निष्प्राण PHP कार्य


277

मैं उन कार्यों की सूची बनाने की कोशिश कर रहा हूं जिनका उपयोग मनमाने कोड निष्पादन के लिए किया जा सकता है। इसका उद्देश्य उन कार्यों को सूचीबद्ध करना नहीं है जिन्हें ब्लैकलिस्ट किया जाना चाहिए या अन्यथा अस्वीकृत कर दिया जाना चाहिए। बल्कि, मैं बैक-डोर के लिए एक समझौता किए गए सर्वर को खोजते समय रेड-फ्लैग कीवर्ड की एक -योग्यgrep सूची को पसंद करना चाहूंगा ।

विचार यह है कि यदि आप एक बहु-उद्देशीय दुर्भावनापूर्ण PHP स्क्रिप्ट का निर्माण करना चाहते हैं - जैसे कि "वेब शेल" स्क्रिप्ट जैसे c99 या r57 - तो आपको अपेक्षाकृत छोटे कार्यों के एक या अधिक उपयोग करने होंगे। उपयोगकर्ता को मनमाने कोड निष्पादित करने की अनुमति देने के लिए फ़ाइल में कहीं। उन कार्यों के लिए खोज करने से आपको अधिक त्वरित रूप से उन दसियों PHP फ़ाइलों के हजारों के ढेर को संकुचित करने में मदद मिलती है, जो स्क्रिप्ट की एक अपेक्षाकृत छोटे सेट के लिए होती हैं, जिनमें करीबी परीक्षा की आवश्यकता होती है।

स्पष्ट रूप से, उदाहरण के लिए, निम्न में से कोई भी दुर्भावनापूर्ण (या भयानक कोडिंग) माना जाएगा:

<? eval($_GET['cmd']); ?>

<? system($_GET['cmd']); ?>

<? preg_replace('/.*/e',$_POST['code']); ?>

इत्यादि।

दूसरे दिन एक समझौता किए गए वेबसाइट के माध्यम से खोज करने पर, मुझे दुर्भावनापूर्ण कोड का एक टुकड़ा दिखाई नहीं दिया क्योंकि मुझे नहीं पता था preg_replaceकि /eध्वज के उपयोग से खतरनाक बनाया जा सकता है ( जो, गंभीरता से? क्यों ? वहां भी ?)। क्या कोई और है जो मुझे याद आया?

यहाँ मेरी अब तक की सूची है:

शैल एक्सक्यूट

  • system
  • exec
  • popen
  • backtick operator
  • pcntl_exec

PHP निष्पादन

  • eval
  • preg_replace( /eसंशोधक के साथ )
  • create_function
  • include[ _once] / require[ _once] ( शोषण विवरण के लिए मारियो का जवाब देखें)

यह उन कार्यों की एक सूची के लिए भी उपयोगी हो सकता है जो फ़ाइलों को संशोधित करने में सक्षम हैं, लेकिन मुझे लगता है कि 99% समय शोषण कोड में कम से कम एक फ़ंक्शन ऊपर होगा। लेकिन अगर आपके पास फ़ाइलों को संपादित करने या आउटपुट करने में सक्षम सभी कार्यों की एक सूची है, तो इसे पोस्ट करें और मैं इसे यहां शामिल करूंगा। (और मैं गिनती नहीं कर रहा हूं mysql_execute, क्योंकि यह शोषण के दूसरे वर्ग का हिस्सा है।)


43
एक विचार के रूप में, मैं निकट भविष्य में प्रकाशित उस सूची को देखना चाहूंगा, यदि संभव हो तो :)
योदा

16
@ योधा: प्रकाशित कहां? मैं सूची को यहाँ अद्यतन रखूँगा, क्योंकि SO सभी ज्ञान का स्रोत है।
टायलर

3
/eसंशोधक क्या करता है?
बिली ओपल

6
@ बिली: eसंशोधक को PHP कोड के रूप में मूल्यांकन करने के लिए प्रतिस्थापन स्ट्रिंग बनाता है।
nikc.org

1
यह कहा जाना चाहिए: regex में कोड निष्पादित कुछ पर्ल है और संभवतः पायथन भी करते हैं, न कि PHP के लिए कुछ विशेष। मैं विवरण नहीं जानता, यद्यपि।
एड्रियानो वरोली पियाजा

जवाबों:


205

इस सूची को बनाने के लिए मैंने 2 स्रोतों का उपयोग किया। एक अध्ययन स्कारलेट और RATS में । मैंने अपने खुद के कुछ मिश्रण भी जोड़े हैं और इस धागे पर लोगों ने मदद की है।

