利用PHP擴充套件Taint找出網站的潛在安全漏洞實踐

tangqingsong發表於2019-02-16
版權宣告:作者:湯青松 https://blog.csdn.net/u013431141/article/details/81738042

一、背景

筆者從接觸計算機後就對網路安全一直比較感興趣,在做PHP開發後對WEB安全一直比較關注,2016時無意中發現Taint這個擴充套件,體驗之後發現確實好用;不過當時在查詢相關資料時候發現關注此擴充套件的人數並不多;最近因為換了臺電腦,需要再次安裝了此擴充套件,發現這個擴充套件用的人還是比較少,於是筆者將安裝的過程與測試結果記錄下來,方便後續使用同時也讓更多開發者來了解taint

taint擴充套件作者惠新宸曾經在自己的部落格上有相關介紹,參考文件:PHP Taint – 一個用來檢測XSS/SQL/Shell注入漏洞的擴充套件

二、操作概要

  1. 原始碼下載與編譯
  2. 擴充套件配置與安裝
  3. 功能檢驗與測試

三、原始碼下載與編譯

Taint擴充套件PHP本身並不攜帶,在linux或mac系統當中筆者需要下載原始碼自己去編譯安裝

3.1 原始碼下載

筆者的開發環境是mac系統,所以需要去PHP的pecl擴充套件網站去下載原始碼,其中taint的地址為:

https://pecl.php.net/package/taint

在擴充套件網址的的尾部,可以看到有一排下載地址,如下圖

image

筆者需要選擇一個自己合適的版本,筆者的開發環境使用的是PHP7.1,因此選擇了最新的版本,對應下載地址如下:

https://pecl.php.net/get/taint-2.0.4.tgz

使用wget下載該原始碼,參考命令如下:

wget https://pecl.php.net/get/taint-2.0.4.tgz

下載下來之後,筆者需要解壓,解壓命令參考如下:

tar -zxvf taint-2.0.4.tgz

解壓之後,進入目錄,參考命令如下:

cd taint-2.0.4

3.2 原始碼編譯

現在筆者需要編譯一下原始碼,在編譯之前可以使用phpze來探測PHP的環境,參考命令如下:

phpize

返回結果如下

Configuring for:
PHP Api Version:         20160303
Zend Module Api No:      20160303
Zend Extension Api No:   320160303

生成 Makefile,為下一步的編譯做準備

./configure 

返回結果

checking how to hardcode library paths into programs... immediate
checking whether stripping libraries is possible... yes
checking if libtool supports shared libraries... yes
checking whether to build shared libraries... yes
checking whether to build static libraries... no

creating libtool
appending configuration tag "CXX" to libtool
configure: creating ./config.status
config.status: creating config.h

開始編譯,並安裝

make && make install
(cd .libs && rm -f taint.la && ln -s ../taint.la taint.la)
/bin/sh /Users/song/taint-2.0.4/libtool --mode=install cp ./taint.la /Users/song/taint-2.0.4/modules
cp ./.libs/taint.so /Users/song/taint-2.0.4/modules/taint.so
cp ./.libs/taint.lai /Users/song/taint-2.0.4/modules/taint.la
----------------------------------------------------------------------
Libraries have been installed in:
   /Users/song/taint-2.0.4/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR`
flag during linking and do at least one of the following:
   - add LIBDIR to the `DYLD_LIBRARY_PATH` environment variable
     during execution

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------

Build complete.
Don`t forget to run `make test`.

Installing shared extensions:     /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/

四、配置與安裝

在編譯擴充套件之後,筆者還需要把Taint放到指定位置,以及修改配置檔案讓其生效

4.1 配置taint

筆者首先需要知道PHP的配置檔案是多少,然後通過檢視配置檔案的擴充套件路徑,才能把so檔案放到對應裡面去,檢視配置檔案位置命令如下:

php --ini

返回結果如下

Configuration File (php.ini) Path: /usr/local/etc/php/7.1
Loaded Configuration File:         /usr/local/etc/php/7.1/php.ini
Scan for additional .ini files in: /usr/local/etc/php/7.1/conf.d
Additional .ini files parsed:      /usr/local/etc/php/7.1/conf.d/ext-opcache.ini

