Exploitable PHP functions

Będziesz musiał skanować w poszukiwaniu include ($tmp) I require(HTTP_REFERER) oraz *_once. Jeśli skrypt exploita może zapisać do pliku tymczasowego, może to po prostu dołączyć później. Zasadniczo dwuetapowa ocena.

I możliwe jest nawet ukrycie zdalnego kodu za pomocą obejść takich jak:

 include("data:text/plain;base64,$_GET[code]");

Ponadto, jeśli twój serwer WWW został już skompromitowany, nie zawsze zobaczysz niezakodowane zło. Często powłoka exploita jest zakodowana w gzip. Pomyśl o include("zlib:script2.png.gz"); No eval tutaj, nadal ten sam efekt.

To nie jest odpowiedź per se, ale tutaj jest coś ciekawego:

$y = str_replace('z', 'e', 'zxzc');
$y("malicious code");

W tym samym duchu, call_user_func_array() mogą być używane do wykonywania zaciemnionych funkcji.

Dziwię się, że nikt nie wspomniał o echo i print jako o punktach wyzysku bezpieczeństwa.

Cross-Site Scripting (XSS) jest poważnym exploitem bezpieczeństwa, ponieważ jest jeszcze bardziej powszechny niż exploity związane z wykonywaniem kodu po stronie serwera.

Szczególnie chciałbym dodać unserialize () do tej listy. Ma długą historię różnych luk w zabezpieczeniach, w tym arbitralnego wykonywania kodu, odmowy usługi i wycieku informacji pamięci. Nigdy nie należy go wywoływać na danych dostarczonych przez użytkownika. Wiele z tych wulów zostało naprawionych w wydaniach w ciągu ostatnich lat rosy, ale nadal zachowuje kilka paskudnych wulów w obecnym czasie pisania.

Aby uzyskać inne informacje o podejrzanych funkcjach / użytkowaniu PHP, rozejrzyj się po utwardzonym PHP Projekt i jego porady. Również ostatni miesiąc bezpieczeństwa PHP i 2007 miesiąc błędów PHP projekty

Zauważ również, że z założenia unserializacja obiektu spowoduje uruchomienie funkcji konstruktora i destruktora; kolejny powód, aby nie wywoływać go na danych dostarczonych przez użytkownika.

Mój VPS jest ustawiony na wyłączanie następujących funkcji:

root@vps [~]# grep disable_functions /usr/local/lib/php.ini
disable_functions = dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

PHP ma wystarczająco dużo potencjalnie zniszczalnych funkcji, że Twoja lista może być zbyt duża dla grepa. Na przykład PHP ma chmod i chown, które mogą być używane do prostego dezaktywowania strony internetowej.

EDIT: być może warto zbudować skrypt bash, który wyszukuje plik dla tablicy funkcji pogrupowanych według zagrożeń( funkcje, które są złe, funkcje, które są gorsze, funkcje, które nigdy nie powinny być używane), a następnie obliczyć względność niebezpieczeństwa, jakie plik nakłada na procent. Następnie wypisz to do drzewa katalogu z procentami oznaczonymi obok KAŻDEGO pliku, jeśli jest większy niż próg, powiedzmy, 30% zagrożenia.

Należy również pamiętać o klasie "luk w zabezpieczeniach przerwań", które pozwalają odczytywać i zapisywać dowolne miejsca pamięci!

Wpływają one na funkcje takie jak trim(), rtrim(), ltrim(), explode(), strchr(), strstr(), substr(), chunk_split(), strtok(), addcslashes(), str_repeat() i inne. Jest to w dużej mierze, ale nie wyłącznie, ze względu na funkcję przekazywania czasu wywołania w języku, który jest przestarzały od 10 lat, ale nie jest wyłączony.

Aby uzyskać więcej informacji, patrz Stefan Esser ' s talk about interruption vulnerabilities and other lower-level issues at BlackHat USA 2009 Slides Papier

Ten artykuł / prezentacja pokazuje również, jak dl() może być użyte do wykonania dowolnego kodu systemowego.

Plattform-specyficzne, ale także teoretyczne wektory exec:

• dotnet_load ()
• new COM ("WScript.Shell")
• new Java ("java.lang.Runtime")
• event_new () - bardzo ostatecznie

I jest o wiele więcej metod maskowania:

• proc_open jest aliasem dla popen
• call_user_func_array ("exE".chr (99), array ("/usr/bin/damage", "--all"));
• file_put_contents("/cgi-bin/nextinvocation.cgi") && chmod(...)
• PharData:: setDefaultStub - jeszcze trochę pracy, aby sprawdzić kod w .phar files
• runkit_function_rename ("exec"," innocent_name") lub APD rename_function

Oprócz konstrukcji języka eval Istnieje jeszcze jedna funkcja, która umożliwia dowolne wykonywanie kodu: assert

assert('ex' . 'ec("kill --bill")');

Nie wspomniano o jednym źródle ciekawych exploitów. PHP pozwala ciągom zawierać 0x00 bajty. Podstawowe funkcje (libc) traktują to jako koniec łańcucha znaków.

