PHP代码审计18—PHP代码审计小结

文章目录

前言：经过一段时间的代码审计学习，在这里对代码审计这方面的知识做一个简单的小结，一部分是个人的的知识总结，为了能更全面的总结到代码审计的方法结论，所以也参考了很多的资料，都写在了文末。

一、前期准备

1、工具准备

这里总结我用到过的或者说我了解的比较好的一些工具。

PHP代码调试工具
- PHPstorm+xdebug
代码阅读工具
- notePad++
- cublimeTxt 3

静态代码审计工具

Fortify

HP出的一款静态代码审计工具，支持21种开发语言，是一款功能强大的商业代码审计工具。

Seay

Seay大佬协议的代码审计工具，国产、开源。

CodeQl

Githubt推出的代码审计项目，在国外受到众多安全研究着追捧。

Xcheck

Xcheck的php引擎支持原生php的安全检查，也支持对国内主流框架编写的web应用进行安全检查，覆盖包括Thinkphp,Laravel,CodeIgniter,Yii,Yaf等web框架。

RIPS

轻量级的代码审计工具，来源于国外专业的代码审计公司RIPS。但是RIPS的开源版本已经多年未更新，并且不支持面向对象的代码审计。

浏览器与插件
- 浏览器：FireFox
- 浏览器插件：HackBar、FoxyProxy、EditThisCookie
数据库管理软件
- Phpmyadmin
- Navicat

2、审计环境准备

操作系统

一般采用Windows系统进行审计，对于大多数审计工具来说，Windows系统下图形化界面在使用的时候会更加方便。

PHP集成环境
- phpStudy
- 宝塔面板

PHP版本

对于PHP版本的选择，为了使用实际使用环境，应该尽量使用php5.4以后的版本

数据库

对于数据库，对于PHP程序来说，一般都是采用的Mysql,在审计过程中，最好将mysql设置为5.7版本以后。

二、了解系统架构

对于系统架构，我们在确认了审计目标之后，在审计之前，需要先了解目标系统的基本架构，比如目录情况如何、是否使用了框架、存在那些路由、有没有安全过滤函数、有没有全局参数过滤等等。这里就要分为有框架和无框架来进行分析。

1、使用了开发框架

1) ThinkPHP框架

这里一ThinkPHP5为例，框架的大体目录结构如下：

www  WEB部署目录（或者子目录）
├─application           应用目录
│  ├─common             公共模块目录（可以更改）
│  ├─module_name        模块目录
│  │  ├─config.php      模块配置文件
│  │  ├─common.php      模块函数文件
│  │  ├─controller      控制器目录
│  │  ├─model           模型目录
│  │  ├─view            视图目录
│  │  └─ ...            更多类库目录
│  │
│  ├─command.php        命令行工具配置文件
│  ├─common.php         公共函数文件
│  ├─config.php         公共配置文件
│  ├─route.php          路由配置文件
│  ├─tags.php           应用行为扩展定义文件
│  └─database.php       数据库配置文件
│
├─public                WEB目录（对外访问目录）
│  ├─index.php          入口文件
│  ├─router.php         快速测试文件
│  └─.htaccess          用于apache的重写
│
├─thinkphp              框架系统目录
│  ├─lang               语言文件目录
│  ├─library            框架类库目录
│  │  ├─think           Think类库包目录
│  │  └─traits          系统Trait目录
│  │
│  ├─tpl                系统模板目录
│  ├─base.php           基础定义文件
│  ├─console.php        控制台入口文件
│  ├─convention.php     框架惯例配置文件
│  ├─helper.php         助手函数文件
│  ├─phpunit.xml        phpunit配置文件
│  └─start.php          框架入口文件
│
├─extend                扩展类库目录
├─runtime               应用的运行时目录（可写，可定制）
├─vendor                第三方类库目录（Composer依赖库）
├─build.php             自动生成定义文件（参考）
├─composer.json         composer 定义文件
├─LICENSE.txt           授权说明文件
├─README.md             README 文件
├─think                 命令行入口文件

其中，applicatinon目录和我们的Public目录，使我们的应用程序文件目录和运行数据存放目录，属于重要关注对象。

同时application目录下的config.php、database.php、route.php分别是系统配置文件、数据库操作文件、系统路由文件，都需要仔细分析。