筆者可以看到php.ini放置在/usr/local/etc/php/7.1/php.ini當中

知道配置檔案之後,筆者需要找到擴充套件資料夾位置,參考命令如下

cat /usr/local/etc/php/7.1/php.ini | grep extension_dir

命令執行結果如下,筆者可以看出擴充套件資料夾位置是 /usr/local/lib/php/pecl/20160303

extension_dir = "/usr/local/lib/php/pecl/20160303"
; extension_dir = "ext"
; Be sure to appropriately set the extension_dir directive.
;sqlite3.extension_dir =

4.2 安裝擴充套件

現在筆者需要把擴充套件檔案複製到,PHP的擴充套件檔案位置,參考命令如下

cp /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/taint.so /usr/local/lib/php/pecl/20160303/

複製完成之後,筆者需要編輯配置檔案,將taint的配置項複製進去

vim /usr/local/etc/php/7.1/php.ini

增加Tain的配置項到php.ini檔案當中,參考配置如下:

[taint]
extension=taint.so
taint.enable=1
taint.error_level=E_WARNING

4.3 安裝結果驗證

儲存配置檔案並退出之後,則代表筆者的安裝已經完成,現在需要重啟一下php讓其生效,參考命令如下

brew services restart php@7.1

重啟完成之後,可以通過命令檢視PHP當前的擴充套件有沒有Taint,參考命令如下:

php -i | grep taint

返回結果如果出現了一下資訊,基本上已經安裝成功。

taint
taint support => enabled
taint.enable => On => On
taint.error_level => 2 => 2

五、功能檢驗與測試

完成上面的兩步操作之後,筆者安裝階段已經大功告成了,現在筆者需要用taint來檢驗效果,檢驗分為三部分,首先用taint作者的demo程式碼進行檢驗,之後用滲透測試系統permeate來檢驗,最後以筆者平時所開發的程式碼進行測試。

5.1 demo檔案測試

用demo檔案測試的目的是檢驗筆者安裝的taint是否真的已經生效,並確認taint有沒有意義。

5.1.1 複製demo程式碼

在作者的GitHub上面有下面的這樣一份demo程式碼,筆者將其複製到web目錄,位置如下:

/Users/song/mycode/safe/permeate

demo程式碼內容如下,讀者實驗時可以將其拷貝:

<?php
$a = trim($_GET[`a`]);

$file_name = `/tmp` .  $a;
$output    = "Welcome, {$a} !!!";
$var       = "output";
$sql       = "Select *  from " . $a;
$sql      .= "ooxx";

echo $output;

print $$var;

include($file_name);

mysql_query($sql);

5.1.2 配置虛擬主機

當程式碼檔案儲存之後,筆者需要在nginx配置檔案中增加一個虛擬主機,用於瀏覽器訪問此檔案,參考配置如下:

    server {
        listen       80;
        server_name  test.localhost;
        root  /Users/song/mycode/safe/permeate;
        location / {
            index index.html index.htm index.php; 
        }

        location ~ .php$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
    }

5.1.3 瀏覽器訪問

接著筆者通過瀏覽器訪問對應程式碼檔案,URL地址如下:

http://test.localhost/taintdemo.php?a=1

瀏覽器訪問頁面之後,筆者能在頁面中看到一些警告資訊,內容如下:

Warning: main() [echo]: Attempt to echo a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 10
Welcome, 1 !!!
Warning: main() [print]: Attempt to print a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 12
Welcome, 1 !!!
Warning: main() [include]: File path contains data that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 14

Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 14

Warning: include(): Failed opening `/tmp1` for inclusion (include_path=`.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear`) in /Users/song/mycode/work/test/taintdemo.php on line 14

Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:16 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 16

從警告資訊當中可以看出,筆者的taint已經生效,給出了很多警告提示,提示引數可能受到汙染,因為引數並沒有經過任何過濾;

5.1.4 引數過濾測試

如果不想讓taint給出警告提示,可以將demo程式碼中的第二行程式碼更改或增加一下過濾規則,參考程式碼如下:

$a = htmlspecialchars($_GET[`a`]);

再次回到瀏覽器當中,重新整理當前頁面,可以看到返回的資訊已經發生了變化,返回內容如下

Welcome, 1 !!!Welcome, 1 !!!
Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 15

Warning: include(): Failed opening `/tmp1` for inclusion (include_path=`.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear`) in /Users/song/mycode/work/test/taintdemo.php on line 15

Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:17 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 17