Pozwala to na sytuacje, w których (źle zaimplementowane) sprawdzanie poprawności w PHP da się oszukać, np. w sytuacji takiej jak:

/// note: proof of principle code, don't use
$include = $_GET['file'];
if ( preg_match("/\\.php$/",$include) ) include($include);

Może to obejmować każdy plik-nie tylko te kończące się na .php - przez wywołanie script.php?file=somefile%00.php

Więc każda funkcja, która nie będzie posłuszna długości łańcucha PHP może prowadzić do wrażliwość.

A co z niebezpiecznymi elementami składni?

Zmienna "zmienna" ($$var) znajdzie zmienną w bieżącym zakresie o nazwie $var. Jeśli jest źle użyty, zdalny użytkownik może zmodyfikować lub odczytać dowolną zmienną w bieżącym zakresie. W zasadzie słabszy eval.

Ex: piszesz jakiś kod $$uservar = 1;, następnie zdalny użytkownik ustawia $uservar na "admin", powodując, że $admin zostanie ustawione na 1 w bieżącym zakresie.

Myślę, że nie będziesz w stanie znaleźć wszystkich możliwych exploitów, analizując swoje pliki źródłowe.

• Ponadto, jeśli są tu naprawdę świetne listy, możesz pominąć funkcję, która może być exploitet

• Nadal może być" ukryty " zły kod jak ten

$myEvilRegex = base64_decode ('Ly4qL2U=');

Preg_replace ($myEvilRegex, $_POST['code']);

• Można teraz powiedzieć, ja po prostu rozszerzyć mój skrypt pasujący również do tego

• Ale wtedy będziesz miał ten mayn "prawdopodobnie zły kod", który dodatkowo jest poza jego kontekstem

• Aby być (pseudo)bezpiecznym, powinieneś naprawdę napisać dobry kod i przeczytać cały istniejący kod samemu

Backtick Operator Backtick on PHP manual

Wiem, że move_uploaded_file zostało już wspomniane, ale przesyłanie plików w ogóle jest bardzo niebezpieczne. Sama obecność $_FILES powinna budzić pewne obawy.

Całkiem możliwe jest osadzenie kodu PHP w dowolnym pliku. Obrazy mogą być szczególnie narażone na komentarze tekstowe. Problem jest szczególnie kłopotliwy, jeśli kod akceptuje rozszerzenie Znalezione w danych $_FILES w takiej postaci, w jakiej jest.

Na przykład użytkownik może przesłać poprawny plik PNG z osadzonym kodem PHP jako " foo.php". Jeśli skrypt jest szczególnie naiwny, może faktycznie skopiować plik jako " / uploads / foo.php". Jeśli serwer jest skonfigurowany tak, aby umożliwić wykonywanie skryptów w katalogach wysyłania przez użytkownika (często tak jest i straszne niedopatrzenie), możesz natychmiast uruchomić dowolny dowolny kod PHP. (Nawet jeśli obraz jest zapisany jako .png, może być możliwe uzyskanie kodu do wykonania za pomocą innych wad bezpieczeństwa.)

A (niewyczerpująca) lista rzeczy do sprawdzenia przy przesyłaniu:

• upewnij się, aby przeanalizować zawartość, aby upewnić się, że upload jest typem, który twierdzi, że jest
• Zapisz plik ze znanym, bezpiecznym rozszerzeniem, które nigdy nie zostanie wykonane
• upewnij się, że PHP (i inne wykonanie kodu) jest wyłączone w katalogach wysyłania użytkowników

Dodajmy pcntl_signal i pcntl_alarm do listy.

Za pomocą tych funkcji możesz obejść dowolne ograniczenie set_time_limit utworzone w php.ini lub w skrypcie.

Ten skrypt na przykład będzie działał przez 10 sekund pomimo set_time_limit(1);

(kredyt dla Sebastiana Bergmannsa tweeti gist:

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}

Istnieje mnóstwo exploitów PHP, które można wyłączyć za pomocą ustawień w PHP.plik ini. Oczywistym przykładem jest register_globals, ale w zależności od ustawień może być również możliwe dołączanie lub otwieranie plików ze zdalnych maszyn przez HTTP, które mogą być wykorzystane, jeśli program używa zmiennych nazw plików dla którejkolwiek z funkcji include() lub obsługi plików.

PHP umożliwia również wywołanie funkcji zmiennej poprzez dodanie () na końcu nazwy zmiennej -- np $myvariable(); wywoła nazwę funkcji określoną przez zmienna. Jest to możliwe do wykorzystania; np. jeśli atakujący może uzyskać zmienną zawierającą słowo 'eval' i może kontrolować parametr, to może zrobić wszystko, co chce, nawet jeśli program nie zawiera funkcji eval ().