对于ThinkPHP框架开发的应用，其访问系统的URL通常是这样的：/index.php/模块名/控制器名/函数名/[参数名/参数值]

其中模块名对应了application目录下的文件夹的名字。控制器名对应了模块名目录下的controller文件夹下的php文件名。参数则是可选的，可以按照/参数名/参数值的方式同时传入多个参数，也可以按照传统方式使用?参数1=参数值1&参数2=参数值2的方式传入变量。

2) laravel框架

基本的目录结构：

 |——app  包含了站点的controllers（控制器），models（模型），views（视图）和assets（资源
 |——bootstrap 存放系统启动时的必要文件，这些文件会被index.php这样的文件调用。
 |——public 系统运行的公开数据，包括静态资CSS文件、js文件等
 |——vender 第三方类库

与thinkPHP还是一样的，主要的应用程序文件都存放在了app目录下。

2、没使用开发框架

在没使用开发框架的情况下，我们就需要去判断应用程序是否采用了MVC模式，如果有的话，就需要去查看系统的路由文件，看看控制程序是如何通过路由定位的。比如PHPCMS，就是用了自己开发的MVC控制器来进行路由：

访问index.php，可以看到，包含了phpcms/base.php

define('PHPCMS_PATH', dirname(__FILE__).DIRECTORY_SEPARATOR);

include PHPCMS_PATH.'/phpcms/base.php';

进入base.php文件，就能看到，这里定义了特别多的路由以及初始化的一些类以及方法：

//PHPCMS框架路径
define('PC_PATH', dirname(__FILE__).DIRECTORY_SEPARATOR);

if(!defined('PHPCMS_PATH')) define('PHPCMS_PATH', PC_PATH.'..'.DIRECTORY_SEPARATOR);

//缓存文件夹地址
define('CACHE_PATH', PHPCMS_PATH.'caches'.DIRECTORY_SEPARATOR);
//主机协议
define('SITE_PROTOCOL', isset($_SERVER['SERVER_PORT']) && $_SERVER['SERVER_PORT'] == '443' ? 'https://' : 'http://');
//当前访问的主机名
define('SITE_URL', (isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : ''));
//来源
define('HTTP_REFERER', isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '');
//定义网站根路径
define('WEB_PATH',pc_base::load_config('system','web_path'));
//js 路径
define('JS_PATH',pc_base::load_config('system','js_path'));
//css 路径
define('CSS_PATH',pc_base::load_config('system','css_path'));
//img 路径
define('IMG_PATH',pc_base::load_config('system','img_path'));
//动态程序路径
define('APP_PATH',pc_base::load_config('system','app_path'));
//应用静态文件路径
define('PLUGIN_STATICS_PATH',WEB_PATH.'statics/plugin/');
class pc_base {
    
    
  ......
}

对于没有使用框架，也没有使用自定义的MVC模型的程序，就只需要按照传统的脚本格式的访问方式就行，以index.php作为切入点，依次分析相关代码即可。

三、参数过滤分析

传统的参数过滤分析，通常会以函数的方式进行过滤，但是某些系统也可能会在参数传入后，进行全局参数过滤，所以我们在审计之前，就需要先了解应用程序采用了那些过滤方法，是否使用了全局参数过滤。

1、MVC模式下的过滤情况分析

首先以ThinkPHP来说，获取参数的方法有两种，一是通过原生的$_GET等方式获取参数，二是通过$Request()对象获取参数。在审计thinkPHP程序的时候，就需要对这两种获取参数的方式进行审计。

在ThinkPHP中，会在config文件中定义一个默认的全局过滤器：

// 默认全局过滤方法 用逗号分隔多个
'default_filter'         => '',

比如上面这样，默认的过滤器就为空。也就是说在使用$_GET等原始方法获取参数的时候，就是不会进行过滤的。

然后我们再来看看$request对象获取参数的时候是如何进行的，比如erquest对象的get方法，是用于获取GET方式传入的参数的：

public function get($name = '', $default = null, $filter = '')
    {
    
    
        if (empty($this->get)) {
    
    
            $this->get = $_GET;
        }
        if (is_array($name)) {
    
    
            $this->param      = [];
            return $this->get = array_merge($this->get, $name);
        }
        return $this->input($this->get, $name, $default, $filter);
    }

