進行最後的檔案間分析。載入當前基本塊之前的包含檔案摘要，遍歷這些檔案摘要做出判斷。

• 如果上述步驟中，出現漏洞，則進入漏洞報告模組。否則，系統繼續往下進行程式碼分析。

0x07 目前的效果

---

我們對simple-log_v1.3.12進行了測試性掃描，結果是：

Total : 76 XSS : 3 SQLI : 62 INCLUDE : 5 FILE : 3 FILEAFFECT : 1

測試程式碼都是一些比較明顯的漏洞，且沒有使用MVC框架，什麼字元截斷吃掉轉義符這種，目前的技術還真的支援不了，不過也是可以掃出一些了。從測試過程來看，bug層出不窮，主要是前期實現時，很多語法結構與測試用例沒有考慮進去，加上演算法幾乎都是遞迴的，所以很容易就造成無限遞迴導致Apache跪掉。

所以目前的程式碼真的只能算是試驗品，程式碼的健壯性需要無數次重構和大量的測試來實現，筆者已經沒有太多時間維護。

0x08 總結

---

靜態分析領域中，很多安全研究人員都是做C/C++/反編譯彙編等方向，目前指令碼語言領域也急需技術力量投入進去，因為這是一件很有意義的事情。

回到坑上面來，筆者和小夥伴們的實現中，有個重大的問題就是不支援MVC框架。這些MVC如CI框架，資料流很難進行統一捕捉，因為框架封裝度很高。所以針對不同的框架估計需要不同的分析方式。

目前的狀況是，可以識別一些簡單的漏洞，程式碼不夠健壯存在諸多bug。

最後，talk is cheap, show me the code. 實現程式碼在github上可以找到。

程式碼分享出來的目的是供有志於或者已經投身於該領域的安全研究人員進行研究與討論，目前還達不到隨便拿出一個CMS就能跑的效果，望大家不要有所幻想。