संपादित करें: इस सूची को पोस्ट करने के बाद मैंने RIPS के संस्थापक से संपर्क किया और अब तक यह उपकरण इस सूची में प्रत्येक फ़ंक्शन के उपयोग के लिए PHP कोड खोजता है।

इनमें से अधिकांश फ़ंक्शन कॉल को सिंक के रूप में वर्गीकृत किया गया है। जब एक दागी चर (जैसे $ _REQUEST) एक सिंक फ़ंक्शन को पारित किया जाता है, तो आपके पास एक भेद्यता है। RATS और RIPS जैसे प्रोग्राम एक अनुप्रयोग में सभी सिंक की पहचान करने के लिए कार्यक्षमता की तरह grep का उपयोग करते हैं। इसका मतलब है कि प्रोग्रामर को इन कार्यों का उपयोग करते समय अतिरिक्त सावधानी बरतनी चाहिए, लेकिन अगर वे सभी पर प्रतिबंध लगाते हैं तो आप बहुत कुछ नहीं कर पाएंगे।

" महान शक्ति के साथ बड़ी जिम्मेदारी आती है। "

- स्टैन ली

आदेश निष्पादन

exec           - Returns last line of commands output
passthru       - Passes commands output directly to the browser
system         - Passes commands output directly to the browser and returns last line
shell_exec     - Returns commands output
`` (backticks) - Same as shell_exec()
popen          - Opens read or write pipe to process of a command
proc_open      - Similar to popen() but greater degree of control
pcntl_exec     - Executes a program

PHP कोड निष्पादन

इसके अलावा evalPHP कोड को निष्पादित करने के अन्य तरीके हैं: include/ स्थानीय फ़ाइल शामिलrequire के रूप में दूरस्थ कोड निष्पादन के लिए उपयोग किया जा सकता है और दूरस्थ फ़ाइल में कमजोरियां शामिल हैं।

eval()
assert()  - identical to eval()
preg_replace('/.*/e',...) - /e does an eval() on the match
create_function()
include()
include_once()
require()
require_once()
$_GET['func_name']($_GET['argument']);
$func = new ReflectionFunction($_GET['func_name']); $func->invoke(); or $func->invokeArgs(array());

उन कार्यों की सूची जो कॉलबैक स्वीकार करते हैं

ये फ़ंक्शन एक स्ट्रिंग पैरामीटर को स्वीकार करते हैं जिसका उपयोग हमलावर की पसंद के फ़ंक्शन को कॉल करने के लिए किया जा सकता है। फ़ंक्शन के आधार पर हमलावर पैरामीटर पारित करने की क्षमता हो सकता है या नहीं हो सकता है। उस स्थिति में एक Information Disclosureफ़ंक्शन का phpinfo()उपयोग किया जा सकता है।

Function                     => Position of callback arguments
'ob_start'                   =>  0,
'array_diff_uassoc'          => -1,
'array_diff_ukey'            => -1,
'array_filter'               =>  1,
'array_intersect_uassoc'     => -1,
'array_intersect_ukey'       => -1,
'array_map'                  =>  0,
'array_reduce'               =>  1,
'array_udiff_assoc'          => -1,
'array_udiff_uassoc'         => array(-1, -2),
'array_udiff'                => -1,
'array_uintersect_assoc'     => -1,
'array_uintersect_uassoc'    => array(-1, -2),
'array_uintersect'           => -1,
'array_walk_recursive'       =>  1,
'array_walk'                 =>  1,
'assert_options'             =>  1,
'uasort'                     =>  1,
'uksort'                     =>  1,
'usort'                      =>  1,
'preg_replace_callback'      =>  1,
'spl_autoload_register'      =>  0,
'iterator_apply'             =>  1,
'call_user_func'             =>  0,
'call_user_func_array'       =>  0,
'register_shutdown_function' =>  0,
'register_tick_function'     =>  0,
'set_error_handler'          =>  0,
'set_exception_handler'      =>  0,
'session_set_save_handler'   => array(0, 1, 2, 3, 4, 5),
'sqlite_create_aggregate'    => array(2, 3),
'sqlite_create_function'     =>  2,

जानकारी प्रकटीकरण

इनमें से अधिकांश फ़ंक्शन कॉल सिंक नहीं हैं। लेकिन यह शायद एक भेद्यता है अगर लौटाए गए किसी भी डेटा को एक हमलावर के लिए देखा जा सकता है। यदि कोई हमलावर देख phpinfo()सकता है तो यह निश्चित रूप से एक भेद्यता है।

phpinfo
posix_mkfifo
posix_getlogin
posix_ttyname
getenv
get_current_user
proc_get_status
get_cfg_var
disk_free_space
disk_total_space
diskfreespace
getcwd
getlastmo
getmygid
getmyinode
getmypid
getmyuid

