PHP漏洞挖掘思路+例項

wyzsk發表於2020-08-19
作者: lxj616 · 2013/12/27 14:09

最近研究PHP漏洞的挖掘,總結了一些我挖到的漏洞,整理了一下思路,求各路神人補充、批評、指導~

本文所有示例均來自我在烏雲上已由廠商允許公開的漏洞

由於是例項的分析,基礎知識請百度,就不全都貼上到前面了

0x01:  搜尋所有的使用者可控變數(GET/POST/COOKIE/referer)


原因:所有使用者輸入都是有害的,程式碼審計注重函式和變數,先看看在什麼地方會有輸入

可能出現的場景:

a) id=$_GET['id'];

可能存在的問題:

無過濾的SQL隱碼攻擊:

WooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站測試)

#!php
$id=trim($_GET["id"]);    

//下面直接就進查詢語句了

#!php
if($db->query("update ".Getdbname('dance')." set CS_TID=".$tid." where cs_user='".$cscms_name."' and 

當然,這是GET之後沒做過濾的情景

b) id=intval($_GET['id']);

可能存在的問題:intval對字元型無用,字元型變數是怎麼處理的呢?

如果字元型的addslashes,注意數字型盲注(見c2分析)

c) $tid=XX_Request("tid");

使用自己定義的安全過濾函式處理變數,很常見,很多框架都提供瞭解決方案,不過自己包裝一個也是很常見的

可能存在的問題:

c1) 有沒有忘記使用這個處理函式?

WooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站測試)

$tid=CS_Request("tid"); //使用安全的CS_request addslash  
$id=trim($_GET["id"]);  //呵呵呵,曲項向天歌,CS_Request哭了 

其實還是上面那個例子,自己忘了用這函式過濾了

c2) 函式本身是否安全?

WooYun: (新)程氏舞曲CMS 三步GETSHELL(例項演示+原始碼詳析)

$t_Val = $magic?trim($_GET[$pi_strName]):addslashes(trim($_GET[$pi_strName])); 

使用了addslashes,這就意味著逃脫單引號難度加大,需要尋找沒有單引號保護的語句注入

addslashes只處理單引號和斜槓,因此無法過濾形如 134 and 1=1 這樣的注射語句,請自行百度無單引號盲注

在下面的語句中,$cscms_name就是有單引號保護的,而$id是沒有單引號保護的

$db->query("update ".Getdbname('xiaoxi')." set CS_DID=1 where CS_ID=".$id." and cs_usera='".$cscms_name."'"); 

所以id引發了盲注

c3) 過濾函式能否滿足業務邏輯的特殊需求?

負數訂單啦,自己修改自己的投票數啦,各種業務邏輯上的問題都有可能發生

非常可惜,這個我還沒撞見過,如果以後撞見再更新到文章裡

d) 不要忘記我們能控制referer等變數

可能存在的問題:

雖然發現GET/POST都過濾處理了,但是referer和cookie容易被忽視

$_SERVER["HTTP_REFERER"] 例子:

WooYun: MacCMS 6.x referer處理不當引發注射

很遺憾,這個截至今日還未公開,等公開了大家再去看吧

$_COOKIE['xxx'] 例子:

WooYun: TCCMS全版本COOKIE注入(已演示證明)

$sql="select password from ".$_Obj->table." where id=".$_COOKIE['userId'];

情況和GET時是一樣的,不過注入時操作起來稍微麻煩些,SQLMAP教程我就不貼上到這裡了,不會COOKIE注射的請百度

e) 還有其他的輸入變數,請各路高手帶著例項補充!

目前,我們瞭解了程式總體上是如何處理使用者輸入的

0x02:單獨搜尋$_COOKIE,分析身份認證時的邏輯


原因:身份驗證屬於業務邏輯中“高危”的部分,大部分的高危漏洞都出在這裡

可能出現的場景:

a) 沒有cookie處理,直接全是session

那就等之後通讀程式碼時直接去讀認證演算法好啦

b) 認證演算法中強度太弱(用可控的COOKIE算來算去),降低了偽造身份的難度

WooYun: (新)程氏舞曲CMS 三步GETSHELL(例項演示+原始碼詳析)

