php代码审计之弱类型引发的灾难

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a=’abc’那这个abc就会被php判断为字符串类型。但是弱类型方便是方便,但是带来的安全问题也是巨大的,很多的php安全漏洞都是因为它带来的。

本文是给做代码审计漏洞挖掘和渗透测试人员总结的一个思路,有不对的地方请多多指出。

这里主要是介绍如何通过利用弱类型来做php代码审计的漏洞挖掘。漏洞挖掘关键点肯定在变量上,因为变量可以承接外来参数和内部数据的交互工作,这是漏洞的起因,也是必要条件。如果外来参数是恶意代码,同时再因为使用了弱类型的函数或者比较运算符导致了恶意参数的数据进入了程序里比如数据库,就可能引发想象不到的破坏力。这里我介绍了三种可以导致恶意数据进入判断体里的函数和比较运算符,他们有共同的特点,就是和数据比较,然后把外来变量做自动类型转换,如果外来变量是恶意变量,利用一定的方法就可以绕过你想绕过的地方比如判断if条件,让恶意变量进入到条件体内,恶意变量如果在判断体内被代入到了数据库的增删改查操作中就可以引发sql注入等漏洞问题。

01第一个要介绍的是 is_numeric,它的功能是,判断参数是否为数字或者数字字符串,如果是则返回true,假返回false,它的弱类型问题是他支持十六进制0x格式,如何引发的安全问题让我们继续观看。

安全问题描述:is_numeric在做判断时候,如果攻击者把payload改成二进制0x..,is_numeric会先对十六进制做类型判断,十六进制被判断为数字型,为真,就进入了条件语句,如果再把这个代入进入sql语句进入mysql数据库,mysql数据库会对hex进行解析成字符串存入到数据库中,如果这个字段再被取出来二次利用,就可能因为二次注入漏洞.比如这样:

if(is_numeric($_GET['num']))

{

echo $_GET['num'];

echo “</br>”;

//假设这个插入进了mysql数据库,mysql数据库就会把十六进制转换成了字符串,这里为了方便用 Hex2String 函数代替

echo Hex2String($_GET['num']);

//输入http://127.0.01/equal.php?num=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

// 输出0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f2121272

//输出9999999999999 union all (select ‘Hello!!’)

}

function Hex2String($hex){

$string=”;

for ($i=0; $i < strlen($hex)-1; $i+=2){

$string .= chr(hexdec($hex[$i].$hex[$i+1]));

}

return $string;

}

可以看到,数据库存入的是 9999999999999 union all (select ‘Hello!!’) ,如果被取出来再输出没做过滤就会引发二次注入

防御方法:用intval函数获取变量整数值,对从数据库取出变量做过滤

上面的不理解,可以看一个案例分析:

这里有个例子:

图1.1

问题出现在if (!isset($_POST['id'], $_POST['vote']) || !is_numeric($_POST['id'])) 如果能绕过is_numeric,就可以执行mysql_query(“INSERT INTO vote VALUES ({$id}, {$vote}, ‘{$login}’)”); 注入sql语句。

999999999999 union all \(select ‘Hello!!’\)

转成 hex=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

我们提交的参数:

vote=1&submit=&id=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

图1.2

我们可以清楚的在图片里看到,我们插入的Hello!在其他查询位置被显示了出来,引发了二次注入漏洞问题。

02 第二个介绍的是比较运算符的安全隐患,比如 ==,!= ,同时还会介绍他们和恒等式和=== ,!==的区别和安全问题

函数功能:

==和!=是比较运算符号 不会检查条件式的表达式的类型

安全问题描述:php是弱类型,在做匹配和比较时候,会根据匹配的类型做类型转换,如果后面是整形,如$a==1,因为后面的1是整形,那前面gpc传进来就会转换成整形,转换规则是前面的数字不变后面字母被当成字符型舍去,也就是1a会变成1,判断为真进入判断体;如果这样$a==”1″,那么后面的就是字符串1,如果gpc传进来1a会发现为假,因为传进来的1a做类型转换成字符串后就是1a,字符串1a和字符串1不想等,所以为假,这时候要改成1才能进入判断体内;同样在进行加减乘除比较运算判断时候也会做自动类型转换,如果跟整形比较,1a会转换成1,跟字符串比较,a1就会转换成字符串a1,其他类型也一样。