可以看到，这里定义了三个形参，分别是name、default、filter。其中name是我们要获取的变量名，而fileter则是我们要是用的过滤器，这里默认为空，也就是不进行任何过滤。

所以在进行审计的时候，我们就需要判断是否设置了默认的全局过滤选项，或者说是否在获取参数的时候，设置了新的过滤器。

2、原生PHP模式下的过滤分析

对于原生PHP开发的应用程序，往往是通过函数的方式来设置过滤规则，所以就需要在参数获取的地方来看看，是否调用了参数过滤函数来进行过滤，并判断是否是有效过滤。

这里以帝国CMS为例，进行一个简单的分析。帝国CMS的过滤函数在e/class/connect.php中，定义了三个参数处理函数，这里以其中一个为例，进行分析：

//参数处理函数
function RepPostVar($val){
    
    
	if($val!=addslashes($val))
	{
    
    
		exit();
	}
	CkPostStrChar($val);
	$val=str_replace("%","",$val);
	$val=str_replace(" ","",$val);
	$val=str_replace("`","",$val);
	$val=str_replace("\t","",$val);
	$val=str_replace("%20","",$val);
	$val=str_replace("%27","",$val);
	$val=str_replace("*","",$val);
	$val=str_replace("'","",$val);
	$val=str_replace("\"","",$val);
	$val=str_replace("/","",$val);
	$val=str_replace(";","",$val);
	$val=str_replace("#","",$val);
	$val=str_replace("--","",$val);
	$val=RepPostStr($val,1);
	$val=addslashes($val);
	//FireWall
	FWClearGetText($val);
	return $val;
}

可见，这里对%、空格、`、%20、%27、‘，“等进行了过滤。

然后我们就可以进入具体的文件中，看看传入的参数是否都调用了该函数进行过滤。

//审核评论
{
    
    
	$plid=$_POST['plid'];
	$id=$_POST['id'];
	$bclassid=$_POST['bclassid'];
	$classid=$_POST['classid'];
	CheckPl_all($plid,$id,$bclassid,$classid,$logininid,$loginin);
}

function CheckPl_all($plid,$id,$bclassid,$classid,$userid,$username){
    
    
	global $empire,$class_r,$dbtbpre,$public_r;
	//验证权限
	$restb=(int)$_POST['restb'];
	$count=count($plid);
	if(empty($count)||!$restb){
    
    
		printerror("NotCheckPlid","history.go(-1)");
	}
	if(!strstr($public_r['pldatatbs'],','.$restb.',')){
    
    
		printerror("NotCheckPlid","history.go(-1)");
	}
	$add='';
	$docheck=(int)$_POST['docheck'];
	$docheck=$docheck?1:0;
	for($i=0;$i<$count;$i++){
    
    
		$add.="plid='".intval($plid[$i])."' or ";
	}
	$add=substr($add,0,strlen($add)-4);
	$sql=$empire->query("update {
      
      $dbtbpre}enewspl_{
      
      $restb} set checked='$docheck' where ".$add);
	if($sql)
	{
    
    
		....
  }
}

比如这里，后台评论管理的地方，获取了评论给ID等参数，在未经过滤的情况下，传入了CheckPl_all（）函数，可见这里的参数都没有调用了过滤函数进行处理，但是好在都对这些参数使用了int强制类型转换。还算是比较安全。

四、常见漏洞审计方法总结

1、SQL注入

首先需要了解SQL注入常见的业务场景与漏洞类型：

用户登录—万能密码
数据搜索—搜索型注入
获取HTTP头
商品购买—insert、update型注入等
信息查询—union联合注入、报错注入等
…

可以说，任何与数据库进行交互的地方都可能存在SQL注入，对于其漏洞存场景也是多种多样，这里并不能很好的进行举例。

对于代码审计中的SQL注入审计方法，首先需要关注的就是数据库操作的关键字。

比如在PHP原生代码中，就可以多关注这些关键字：

select
mysqli_connect
mysqli_query
mysqli_fetch_row
mysqli_fetch_array
update
indert into
delete
.......

在一下CMS或者框架中，就需要多关注一下下面这些关键字或者方法：

name()
where()
find()
select()
.....

