我列出了应列入黑名单或不允许的功能 . 相反,我希望在搜索受感染的后台服务器时,有一个 grep
-可用的红旗关键字列表 .
这个想法是,如果你想构建一个多用途的恶意PHP脚本 - 比如像c99或r57这样的“web shell”脚本 - 你将不得不使用一组或多组相对较小的函数在文件中的某个位置,以允许用户执行任意代码 . 搜索这些功能可以帮助您更快地将数万个PHP文件的大海捞变到相对较小的脚本集中,这些脚本需要仔细检查 .
显然,例如,以下任何一种都被视为恶意(或可怕的编码):
<? eval($_GET['cmd']); ?>
<? system($_GET['cmd']); ?>
<? preg_replace('/.*/e',$_POST['code']); ?>
等等 .
前几天通过一个被入侵的网站搜索,我没有意识到 preg_replace
可能因使用 /e
标志而变得危险(严重的是,为什么即使那样?) . 还有其他我错过的吗?
到目前为止,这是我的清单:
Shell Execute
-
system
-
exec
-
popen
-
backtick operator
-
pcntl_exec
PHP Execute
-
eval
-
preg_replace
(带/e
修饰符) -
create_function
-
include
[_once
] /require
[_once
](有关漏洞利用详情,请参阅mario的回答)
拥有一个能够修改文件的函数列表可能也很有用,但我想99%的时间漏洞利用代码将包含至少一个上述函数 . 但是如果你有一个能够编辑或输出文件的所有函数的列表,那么发布它并且我不计算 mysql_execute
,因为这是另一类漏洞利用的一部分 . )
23 回答
我特别想在这个列表中添加unserialize() . 它有各种各样的漏洞,包括任意代码执行,拒绝服务和内存信息泄漏 . 永远不应该在用户提供的数据上调用它 . 许多这些vuls在最近的露水年份已被修复,但在目前的写作时间仍然保留了几个讨厌的vuls .
有关狡猾的PHP函数/用法的其他信息,请查看Hardened PHP Project及其建议 . 最近的Month of PHP Security和2007年的Month of PHP Bugs项目
还要注意,通过设计,反序列化对象将导致构造函数和析构函数执行;另一个原因是不在用户提供的数据上调用它 .
有许多PHP漏洞可以通过PHP.ini文件中的设置禁用 . 明显的例子是register_globals,但根据设置,也可以通过HTTP包含或打开来自远程机器的文件,如果程序对其任何include()或文件处理函数使用变量文件名,则可以利用这些文件 .
PHP还允许通过在变量名的末尾添加()来调用变量函数 - 例如
$myvariable();
将调用变量指定的函数名 . 这是可以利用的;例如,如果攻击者可以获取变量以包含单词'eval',并且可以控制参数,那么即使程序实际上不包含eval()函数,他也可以执行任何他想要的操作 .为了构建这个列表,我使用了两个来源 . A Study In Scarlet和RATS . 我也添加了一些我自己的混合,这个线程上的人已经帮了忙 .
Edit: 发布此列表后,我联系了RIPS的创始人,截至目前,此工具会搜索PHP代码,以便使用此列表中的每个函数 .
大多数这些函数调用都归类为接收器 . 当一个受污染的变量(如$ _REQUEST)传递给接收器函数时,您就有了一个漏洞 . 像RATS和RIPS这样的程序使用grep之类的功能来识别应用程序中的所有接收器 . 这意味着程序员在使用这些功能时应该格外小心,但如果他们全部被禁止,那么你将无法完成任务 .
"With great power comes great responsibility."
命令执行
PHP代码执行
除了
eval
之外,还有其他方法可以执行PHP代码:include
/require
可用于以Local File Include和Remote File Include漏洞的形式执行远程代码 .接受回调的函数列表
这些函数接受一个字符串参数,该参数可用于调用攻击者选择的函数 . 根据功能,攻击者可能会或可能不会传递参数 . 在这种情况下,可以使用像
phpinfo()
这样的Information Disclosure
函数 .信息披露
大多数这些函数调用都不是接收器 . 但是,如果返回的任何数据可供攻击者查看,则可能是漏洞 . 如果攻击者可以看到
phpinfo()
,那肯定是一个漏洞 .其他
文件系统功能
根据RATS所有filesystem functions在php中都很讨厌 . 其中一些对攻击者来说似乎没什么用处 . 其他人比你想象的更有用 . 例如,如果
allow_url_fopen=On
则可以将url用作文件路径,因此可以使用对copy($_GET['s'], $_GET['d']);
的调用来在系统上的任何位置上载PHP脚本 . 此外,如果站点容易受到通过GET发送的请求的影响,那么这些文件系统功能的所有人都可能被滥用来通过您的服务器引导和攻击另一台主机 .您必须扫描include($ tmp)和require(HTTP_REFERER)和* _once . 如果漏洞利用脚本可以写入临时文件,则可以稍后再包含该文件 . 基本上是一个两步的评估 .
