对pikachu靶场进行代码审计,审计分析文件上传、命令执行漏洞,越权漏洞,sql注入,xxe漏洞
文件上传
client:
并未对后缀进行判断,只对大小做了验证
后端并未进行文件的类型校验,仅仅是生成了一个目录去保存上传的文件
同时对文件的保存路径暴露
MIME Type
只对mime进行了验证,很容易绕过,没使用白名单机制,过滤的不够严谨
getimagesize
对文件的类型和mime都进行了校验,但是还是可以执行,php的代码,可以上传图片马,使用文件包含一起梭哈。主要问题还是回显了upload的保存路径,这样前面生成的随机数毫无意义!
命令执行漏洞
ping远程执行漏洞
包含了header文件
header文件,并未有啥过滤,就是获取访问者的头信息等
判断是否有输入,并将传输进来的参数赋值给ip变量,判断当前电脑是什么类型,直接shell_exec执行了命令
未对$ip进行验证,就直接将变量拼接,不安全,同时调用shell_exec等函数也有极大的风险
eval远程代码执行漏洞
对用户的输入没有校验,而且使用了eval函数,攻击者可以直接使用system执行系统命令。因对用户的输入进行检查,同时少使用或者不使用eval函数。
越权漏洞
水平越权
先看login界面,使用了escape函数转义查询语句很安全,然后使用了session确定登录的人是谁。
看信息页面,第一个判断是否登录,第二个直接判断了username是否为空,但是此处并未使用session来确定用户的输入,导致了水平越权的漏洞。
垂直越权
和上面相同使用了,escape函数转义防sql注入,然后链接数据库判断是否有该用户,判断返回的level,进行登录
看admin登录界面,有对level的判断,要同时满足登录和level等于1才能进入,没有问题
看修改用户信息的页面,此处只判断了用户是否处于登录的界面,但是并没有判断用户的level是否等于1,造成垂直越权的漏洞。
同时我们还需要注意exit,如果对exit进行注释,即使有header的跳转但是程序并不会完结会继续执行
注意:此时我是未登录的状态,但是我依然会执行后面的if判断,此处需要注意,header只能跳转并不能结束代码执行。
sql注入
宽字节注入
先看一下escape函数,使用了mysqli_real_escape_string转义,转义规则如下
'
会被转义为\'
"
会被转义为\"
\
会被转义为\\
此处刚好可以使用gbk的编码方式绕过,主要的漏洞就是上图箭头,在转义后给客户端设置了gbk编码
其余的sql注入
剩下的都是直接拼接产生的漏洞,所使用的只是不同的闭合方式,此处就不在赘述
xxe漏洞
使用了simplexml_load_string函数,将 XML 字符串转换为 SimpleXMLElement 对象的函数。造成了外部xml的注入。可以使用libxml_disable_entity_loader(ture)禁止从外部加载xml实体
梳理php语言中 owasp top 10 安全漏洞常见的危险函数并记录函数的常见用法
命令执行危险函数
- system 执⾏命令并输出结果
- shell_exec
- passthru 和system一样
- exec 执⾏命令只可获取最后⼀⾏结果
- popen 执⾏命令并建⽴管道 返回⼀个指针 使⽤fread等函数操作指针进⾏读写
- proc_open 同 popen
- pcnti_exec 执⾏命令只返回是否发⽣错误
- mail linux底层的sendmail发送信息,通过 -X 指定log文件记录邮件流量,实际可以达到写文件的效果
例子
$to = '[email protected]';
$subject = 'Hello Alice!';
$message=‘<?php phhpinfo(); ?>’;
$headers = "CC: [email protected]";
$options = '-OQueueDirectory=/tmp -X/var/www/html/rce.php';
mail($to, $subject, $message, $headers, $options);
代码执行危险函数
- eval 将传⼊的参数内容作为PHP代码执⾏ eval 不是函数 是⼀种语法结构 不能当做函数动态调⽤
- assert 将传⼊的参数内容作为PHP代码执⾏ 版本在PHP7以下是函数PHP7及以上为语法结构
- preg_replace 当preg_replace使⽤/e修饰符且原字符串可控时时 有可能执⾏php代码
- call_user_func 把第⼀个参数作为回调函数调⽤需要两个参数都完全可控才可利⽤ 只能传⼊⼀个参数调⽤
- create_funtion 根据传递的参数创建匿名函 数,并为其返回唯⼀名称 利⽤需要第⼆个参数可控 且创建的函数被执⾏
- include 包含并运⾏指定⽂件 执⾏出错会抛出错误,但是会继续执行
- require 同include 执⾏出错会抛出警告
- include_once 同require 但会检查之前是否已经包含该⽂件 确保不重复包含
- require_once 同include 但会检查之前是否已经包含该⽂件 确保不重复包含
文件读取危险函数
- file_get_contents 读⼊⽂件返回字符串
- readfile 读取⼀个⽂件,并写⼊到输出缓冲
- fopen/fread/fgets/fgetss/fgetc/fgetcsv/fpassthru/fscanf 打开⽂件或者 URL读取⽂件流
- file 把整个⽂件读⼊⼀个数组中
- highlight_file 语法⾼亮⼀个⽂件
- parse_ini_file 读取并解析⼀个ini配置⽂件
- simplexml_load_file 读取⽂件作为XML⽂档解析
文件上传危险函数
- file_put_contents 将⼀个字符串写⼊⽂件
- move_uploaded_file 将上传的临时⽂件移动到新的位置
- rename 重命名⽂件/⽬录
- unlink 删除⽂件
- rmdir 删除⽬录
- extractTo 解压ZIP到⽬录
- simplexml_load_string 加载解析XML字符串 有可能存在XXE 漏洞
- simplexml_load_file 读取⽂件作为XML⽂档解析 有可能存在XXE 漏洞
- request()->file()->move()
- request()->file()->file() thinkphp文件