PHP Code Injection Analysis

为了方便自己以后的翻阅和查找,最近正在整理一些所学的内容。个人觉得只有将知识系统化和模块化才能更加有效的吸收和学习。接下来就先开始整理关于 PHP 代码注入的一些问题和知识点。

0x1 前言

为了方便自己以后的翻阅和查找,最近正在整理一些所学的内容。个人觉得只有将知识系统化和模块化才能更加有效的吸收和学习。接下来就先开始整理关于 PHP 代码注入的一些问题和知识点。

0x2 简述

代码的执行来自于缺乏严格的过滤或者用户控制数据的逃逸。在这里由于攻击者可以控制部分或者所有内容传递给这些未进行严格过滤的函数,从而导致提交的内容会被作为PHP代码执行。

0x3 PHP 代码注入&相关敏感函数

PHP 代码注入

在 PHP 中有一些函数

相关敏感函数:

1.png

eval 会把字符串作为 PHP 代码来执行

2.png

preg_replace执行一个正则的搜索和替换

3.png

/e 修正符使 preg_replace将 replacement 参数当做 PHP 代码【在适当的逆向引用和替换完之后】

assert:assert检查一个断言是否为 false

4.png

call_user_func: call_user_func把第一个参数作为回调函数调用

5.png

call_user_func_array:调用回调函数,并把一个数组参数作为回调函数的参数

6.png

create_function:增加一个匿名的函数【lamda-style】

7.png

还有很多这里就不一一列举具体请参考如下链接:
PHP代码执行漏洞总结

0x4 漏洞案例分析

接下来看看上述的函数都在哪些情况下会产生php代码注入

  • PHP eval

示例代码:

8.png

这里eval函数会将提交上来的值作为PHP 代码处理,例如我们提交phpinfo();那么可以看到他被成功执行了。

以bWAPP 中的php code injection 为例

10.png

当提交phpinfo();后, eval()函数会将其执行;同样也可以提交一段代码让其生成一个文件并写入内容。

利用代码:

11.png

12.png

看到回显,说明代码已经执行成功!

此时创建了一个名为test.php 的文件并写入了一个一句话木马,用菜刀链接后可以看到在站点的根目录下确实生成了一个test.php 的文件。

  • PHP eval绕过案例

示例代码

13.png

这里用addslashes()函数进行了过滤,但是提交的php 代码可以这样在双引号中被执行。

14.png

那么根据上面绕过过滤的方式我们就可以这样写入一句话代码了。

15.png

案例一

http://www.exploit-db.com/exploits/18565/ LotusCMS 3.0 eval() Remote Command Execution

影响版本:

LotusCMS version 3.0.3
LotusCMS version 3.0.5

漏洞描述:

在LotusCMS 的index.php 文件中调用router 构建函数,然后在lcms/core/lib/router.php 中page 这个参数被带入,由于未经任何过滤可以产生该漏洞。

16.png

17.png

案例演示:

18.png

19.png

既然有php 代码注入漏洞,只要是站点目录有写入的权限就可以写入一个一句话的马,利用代码如下:

20.png

执行后回到站点的根目录,会发现在根目录下生成了一个名为test.php 的文件

21.png

打开test.php 文件看一下,php 一句话的代码成功被写入!

22.png

  • PHP preg_replace ()

示例代码

23.png

当replacement 参数构成一个合理的php 代码字符串的时候,/e 修正符使preg_replace(),将replacement 参数当做php 代码执行。如下图所示,preg_replace()将replacement参数作为php 代码成功执行。

24.png

案例二
X7 Chat 2.0.5 preg_replace() PHP Code Execution

影响版本:X7 Chat version 2.0.5

漏洞描述:

漏洞的产生最终是由于/lib/message.php 下的第119 行的preg_replce()函数导致,这里引用了/e 修饰符,并且未经过严格过滤最终导致任意代码执行。
28.png

29.png

Metasploit 更新了漏洞利用模块,可以利用该模块演示一下被利用的场景

  • PHP create_function()

在php 中使用create_function()创建一个匿名函数(lambda-style),如果对参数未进行严格的过滤审查,攻击者可以通过提交特殊字符串给create_function()从而导致任意代码执行。

示例代码:

30.png

31.png

  • PHP unserialize()

示例代码:

32.png

提交语句:

 http://127.0.0.1/test/unserialize.php?test=O:7:”Example”:1:{s:3:”var”;s:10:”phpinfo();”;}

33.png

0x5 代码执行绕过

前面将一些常见的易造成PHP代码注入的函数介绍了一下。接下来将以web for pentester中的案例来演示一下,一些简单的php代码执行的绕过。
案例演示:

  • example1.php

示例代码:

34.png

解决方案:

查看代码我们可以看到,这里使用了反斜杠【】将echo后面的内容给转义了。这样做与加addslashes()函数进行过滤的意思是一样的。具体案例可以到这里学习【php4fun.sinaapp.com PHP挑战通关攻略】。但是我们可以通过${${ }}这样的方式绕过,从而继续执行代码。

提交语句:

http://target/codeexec/example1.php?name=${${phpinfo()}}

35.png

  • example2.php

示例代码:

36.png

解决方案:

我们看代码,造成造成代码注入的重点在被加红的区域也就是create_function()的不当使用,我们可以这样构造);}phpinfo();//,从而继续执行我们的命令。【这里解释一下);}是闭合了前面的代码,而//则是将后面的内容注释掉】

提交代码:

http://target/codeexec/example2.php?order=id);}phpinfo();//

37.png

  • example3.php

示例代码:

38.png

解决方案:

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

因此当满足了在语句的构造中有/e修正符,就有可能引起php代码注入的风险。可以如此构造:

new=system('date')&pattern=/lamer/e&base=Hello lamer

提交代码:

 http://target/codeexec/example3.php?new=system('date')&pattern=/lamer/e&base=Hello lamer

39.png

  • example4.php

示例代码:

40.png

解决方案:

如此构造即可:

hacker'.system('cat /etc/issue').'

提交代码:

http://target/codeexec/example4.php?name=hacker'.system('cat /etc/issue').'

41.png

0x6 代码防御

  • 尽量不要执行外部的应用程序和命令
  • 在使用诸如:eval、preg_replace、assert这些函数的时候,确定参数的内容,严格过滤危险参数。
  • 使用自定义的函数或者函数库来实现相关的需要命令功能

0x7 相关参考

代码审计典型语法结构
PHP代码执行漏洞总结
cn2.php.net
慎用preg_replace危险的/e修饰符(一句话后门常用)
Web攻防系列教程之浅析PHP命令注入攻击

标签: none

已有 4 条评论

  1. [...]PHP Code Injection Analysis[...]

  2. [...]PHP Code Injection Analysis[...]

  3. [...]PHP Code Injection Analysis[...]

  4. [...]PHP Code Injection Analysis[...]

添加新评论