甚至可以使用以下方法隐藏远程代码:
此外,如果您的网络服务器已被盗用,您将不会总是看到未编码的邪恶 . 漏洞利用shell通常是gzip编码的 . 想想
include("zlib:script2.png.gz");
这里没有评价,效果仍然相同 .这本身不是答案,但这里有一些有趣的东西:
本着同样的精神,
call_user_func_array()
可用于执行混淆函数 .我很惊讶没有人提到
echo
和print
作为安全漏洞 .Cross-Site Scripting (XSS)是一个严重的安全漏洞,因为它比服务器端代码执行漏洞更常见 .
我的VPS设置为禁用以下功能:
PHP有足够的潜在可破坏功能,你的列表可能太大而无法访问 . 例如,PHP具有chmod和chown,可用于简单地停用网站 .
编辑:也许你可能想要构建一个bash脚本,搜索一个文件,查找按危险分组的函数数组(函数是坏函数,函数更糟,函数永远不应该使用),然后计算危险的相对性该文件强加给一个百分比 . 然后将其输出到目录树中,并在每个文件旁边标记百分比,如果大于阈值30%危险 .
还要注意允许读写任意内存位置的“中断漏洞”类!
这些影响函数,如trim(),rtrim(),ltrim(),explode(),strchr(),strstr(),substr(),chunk_split(),strtok(),addcslashes(),str_repeat()等等 . 这主要是(但不是唯一的)由于该语言的调用时间传递引用功能已被弃用了10年但未被禁用 .
有关更多信息,请参阅Stefan Esser在BlackHat USA 2009上关于中断漏洞和其他低级PHP问题的讨论Slides Paper
本文/演示文稿还展示了如何使用dl()来执行任意系统代码 .
Plattform特定的,但也是理论exec向量:
dotnet_load()
新COM("WScript.Shell")
新Java("java.lang.Runtime")
event_new() - 最终
还有更多的伪装方法:
proc_open是popen的别名
call_user_func_array("exE" .chr(99),array("/usr/bin/damage","--all"));
file_put_contents("/cgi-bin/nextinvocation.cgi")&& chmod(...)
PharData :: setDefaultStub - 检查.phar文件中的代码还有一些工作要做
runkit_function_rename("exec","innocent_name")或APD rename_function
除了
eval
语言构造之外,还有另一个允许任意代码执行的函数:assert尚未提及有趣漏洞的一个来源 . PHP允许字符串中包含
0x00
个字节 . 底层(libc)函数将此视为字符串的结尾 .这允许PHP中的(执行不良)健全性检查被欺骗的情况,例如,在这种情况下:
这可能包括任何文件 - 而不仅仅是那些以
.php
结尾的文件 - 通过调用script.php?file=somefile%00.php
因此,任何不遵守PHP字符串长度的函数都可能导致某些漏洞 .
危险的句法元素呢?
“variable variable”(
$$var
)将在当前范围内找到名为$ var的变量 . 如果使用错误,远程用户可以修改或读取当前范围中的任何变量 . 基本上是一个较弱的eval
.例如:您编写了一些代码
$$uservar = 1;
,然后远程用户将$uservar
设置为"admin",导致$admin
在当前范围内设置为1
.我想你将无法通过解析源文件找到所有可能的漏洞 .
