php代码审计之弱类型引发的灾难

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a=’abc’那这个abc就会被php判断为字符串类型。但是弱类型方便是方便,但是带来的安全问题也是巨大的,很多的php安全漏洞都是因为它带来的。

本文是给做代码审计漏洞挖掘和渗透测试人员总结的一个思路,有不对的地方请多多指出。

这里主要是介绍如何通过利用弱类型来做php代码审计的漏洞挖掘。漏洞挖掘关键点肯定在变量上,因为变量可以承接外来参数和内部数据的交互工作,这是漏洞的起因,也是必要条件。如果外来参数是恶意代码,同时再因为使用了弱类型的函数或者比较运算符导致了恶意参数的数据进入了程序里比如数据库,就可能引发想象不到的破坏力。这里我介绍了三种可以导致恶意数据进入判断体里的函数和比较运算符,他们有共同的特点,就是和数据比较,然后把外来变量做自动类型转换,如果外来变量是恶意变量,利用一定的方法就可以绕过你想绕过的地方比如判断if条件,让恶意变量进入到条件体内,恶意变量如果在判断体内被代入到了数据库的增删改查操作中就可以引发sql注入等漏洞问题。

01第一个要介绍的是 is_numeric,它的功能是,判断参数是否为数字或者数字字符串,如果是则返回true,假返回false,它的弱类型问题是他支持十六进制0x格式,如何引发的安全问题让我们继续观看。

安全问题描述:is_numeric在做判断时候,如果攻击者把payload改成二进制0x..,is_numeric会先对十六进制做类型判断,十六进制被判断为数字型,为真,就进入了条件语句,如果再把这个代入进入sql语句进入mysql数据库,mysql数据库会对hex进行解析成字符串存入到数据库中,如果这个字段再被取出来二次利用,就可能因为二次注入漏洞.比如这样:

if(is_numeric($_GET['num']))

{

echo $_GET['num'];

echo “
”;

//假设这个插入进了mysql数据库,mysql数据库就会把十六进制转换成了字符串,这里为了方便用 Hex2String 函数代替

echo Hex2String($_GET['num']);

//输入http://127.0.01/equal.php?num=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

// 输出0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f2121272

//输出9999999999999 union all (select ‘Hello!!’)

}

function Hex2String($hex){

$string=”;

for ($i=0; $i < strlen($hex)-1; $i+=2){

$string .= chr(hexdec($hex[$i].$hex[$i+1]));

}

return $string;

}


可以看到,数据库存入的是 9999999999999 union all (select ‘Hello!!’) ,如果被取出来再输出没做过滤就会引发二次注入

防御方法:用intval函数获取变量整数值,对从数据库取出变量做过滤

上面的不理解,可以看一个案例分析:

这里有个例子:

图1.1

问题出现在if (!isset($_POST['id'], $_POST['vote']) || !is_numeric($_POST['id'])) 如果能绕过is_numeric,就可以执行mysql_query(“INSERT INTO vote VALUES ({$id}, {$vote}, ‘{$login}’)”); 注入sql语句。

999999999999 union all \(select ‘Hello!!’\)

转成 hex=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

我们提交的参数:

vote=1&submit=&id=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

图1.2

我们可以清楚的在图片里看到,我们插入的Hello!在其他查询位置被显示了出来,引发了二次注入漏洞问题。

02 第二个介绍的是比较运算符的安全隐患,比如 ==,!= ,同时还会介绍他们和恒等式和=== ,!==的区别和安全问题

函数功能:

==和!=是比较运算符号 不会检查条件式的表达式的类型

安全问题描述:php是弱类型,在做匹配和比较时候,会根据匹配的类型做类型转换,如果后面是整形,如$a==1,因为后面的1是整形,那前面gpc传进来就会转换成整形,转换规则是前面的数字不变后面字母被当成字符型舍去,也就是1a会变成1,判断为真进入判断体;如果这样$a==”1″,那么后面的就是字符串1,如果gpc传进来1a会发现为假,因为传进来的1a做类型转换成字符串后就是1a,字符串1a和字符串1不想等,所以为假,这时候要改成1才能进入判断体内;同样在进行加减乘除比较运算判断时候也会做自动类型转换,如果跟整形比较,1a会转换成1,跟字符串比较,a1就会转换成字符串a1,其他类型也一样。

如果你觉得这样很绕看不懂,那就简单说,如果和字符串做比较,就会转换成字符串,如果和整形做比较,就会自动转换成整形,只不过整形自动转换的时候php就是用的intval 函数导致1a为1。intval函数可以自查下,大致如:intval(“a”)=0; intval(12.3223)=12; intval(“12abc”)=12;

比如:


$a = $_GET['a'];

if ($a==1)

{

echo ‘vul->’.$a;

}

同样!=也会有这个问题,换成2就可以进到判断体内


$a = $_GET['a'];

if ($a!=1)

{

echo ‘vul->’.$a;

}

防范方法:用===和!==来做判断,他们是恒等计算符, 同时检查表达式的值与类型

跟数字有关的运算都可能引起弱类型漏洞,比如下面这个运算

但是这样也不完全可以,比如加减乘除运算符也会做类型转换

假如这样:


$a = $_GET['a'];

$b = $_GET['b'];

if($a+$b===2)

{

echo “vul->”.$a.”
”.$b;

}

所以最安全的防范是对gpc获取数字型的参数值进行intval强制类型转换或者过滤,再做判断


$a = intval($_GET['a']);

$b = intval($_GET['b']);

if($a+$b===2)

{

echo “vul->”.$a.”
”.$b;

}

03 第三个要就介绍的是in_array()函数

函数功能:判断一个值是否在数组中存在

安全问题描述:这个函数的弱类型问题是,判断的值在比较之前会做类型转换,同样是弱类型问题,比如in_array($_GET['id'],array(1,2,3,4,5)),如果我们传入 id=1’ union select… ,判断就会为真,因为id被转换成1,这时候假如我们再把$_GET['id']拼接到数据库语句中,就会引起sql注入漏 洞。

if(in_array($_GET['id'],array(1,2,3,4,5)))

{

echo $_GET['id'];

//输入http://127.0.01/equal.php?id=1′id

//输出: 1′id

}

防范方法:外来变量要做过滤,或者强制类型转换

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容