通过定位这些关键字，我们就能够定位到执行SQL语句的地方，然后去判断执行SQL语句中的参数是否采用了拼接SQL的方式，如果是则去判断是否存在参数过滤以及参数是否可控。

如果参数不可控，来源于某一条SQL语句查询出的结果，我们就需要重点关注这个参数是否来源于其他的用户输入，如果是，则需要考虑师傅存在二次注入的情况。

2、XSS漏洞

XSS漏洞重点需要关注的就是一些输出函数，比如下面这些：

print()
echo 
print_f()
die()
var_dump()
print_r()
......

然后去判断输出的内容中是否存在可控变量，并检测这些变量在输如或者输出的时候，是否采用了Html实体编码，或者是否对输入进行了过滤。如果都没有，在输出内容可控的情况下则很可能存在XSS漏洞。

3、代码执行

这里的代码执行，包含了代码执行和命令执行两个部分。同样的，重点需要关注的也是一些函数：

代码执行：
eval()
assert()
preg_replace()
array_map()
call_user_funcn()
.....
命令执行：
system()
exec()
shell_exec()
passthru()
popen()
proc_open()
.....

对于代码执行函数来说，eval()函数是最常见的代码执行函数，需要重点关注。

assert()函数在PHP中与eval类似，但是只能执行一行代码，在PHP7中则取消了该函数执行动态代码的功能，也就是说执行执行固定的代码了。

其他的代码执行函数，大多数为回调函数，具备了调用php代码的功能。

对于命令执行漏洞来说，主要还是存在于一些获取系统信息的地方，可能会通过执行命令的方式来获取，若果说执行的命令可控的话，则可能导致命令执行。

对于命令执行的其中几个方法，存在一定的差异：

system()是执行系统命令并返回执行结果。
exec()则是执行命令后，返回一个结果句柄，并不直接返回结果。
shell_exec()则是执行不返回命令执行后的任何信息。

但是对于代码执行和命令执行需要注意的是，在PHP中，通过{}的方式同样能够执行代码，同时还能通过动态拼接代码的方式来执行PHP代码。通过使用双反引号的方式，也能够做到等同意system的命令执行效果。

4、文件上传、删除、下载

1) 文件上传漏洞

常见的业务场景：

头像上传
备份文件上传
配置文件上传
…

对于文件上传漏洞，需要关注的函数为：move_uplaod_file()函数。

在审计的时候就只需要去搜欧索这一个函数，然后判断是否对文件上传的格式做限制，或者说是否可以绕过文件后缀限制。

如果说不能绕过的话，则需要去检测是否存在文件解析漏洞或者文件包含漏洞，然后进行绕过利用。

2）文件删除漏洞

对于文件删除漏洞，触发漏洞的函数同样只有一个，那就是unlink()函数，我们在审计的时候，判断文件名是否可控，同时检测是否允许文件命中存在路径穿越符，如果允许，则说明存在任意文件删除漏洞，危害较大。

3）文件下载漏洞

文件读取或者文件下载漏洞，常见的触发漏洞的函数如下：

file_get_content()
fopen()
readfile()
fread()
file()
......

对于这种漏洞，可以在黑盒的情况下先去找文件读取和下载的的功能点，然后通过请求的URL去分析功能对应的具体代码，再来判断读取的文件，其文件名是否可控，是否允许文件名存在路径穿越符等。

如果存在漏洞的情况下，利用方法一时读取系统文件，而是读取网站源码，在读取的时候，我们可以使用php的伪协议来读取源码。

5、XXE漏洞

XXE漏洞，我们需要关心的函数是：simplexml_load_string(),我们需要判断被解析的XML数据是否允许我们外部输入，并且是否允许代用外部实体，然后在进行详细的分析与利用。

6、SSRF漏洞

SSRF漏洞的引发函数主要是能用于远程请求资源的一些函数，比如：

file-get_content()
curl()
fopen()
readline()
......

常见的漏洞场景为：

社交分享
转码服务
在线翻译
没有使用img标签的远程图片加载
…

对于检测方法主要也是通过判断这些函数获取的URL或者文件名是否可控，如果可控，则可能造成漏洞，同时也容易造成上面提到的任意文件读取漏洞。

五、相关审计技巧总结

1、钻GPC的空子

首先简单的介绍一下GPC，magic_quotes_gpc是php.ini里面的配置选项，在php5.2以前的版本默认开启，在php版本为5.2—5.4之间的版本则默认关闭。在PHP 5.4 以后的版本中则直接取消了这一个配置项。