如果这里提供了很好的列表,你可以错过一个可以被利用的功能
仍然可能存在这样的“隐藏”邪恶代码
你现在可以说,我只是扩展我的脚本也匹配这个
然后你会有那可能是“可能是邪恶的代码”,这也是它的背景
所以要(伪)安全,你自己应该 write good code 和 read all existing code
反引号运算符Backtick on php manual
我知道
move_uploaded_file
已被提及,但文件上传一般非常危险 . 只是$_FILES
的存在应引起一些关注 .将PHP代码嵌入到任何类型的文件中都是非常有可能的 . 图像可能特别容易受到文本注释的影响 . 如果代码按原样接受
$_FILES
数据中找到的扩展名,则问题尤其麻烦 .例如,用户可以将嵌入了PHP代码的有效PNG文件上传为“foo.php” . 如果脚本特别天真,它实际上可能将文件复制为“/uploads/foo.php” . 如果服务器配置为允许在用户上载目录中执行脚本(通常是这种情况,以及可怕的疏忽),那么您可以立即运行任意PHP代码 . (即使图像保存为.png,也可能通过其他安全漏洞获取代码 . )
A(非详尽)要上传的内容列表:
确保分析内容以确保上传是它声称的类型
使用不会执行的已知安全文件扩展名保存文件
确保在用户上载目录中禁用PHP(以及任何其他代码执行)
让我们将
pcntl_signal
和pcntl_alarm
添加到列表中 .借助这些函数,您可以解决在php.ini或脚本中创建的任何set_time_limit限制 .
例如,该脚本将运行10秒,尽管
set_time_limit(1);
(归功于Sebastian Bergmanns tweet和gist:
这些功能也可能有一些令人讨厌的影响 .
str_repeat()
unserialize()
register_tick_function()
register_shutdown_function()
前两个可以耗尽所有可用的内存,后者可以耗尽...
最近在security.stackexchange.com上对此进行了一些讨论
好吧,这缩小了范围 - 但由于'print'可以用于注入javascript(因此窃取会话等),它仍然有点武断 .
这是一种明智的做法 .
考虑编写自己的解析器 - 很快你会发现基于grep的方法失控(awk会好一点) . 很快你也会开始希望你也实现了白名单!
除了显而易见的,我建议标记任何包含除了字符串文字以外的任何参数的东西 . 注意__autoload() .
我担心我的回答可能有点过于消极,但......
恕我直言,那里的每一个功能和方法都可以用于恶意目的 . 可以把它想象成邪恶的涓滴效应:变量被分配给用户或远程输入,变量用于函数,函数返回值用于类属性,类属性用于文件函数,等等 . 请记住:伪造的IP地址或中间人攻击可以利用您的整个网站 .
最好的办法是从开始跟踪到结束的任何可能的用户或远程输入,从
$_SERVER
,$_GET
,$_POST
,$_FILE
,$_COOKIE
,include(some remote file)
(如果allow_url_fopen
是),所有其他功能/类处理远程文件,等你以编程方式构建每个用户或远程提供的值的堆栈跟踪配置文件 . 这可以通过获取所分配的变量的所有重复实例以及函数或方法来以编程方式完成,它使case
开关的总数等于PHP中的函数和方法的数量(包括用户定义的) .或者仅用于处理用户输入,在所有脚本的开头初始化一个静态控制器类,1)验证并将所有用户提供的输入值存储在允许目的的白名单中; 2)擦除输入源(即
$_SERVER = null
) . 你可以看到这里有一点Naziesque .以下是我的提供程序为安全目的禁用的函数列表:
exec
dl
show_source
apache_note
apache_setenv
closelog
debugger_off
debugger_on
define_syslog_variables
escapeshellarg
escapeshellcmd
ini_restore
openlog
passthru
pclose
pcntl_exec
popen
proc_close
proc_get_status
proc_nice
proc_open
proc_terminate
shell_exec
syslog
系统
url_exec
代码中的大多数攻击都使用多个访问源,或者自己执行多个步骤 . 我不仅会搜索代码或具有恶意代码的方法,还会搜索所有方法,执行或调用它 . 最好的安全性还包括在进出时对表单数据进行编码和验证 .
还要注意定义系统变量,然后可以从代码中的任何函数或方法调用它们 .
使用解释文本的4位字符函数发现了几个缓冲区溢出 . ヶ辆()用htmlspecialchars()
在顶部,一个很好的防御是使用mb_convert_encoding()在解释之前转换为单个编码 .
你可以在RIPS /config/sinks.php中找到一个不断更新的敏感接收器列表(可利用的php函数)及其参数,这是一个静态源代码分析器,用于检测PHP后门程序的PHP应用程序中的漏洞 .