因為筆者在程式碼中增加了引數轉義,此時再次重新整理瀏覽器,會看到taint不再給發出警告提醒。

5.2 滲透測試系統驗證

用demo系統驗證taint擴充套件生效之後,現在筆者將用一個滲透測試系統來做一個實驗,在這個系統中本身存在了很多安全問題,使用taint來找出這些問題,使用的滲透測試系統為 permeate滲透測試系統,地址如下

筆者之前有寫過一篇文章介紹此係統,參考文件:WEB安全Permeate漏洞靶場挖掘實踐

https://git.oschina.net/songboy/permeate

5.2.1 下載permeate

筆者通過git將其原始碼下載下來,參考命令如下

https://gitee.com/songboy/permeate.git

下載下來之後,同樣建立一個虛擬主機,可以參考上面的nginx配置

5.2.2 匯入資料庫

因為這個系統會用到資料庫,所以筆者下載之後需要新建資料庫給permeate使用

image

新建完成資料庫之後,筆者需要將一些資料表結構以及初始化資料匯入到資料庫當中,在使用git下載下來之後,在其跟目錄有一個doc的資料夾,筆者開啟它之後,能看到有一個sql檔案,如下圖所示

image

開啟此檔案並將其裡面的內容複製,將複製的內容到管理資料庫的Navicat Premium當中,然後執行這些SQL語句,如下圖所示
image

5.2.3 修改配置檔案

匯入資料庫完成之後,筆者修改資料庫配置檔案,讓permeate能夠連線次資料庫,配置檔案在根目錄 conf/dbconfig.php,裡面的配置程式碼如下,將其地址賬戶以及密碼和資料庫名稱一一對應填寫

<?php
    !defined(`DB_HOST`) && define(`DB_HOST`,`127.0.0.1`);
    !defined(`DB_USER`) && define(`DB_USER`,`root`);
    !defined(`DB_PASS`) && define(`DB_PASS`,`root`);
    !defined(`DB_NAME`) && define(`DB_NAME`,`permeate`);
    !defined(`DB_CHARSET`) && define(`DB_CHARSET`,`utf8`);
    $sex=array(`保密`,`男`,`女`);
    $edu=array(`保密`,`小學`,`初中`,`高中/中專`,`大專`,`本科`,`研究生`,`博士`,`博士後`);
    $admins=array(`普通使用者`,`管理員`)

5.2.4 驗證安裝結果

設定好資料庫之後,筆者安裝permeate便已經完成了,此時開啟首頁,看到的介面應該如下圖所示:
image
如果在首頁當中沒有看到板塊以及分割槽等資訊,很有可能是資料庫沒有連線成功或者資料庫沒有正確匯入資料所致。

5.2.5 挖掘漏洞

下面開始進行測試,筆者點選第一個板塊SQL隱碼攻擊,並點選列表下發的下一頁按鈕,此時看到的頁面如下圖所示:
image
在這個板塊列表頁中沒看到任何問題,但是實際上taint已經給筆者發出了警告提醒。

筆者可以通過檢視原始碼時候來看到這些問題,如下圖所示,taint提示在程式碼檔案 /Users/song/mycode/safe/permeate/core/common.php的50行,存在引數被汙染的情況。

image

5.2.5 漏洞分析

筆者找到對應的程式碼位置,發現程式碼內容如下:

function includeAction($model, $action)
{
    //判斷控制器是否存在
    $filePath = "./action/$model.php";
    if (is_readable($filePath)) {
        require_once $filePath;
        $class = new $model;
        if (is_callable(array($class, $action))) {
            $class->$action();
            return true;
        }
    }

在程式碼中筆者看到有一個require_once函式載入了檔案,裡面的引數使用了變數 $model$action ,通過最終變數來源,在程式碼檔案/Users/song/mycode/safe/permeate/home/router.php發現這兩個引數確實沒有經過過濾,如下程式碼所示:

<?php
require_once "/core/common.php";
$model = !empty($_GET[`m`]) ? $_GET[`m`] : `index`;
$action = !empty($_GET[`a`]) ? $_GET[`a`] : `index`;

includeAction("$model","$action");

最後需要提醒大家,Taint在開發環境安裝即可,不要安裝到生產環境當中,否則可能會把網站的安全問題直接暴露給攻擊者。


作者:湯青松

日期:2018年08月16日

微信:songboy8888


相關文章