第二步偽造身份時

elseif($_COOKIE['CS_Login']!=md5($_COOKIE['CS_AdminID'].$_COOKIE['CS_AdminUserName'].$_COOKIE['CS_AdminPassWord'].$_COOKIE['CS_Quanx'])){ 

有什麼意義呢?COOKIE我們能控制,當然之後程式有別的驗證,這裡只是舉例,就這一句而言沒有意義

實際上漏洞裡這個CMS這個演算法,後面只是在認證時沒有用到安裝時admin寫死在config裡的驗證碼而已,不過難度已經降下來了

c) 直接能繞過

如果情況b 沒有其他驗證了,那就繞過了

目前我們只是驗證了登陸時的邏輯,之後還需分析許可權的縝密程度

0x03:搜尋所有的檔案操作函式,分析其邏輯


原因:檔案操作函式屬於敏感函式,往往業務邏輯上的漏洞可能導致任意檔案操作

可能出現的場景:

a) 任意檔案下載

WooYun: appcms 最新版 1.3.708 任意檔案下載

<?php  
if(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) {  
    $img_url = base64_decode($_GET['url']);  
    $shffix = trim($_GET['type']);  
header("Content-Type: image/{$shffix}");  
readfile($img_url);
} else {
die('image not find');  
} 
?>

PS:由於是業務邏輯上的問題,是沒辦法透過自動掃描發現的,而且針對SQL和HTML的過濾是起不到特大作用的

任意檔案讀取的最大作用是讀config.php 和各種系統的敏感檔案(如何爆物理目錄?請看0x04)

b) 任意檔案寫入

WooYun: CSCMS V3.5 最新版 後臺命令執行GETSHELL(原始碼詳析)

發帖時仍未公開,所以先不做分析,等公開後更新~

任意檔案寫入的最大應用就是寫馬了,最大障礙是繞過過濾的HTML字元比如: <>,解決方式是大量應用base64

c) 任意檔案刪除

很遺憾,還沒撞見過,要是撞見一個該多好

任意檔案刪除的作用可以是刪除install.lock,然後重灌CMS

d) 其他操作,求補充

檔案操作可以結合爆目錄

0x04:爆物理目錄


原因:上一小節我們可能能夠任意操作檔案,但沒拿到網站的物理目錄地址,的確可以用黑盒不停地試圖讀取 c:\boot.ini 和 /etc/passwd 之類的來試圖判斷,但是這麼弄實在不可靠

怎麼辦:使用php vulnerability hunter 自動掃描就好了,這個確實可以偷懶用工具掃描,因為這個爆目錄危害實在太低了,必須配合其他漏洞才有危害,所以一般CMS都會有這種漏洞,我是說能掃描出來的漏洞

WooYun: appcms 最新版 1.3.708 任意檔案下載

如果你不知道物理路徑,你可以試著用工具掃描一下,然後再讀取

0x05:搜尋eval,preg_replace什麼的,看看有沒有命令執行


原因:能直接執行PHP程式碼,也就是說可以寫一句話木馬了(file_put_contents),當然,要找可寫目錄

這地方我一直沒能找到例子,沒有親自實踐過,求各路高手帶例項提供幾個?

0x06:可以開始通讀程式碼了,從index開始,注意的是資料的傳輸和輸出函式


原因:常見模式化的漏洞都不存在的話,就要分析整個系統了,因此需要完全而徹底地去做審計,這樣比繼續單獨搜尋變數然後跟蹤更加省力一些

可能出現的場景:

a) 之前的過濾全白費了

WooYun: YXcms1.2.0版本 儲存式XSS(實站演示+原始碼分析)

沒公開,等公開再更新文章,這是一個儲存式xss

b) 二次注入

由於二次開發中從資料庫裡取出的值沒有過濾,導致注射,由於沒有直接從使用者輸入中獲得,所以之前步驟很難發現

哎呀,求各路高手提供個示例呀,我這個自己也沒有碰到過丫

c) 平行許可權、任意投票、越權訪問 等等 等等 一大堆

0x07 總結


目前我就知道這麼些,希望能對剛接觸PHP程式碼審計漏洞挖掘的新手有點幫助,由於我也是剛開始學習PHP漏洞挖掘不久,希望大家能廣泛提供學習的建議以及思路,也請批評指正文章中不妥之處,更希望高手們能帶著示例來指導。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章