如果你觉得这样很绕看不懂,那就简单说,如果和字符串做比较,就会转换成字符串,如果和整形做比较,就会自动转换成整形,只不过整形自动转换的时候php就是用的intval 函数导致1a为1。intval函数可以自查下,大致如:intval(“a”)=0; intval(12.3223)=12; intval(“12abc”)=12;

比如:

<?php

$a = $_GET['a'];

if ($a==1)

{

echo ‘vul->’.$a;

}

同样!=也会有这个问题,换成2就可以进到判断体内

<?php

$a = $_GET['a'];

if ($a!=1)

{

echo ‘vul->’.$a;

}

防范方法:用===和!==来做判断,他们是恒等计算符, 同时检查表达式的值与类型

跟数字有关的运算都可能引起弱类型漏洞,比如下面这个运算

但是这样也不完全可以,比如加减乘除运算符也会做类型转换

假如这样:

<?php

$a = $_GET['a'];

$b = $_GET['b'];

if($a+$b===2)

{

echo “vul->”.$a.”</br>”.$b;

}

所以最安全的防范是对gpc获取数字型的参数值进行intval强制类型转换或者过滤,再做判断

<?php

$a = intval($_GET['a']);

$b = intval($_GET['b']);

if($a+$b===2)

{

echo “vul->”.$a.”</br>”.$b;

}

03 第三个要就介绍的是in_array()函数

函数功能:判断一个值是否在数组中存在

安全问题描述:这个函数的弱类型问题是,判断的值在比较之前会做类型转换,同样是弱类型问题,比如in_array($_GET['id'],array(1,2,3,4,5)),如果我们传入 id=1’ union select… ,判断就会为真,因为id被转换成1,这时候假如我们再把$_GET['id']拼接到数据库语句中,就会引起sql注入漏 洞。

if(in_array($_GET['id'],array(1,2,3,4,5)))

{

echo $_GET['id'];

//输入http://127.0.01/equal.php?id=1′id

//输出: 1′id

}

防范方法:外来变量要做过滤,或者强制类型转换

文章原作者:SecJack

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏java一日一条

Java初学者必知:Java语言的11大特点

Java是一种简单的,面向对象的,分布式的,解释型的,健壮安全的,结构中立的,可移植的,性能优异、多线程的静态语言。那么java语言的特点是什么呢?

9020
来自专栏技术栈大杂烩

Python: 受限制的 "函数调用"

函数功能简单明了, 对于结果, 大家应该也不会有太大的异议:func分别是取得全局命名空间中a的值和使用内置命名空间中的函数id获取了a的地址. 熟悉Pytho...

15930
来自专栏滕先生的博客

runtime官方文档翻译版本通过OC源代码通过NSObject中定义的方法直接调用运行时的函数消息传递机制使用隐藏参数获取方法地址动态方法解析动态加载消息转发转发和多继承代理对象转发和继承类型编码声

29670
来自专栏十月梦想

ES6语法基础之let用法

简单讲解一些ES6语法基础!了解一些es6新特性!当然下一步需要学习的vue框架也是基于es6的,因此很有必要学习下es6语法,接下来几次简单讲解es6语法!

11530
来自专栏杂烩

duubo分组聚合 原

除了官网上有这部分的简单介绍外,在别的地方几乎找到真正可行的测试了,这里自己捣鼓一下,已做备忘。

9010
来自专栏CSDN技术头条

JavaScript内存管理机制以及四种常见的内存泄漏解析

几个星期前,我们开始编写深入研究JavaScript工作原理的系列文章。通过阅读这些文章,你可以了解到JavaScript的构建块及其交互原理,从而能够编写出更...

206100
来自专栏java一日一条

8种常见的Java不规范代码

在工作上,我最近对一个现有的Java项目代码进行了清理。完成之后,我发现了一些反复出现的不规范代码。所以,我把它们整理成了一个列表出来分享给我的同行希望能引起注...

13230
来自专栏Petrichor的专栏

python: 下划线 使用

此时“_”、“__”、“___”、“____”等等作为临时性的名称使用。这样,当其他人阅读你的代码时将会知道,你分配了一个特定的名称,但是并不会在后面再次用到该...

24830
来自专栏chafezhou

小说python的类型提示(type hints)

大家都知道python是一门动态类型的语言,但作者Guido van Rossum在2014年创建PEP-484添加了类型提示,在python3.5的版本中正式...

11910
来自专栏Python

python常用模块

 python常用模块 什么是模块?    常见的场景:一个模块就是一个包含了python定义和声明的文件,文件名就是模块名字加上.py的后缀。    但其实i...

385110

扫码关注云+社区

领取腾讯云代金券