PHP程式碼審計——Day 5-postcard

smile_2233發表於2024-04-04

漏洞解析

class Mailer {
  private function sanitize($email) {
    if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
      return '';
    }

    return escapeshellarg($email);
  }

  public function send($data) {
    if (!isset($data['to'])) {
      $data['to'] = 'none@ripstech.com';
    } else {
      $data['to'] = $this->sanitize($data['to']);
    }

    if (!isset($data['from'])) {
      $data['from'] = 'none@ripstech.com';
    } else {
      $data['from'] = $this->sanitize($data['from']);
    }

    if (!isset($data['subject'])) {
      $data['subject'] = 'No Subject';
    }

    if (!isset($data['message'])) {
      $data['message'] = '';
    }

    mail($data['to'], $data['subject'], $data['message'],
      '', "-f" . $data['from']);
  }
}

$mailer = new Mailer();
$mailer->send($_POST);

考察點：php內建函式mail引發的命令執行漏洞

bool mail (
	string $to , // 接收人
	string $subject , // 郵件標題
	string $message [, // 郵件正文內容
	string $additional_headers [, // 指定郵件傳送時其他的額外頭部，如傳送者From，抄送CC，隱藏抄送BCC
	string $additional_parameters ]]// 指定傳遞給傳送程式sendmail的額外引數
)

程式中使用filter_var函式來確保只使用有效的郵件地址。關於FILTER_VALIDATE_EMAIL在這篇帖子中有個結論：所有的特殊符號必須放在雙引號中。

filter_var() 問題在於，在雙引號中巢狀轉義空格仍然能夠透過檢測。同時由於底層正規表示式的原因，我們透過重疊單引號和雙引號，欺騙 filter_val() 使其認為我們仍然在雙引號中，這樣我們就可以繞過檢測。

php中，mail函式的底層實現呼叫了escapeshellcmd() ：PHP 中用於轉義 shell 命令中的特殊字元的函式。它將會轉義任何 shell 命令中具有特殊含義的字元，使得這些字元在 shell 中被當作字面量對待，從而避免了命令注入漏洞的發生。

程式中，當對$email進行有效性檢查之後，會作下一步處理，return escapeshellarg($email);

escapeshellarg：把字串轉碼為可以在 shell 命令裡使用的引數

功能：escapeshellarg() 將給字串增加一個單引號並且能引用或者轉碼任何已經存在的單引號，這樣以確保能夠直接將一個字串傳入 shell 函式，shell 函式包含 exec()，system() 執行運算子(反引號)
定義：string escapeshellarg ( string $arg )

由於PHP的 mail() 函式在底層呼叫了 escapeshellcmd() 函式對使用者輸入的郵箱地址進行處理，即使使用帶有特殊字元的payload，繞過 filter_var() 的檢測，但還是會被 escapeshellcmd() 處理。然而 escapeshellcmd() 和 escapeshellarg 一起使用，會造成特殊字元逃逸。

demo：

<?php
$param = "127.0.0.1' -v -d a=1";
$a = escapeshellarg($param);
// $a: '127.0.0.1'\' '-v -d a=1'

$b = escapeshellcmd($a);
// $b: '127.0.0.1'\\' '-v -d a=1\'
//  這裡 \\ 被解釋成了 \ 而不再是跳脫字元

$cmd = "curl ".$b;
// $cmd : curl 127.0.0.1\ -v -d a=1'
// 即向 127.0.0.1\ 發起請求，POST 資料為 a=1'

var_dump($a)."\n";
var_dump($b)."\n";
var_dump($cmd)."\n";
system($cmd);
?>

總結一下，這題實際上是考察繞過 filter_var() 函式的郵件名檢測，透過 mail 函式底層實現中呼叫的 escapeshellcmd() 函式處理字串，再結合 escapeshellarg() 函式，最終實現引數逃逸，導致遠端程式碼執行。

PHP程式碼審計——Day2-Twig
2024-04-02
PHP
PHP程式碼審計——Day3-Snow Flake
2024-04-04
PHP
PHP程式碼審計
2016-02-19
PHP
【PHP程式碼審計】Null字元問題
2017-09-29
PHPNull字元
PHP程式碼審計常用工具
2017-09-10
PHP
PHP程式碼審計學習總結
2013-03-06
PHP
php原始碼審計
2011-06-25
PHP原始碼
php程式碼審計分段學習(php_bug)[2]
2018-03-12
PHP
[程式碼審計]php上傳漏洞總結
2018-06-05
PHP
PHP程式碼審計 XSS反射型漏洞
2017-10-28
PHP反射
記一次完整的PHP程式碼審計——yccms v3.4審計
2023-02-21
PHP
PHP程式碼審計歸納-Ali0th
2019-04-24
PHP
PHP程式碼審計01之in_array()函式缺陷
2020-09-25
PHP函式
php程式碼審計之——phpstorm動態除錯
2022-04-05
PHPORM除錯
PHP程式碼審計05之正則使用不當
2020-12-29
PHP
淺談PHP自動化程式碼審計技術
2015-04-14
PHP
CSCMS程式碼審計
2022-06-19
buu 程式碼審計
2024-06-08
打造自己的php半自動化程式碼審計工具
2020-08-19
PHP
PHP程式碼審計03之例項化任意物件漏洞
2020-10-15
PHP物件
PHP程式碼審計02之filter_var()函式缺陷
2020-10-01
PHPFilter函式
什麼是程式碼審計?程式碼審計有什麼好處?
2024-01-30
PHP 程式碼評審的 10 個提示
2014-09-23
PHP
Graudit程式碼安全審計
2020-09-16
程式碼審計————目錄
2018-06-05
aspx程式碼審計-2
2017-09-21
JFinalcms程式碼審計
2024-10-14
PHP程式碼審計04之strpos函式使用不當
2020-10-29
PHP函式
哪些業務場景需要做程式碼審計?程式碼審計很重要嗎？
2022-01-05
程式碼審計是什麼?程式碼審計操作流程分為幾步？
2023-03-28
oasys系統程式碼審計
2024-11-06
python 安全編碼&程式碼審計
2020-08-19
Python
程式碼審計入門總結
2020-08-19
為什麼要做程式碼審計？
2021-12-29
Java程式碼審計入門篇
2018-06-28
Java
Java程式碼審計篇 - ofcms系統審計思路講解 - 篇2 - SQL隱碼攻擊漏洞審計
2024-09-23
JavaSQL
Java程式碼審計篇 - ofcms系統審計思路講解 - 篇4 - XXE漏洞審計
2024-09-23
Java
[JavaWeb]Shiro漏洞集合——程式碼審計
2022-01-24
JavaWeb

PHP程式碼審計——Day 5-postcard

漏洞解析

相關文章