-
文件包含漏洞
- ** 本地文件包含**
- 能打开并包含本地文件的漏洞,被称为本地文件包含漏洞(LFI)
- %00截断,php内核是由C语言实现的,因此使用了C语言中的一些字符串处理函数。在连接字符串时,0字节(\x00)(web中为%00)将作为字符串结束符。note:5.3.4之前版本才有效,magic_quotes_gpc=off.
- 利用操作系统对目录的最大长度限制,可以截断,windows下256字节,././././././././././././1.txt。(要求是5.2.8之前)
- php中对文件进行操作的函数都可能出现漏洞。虽然大多数情况下不能执行PHP代码,但能够读取敏感文件带来的后果也是比较严重的。
- open_basedir的作用是限制在某个特定目录下PHP能打开的文件,其作用与safe_mode是否开启无关。note:目录是只看前缀的,如果值为/home/app,那么/home/app123是允许的,最好写为/home/app/
- 枚举变量的决定路径是方式,可以防止目录的修改。
-
远程文件包含
- 如果PHP的配置选修allow_url_include为On的话,则include、require、include_once、require_once函数可以加载远程文件,这漏洞被称为(Remote File Inclusion)RFI
- http拼凑的变量中的‘?’也是一种截断 .
-
本地文件包含的利用技巧
- 包含用户上传的文件
- 包含data://或php://input等伪协议
- 包含Session文件。
- 包含日志文件,比如Web server的access log
- 包含/proc/self/environ文件。
- 包含上传的临时文件。
- 包含其他应用创建的文件,比如数据库文件、缓存问及教案、应用日志等。
- ** 本地文件包含**
-
变量覆盖漏洞
- register_globals=ON时,(5.2之前默认为ON,5.3为off,5.4以后删除了)变量将能通过URL被赋值。
-
extract()变量覆盖
- 当第二个参数没有指定的时候,默认为EXTR_OVERWRITE,即将变量导入符号表的过程中,如果变量名发生冲突,则覆盖已有变量。这个覆盖就会引发漏洞
- 在调用extract的时候用第二个参数要指定EXTR_SKIP。
- 遍历初始化变量
-
import_request_variables变量覆盖
- import_request_variables将GET、POST、Cookie中的变量导入到全局。第二个参数若没有指定,则默认覆盖到全局。
- import_request_variables('G')就是将GET请求的变量导入全局。
-
parse_str()
- parse_str()函数被用于解析URL的query string,但是当参数值能被用户控制时,很可能导致变量覆盖。
-
代码执行漏洞
- 危险函数popen(),system(),passthru(),exec()等都额可以直接执行系统命令。eval函数也可以执行PHP代码。
- 文件写入执行代码
- 其他代码执行方式
- 直接执行代码的函数
- 文件包含
- 本地文件写入
- preg_replace代码执行
- 第一个参数如果存在/e模式修饰符,则允许代码执行。
- 动态函数执行
- 用户自定义的动态函数可以导致代码执行,$a($b);
- create_function函数也具备此能力。
- curly syntax
- ${`ls
`}
- ${`ls
- 回调函数执行代码
- unserialize()导致代码执行
- unserialize()这个函数很常见,它能将序列化的数据重新映射为PHP变量。但是unserialize()在执行时如果定义了__destruct()函数,或者是__wakeup()函数,则这两个函数将执行。
-
定制安全的PHP环境。
网友评论