Te funkcje mogą również mieć nieprzyjemne skutki.

• str_repeat()
• unserialize()
• register_tick_function()
• register_shutdown_function()

Była dyskusja na ten temat security.stackexchange.com Ostatnio

Funkcje, które mogą być używane do dowolnego wykonywania kodu

Dobrze, że zmniejsza zakres trochę-ale ponieważ 'print' może być używany do wstrzykiwania javascript (i tym samym ukraść sesje itp) Jego nadal nieco arbitralne.

Nie jest listą funkcji, które powinny być umieszczone na czarnej liście lub w inny sposób niedozwolone. Raczej chciałbym mieć listę grep-able

To rozsądne podejście.

Rozważ jednak napisanie własnego parsera - wkrótce znajdziesz podejście oparte na grep, które wymyka się spod kontroli (awk byłby nieco lepszy). Wkrótce też zaczniesz żałować, że zaimplementowałeś białą listę!

Oprócz tych oczywistych, zalecałbym oznaczanie wszystkiego, co zawiera include argumentem czegoś innego niż literalny ciąg znaków. Uważaj też na _ _ autoload ().

Obawiam się, że moja odpowiedź może być zbyt negatywna, ale...

IMHO, każda pojedyncza funkcja i metoda może być używana do nikczemnych celów. Pomyśl o tym jak o efektach niefaryczności: zmienna zostaje przypisana do użytkownika lub zdalnego wejścia, zmienna jest używana w funkcji, wartość zwracana funkcji użyta we właściwości klasy, Właściwość klasy użyta w funkcji pliku, i tak dalej. Pamiętaj: sfałszowany adres IP lub atak man-in-the-middle może wykorzystać cały twój strona internetowa.

Najlepszym rozwiązaniem jest śledzenie od początku do końca każdego możliwego wejścia użytkownika lub zdalnego, zaczynając od $_SERVER, $_GET, $_POST, $_FILE, $_COOKIE, include(some remote file) (Jeśli allow_url_fopen jest włączony), wszystkie inne funkcje / klasy zajmujące się zdalnymi plikami itp. Programowo budujesz profil śledzenia stosu dla każdej wartości dostarczanej przez użytkownika lub zdalnie. Można to zrobić programowo, pobierając wszystkie powtarzające się instancje przypisanej zmiennej i funkcji lub metod, w których jest używana, a następnie rekurencyjnie kompilując lista wszystkich wystąpień tych funkcji / metod itd. Zbadaj go, aby upewnić się, że najpierw przejdzie przez odpowiednie funkcje filtrowania i walidacji względem wszystkich innych funkcji, których dotknie. Jest to oczywiście badanie manualne, w przeciwnym razie będziesz miał całkowitą liczbę przełączników case równą liczbie funkcji i metod w PHP (w tym zdefiniowanych przez użytkownika).

Alternatywnie dla obsługi tylko wejścia użytkownika, mieć statyczną klasę kontrolera zainicjowaną na początku wszystkie skrypty, które 1) waliduje i przechowuje wszystkie wartości wejściowe dostarczone przez użytkownika na białej liście dozwolonych celów; 2) usuwa źródło danych wejściowych (ie $_SERVER = null). Widzisz, jak to się robi Nazieskie.

Oto lista funkcji, które Mój dostawca wyłącza dla bezpieczeństwa cele:

• exec
• dl
• show_source
• apache_note
• apache_setenv
• closelog
• debugger_off
• debugger_on
• define_syslog_variables
• escapeshellarg
• escapeshellcmd
• ini_restore
• openlog
• passtru
• pclose
• pcntl_exec
• popen
• proc_close
• proc_get_status
• proc_nice
• proc_open
• proc_terminate
• shell_exec
• syslog
• system
• url_exec

Większość ataków w kodzie wykorzystuje wiele źródeł dostępu lub wiele kroków do ich wykonania. Szukałbym nie tylko kodu lub metody posiadającej złośliwy kod, ale wszystkich metod, funkcji wykonujących lub wywołujących go. Najlepsze zabezpieczenie obejmowałoby również kodowanie i walidację danych formularzy, gdy wchodzą i wychodzą.

Uważaj również na definiowanie zmiennych systemowych, które mogą być następnie wywołane z dowolnej funkcji lub metody w kodzie.

Kilka przepełnień bufora zostało wykrytych przy użyciu 4bit funkcje znaków interpretujące tekst. htmlentities() htmlspecialchars ()

Były na szczycie, dobrą obroną jest użycie mb_convert_encoding () do konwersji na single kodowanie przed interpretacją.

Możesz znaleźć stale aktualizowaną listę wrażliwych zlewozmywaków (exploitowalnych funkcji php) i ich parametrów w RIPS /config/sinks.php, statyczny analizator kodu źródłowego dla luk w aplikacjach PHP, który wykrywa również backdoory PHP.