该配置项的作用就是对我们传入的POST、GET、COOKIE变量中的',",\,NULL 等字符前面加上反斜杠\进行转义。

在PHP中，卡其GPC的方法有两种，一是在PHP.ini中配置 magic_quotes_gpc 选项的值为 on,还有一种就是在PHP代码中使用get_magic_quotes_gpc()函数判断是否开启该选项，如果没有则使用addslashes()函数进行转义。比如下面这样：

if (!get_magic_quotes_gpc()) {
    
      //magic_quotes_gpc 配置为 ON 则返回1，如果配置为OFF 则返回0
	$_POST['message'] = addslashes($_POST['message']);
} else {
    
    
	.......
}

在PHP中，我们提到了POST等变量会受导全局配置GPC的影响，但是有一个变量并不会，那就是$_SERVER，其中获取的http头并不收到GPC的保护，如果说获取的HTTP头存在于数据库交互的行为，则可能导致SQL注入的产生。

同时由于使用了GPC对特殊字符进行转义，我们都知道宽字节注入的漏洞原理，如果说在开启了GPC的情况下，还设置了数据库编码为GBK模式，则可能导致宽字节注入的存在。在PHP中设置数据库编码的方式有下面两种：

方法1： mysqli_set_charset($connnect,'GBK')
方法2： mysqli_query("set names 'gbk'")

这两种方法都能设置数据库的编码模式，在开启了GPC的情况下，就容易出现宽字节注入的问题。

2、利用字符处理问题

1）利用字符处理函数报错

在了解这个问题之前，我们需要知道，在PHP中，报错信息分为多个等级，可以通过配置PHP.ini的display_error =on 或者在代码中使用 error_reporting()来设置报错等级，常见的一些报错等级如下：

1、E_ERROR             //致命的运行时错误。这类错误一般是不可恢复的情况，例如内存分配导致的问题。后果是导致脚本终止不再继续运行。
2、E_WARNING          //运行时警告 (非致命错误)。仅给出提示信息，但是脚本不会终止运行。
3、E_PARSE            //编译时语法解析错误。解析错误仅仅由分析器产生
4、E_NOTICE           //运行时通知。
5、E_USER_ERROR       //用户产生的错误信息。
6、E_USER_WARNING     //用户产生的警告信息。
7、E_USER_NOTICE
8、E_STRICT           //启用 PHP 对代码的修改建议，以确保代码具有最佳的互操作性和向前兼容性。
9、E_ALL              //E_STRICT除外的所有错误和警告信息。

在PHP中，大多数的错误都会显示错误的文件路径与集体位置，在渗透测试中，经常会遇到上传或者写入webshell的的情况需要知道网站绝对路径，这时候我们就可以考虑使用PHP报错来获取网站路径。

对于PHP程序来说，大多数开发者都会使用trim()函数来去除参数首尾的空调，但是当我们传入的参数是一个数组的时候，比如/index.php?a[]=test,这时候如果采用trim($_GET('a')) 来去除a参数的空格的话，就会导致程序报错。

类似的函数有很多，比如：

addcslashes()
bin2hex()
chr()
exho()
explode()
crypto()
md5()
..........

2）利用字符串截断

字符串截断利用最多的则是在文件上传的时候，但是%00空字符即NULL，在开启了GPC的情况下会受到影响为不能正常利用。同时在PHP5.3以后，修复了这一问题，所以利用场景相对目前来比较少见。这里就只简单的提一下。

但是存在另外一种字符串截断的情况，那就是使用了iconv()函数进行编码转换时，比如UTF-8抓环为GBK编码，总会存在一些差异，导致转换出现乱码。所以在使用了iconv()函数进行转换时，如果出现了错误，则会不在进行转换，导致了字符串被截断的问题。

有大佬测试了相关问题，发现在使用iconv()函数将UTF-8编码准尉GBK编码的情况下，遇到cahr(128)—chr(255)之间的字符否存在被截断的可能。

3、不严谨的正则表达式

比如下面这样的情况：

$ip=$_SERVER('HTTP_CLIENT_IP');
if(preg_match('/\d+\.\d+\.\d+\.\d+/',$ip)){
    
    
	echo $ip;
}

这里如果我们传入client_ip为 127.0.0.1</scritp>alert(xss)</scritp>

则会成功的通过正则校验，输出IP信息，导致XSS漏洞的产生。