अन्य

extract - Opens the door for register_globals attacks (see study in scarlet).
parse_str -  works like extract if only one argument is given.  
putenv
ini_set
mail - has CRLF injection in the 3rd parameter, opens the door for spam. 
header - on old systems CRLF injection could be used for xss or other purposes, now it is still a problem if they do a header("location: ..."); and they do not die();. The script keeps executing after a call to header(), and will still print output normally. This is nasty if you are trying to protect an administrative area. 
proc_nice
proc_terminate
proc_close
pfsockopen
fsockopen
apache_child_terminate
posix_kill
posix_mkfifo
posix_setpgid
posix_setsid
posix_setuid

फाइलसिस्टम कार्य

RATS के अनुसार php में सभी फाइल सिस्टम फंक्शनल होते हैं। इनमें से कुछ हमलावर के लिए बहुत उपयोगी नहीं लगते हैं। अन्य आपके विचार से अधिक उपयोगी हैं। उदाहरण के लिए यदि allow_url_fopen=Onतब एक url का उपयोग फ़ाइल पथ के रूप में किया जा सकता है, तो copy($_GET['s'], $_GET['d']);सिस्टम पर कहीं भी PHP स्क्रिप्ट अपलोड करने के लिए कॉल का उपयोग किया जा सकता है। इसके अलावा, यदि कोई साइट GET के माध्यम से अनुरोध भेजने के लिए असुरक्षित है, तो उन सभी फ़ाइल सिस्टम फ़ंक्शंस को चैनल के साथ दुर्व्यवहार किया जा सकता है और आपके सर्वर के माध्यम से दूसरे होस्ट पर हमला किया जा सकता है।

// open filesystem handler
fopen
tmpfile
bzopen
gzopen
SplFileObject->__construct
// write to filesystem (partially in combination with reading)
chgrp
chmod
chown
copy
file_put_contents
lchgrp
lchown
link
mkdir
move_uploaded_file
rename
rmdir
symlink
tempnam
touch
unlink
imagepng   - 2nd parameter is a path.
imagewbmp  - 2nd parameter is a path. 
image2wbmp - 2nd parameter is a path. 
imagejpeg  - 2nd parameter is a path.
imagexbm   - 2nd parameter is a path.
imagegif   - 2nd parameter is a path.
imagegd    - 2nd parameter is a path.
imagegd2   - 2nd parameter is a path.
iptcembed
ftp_get
ftp_nb_get
// read from filesystem
file_exists
file_get_contents
file
fileatime
filectime
filegroup
fileinode
filemtime
fileowner
fileperms
filesize
filetype
glob
is_dir
is_executable
is_file
is_link
is_readable
is_uploaded_file
is_writable
is_writeable
linkinfo
lstat
parse_ini_file
pathinfo
readfile
readlink
realpath
stat
gzfile
readgzfile
getimagesize
imagecreatefromgif
imagecreatefromjpeg
imagecreatefrompng
imagecreatefromwbmp
imagecreatefromxbm
imagecreatefromxpm
ftp_put
ftp_nb_put
exif_read_data
read_exif_data
exif_thumbnail
exif_imagetype
hash_file
hash_hmac_file
hash_update_file
md5_file
sha1_file
highlight_file
show_source
php_strip_whitespace
get_meta_tags

37
@whatnick वास्तव में मुझे PHP और अन्य वेब एप्लिकेशन भाषाओं के बीच एक प्रशंसनीय अंतर नहीं दिखता है। दिन के अंत में प्रोग्रामर को eval()कोड की क्षमता की आवश्यकता होती है, सिस्टम कमांड निष्पादित करने, डेटाबेस तक पहुंचने और फाइलों को पढ़ने / लिखने के लिए। यह कोड एक हमलावर से प्रभावित हो सकता है, और यह एक भेद्यता है।
बदमाश

8
इतने सारे कार्यों पर प्रतिबंध लगा दिया! क्या आप किसी भी तरह से मेरी वेबसाइट के होस्ट हैं?
रैंडी द देव

2
@ और दून हाहा, नहीं। यदि आप इन सभी कार्यों पर प्रतिबंध लगाते हैं तो कोई PHP अनुप्रयोग काम नहीं करेगा। विशेष रूप से शामिल (), आवश्यकता (), और फ़ाइल सिस्टम फ़ंक्शन।
बदमाश

2
@ देखें: मेरे विचार बिल्कुल लेकिन ये संभावित समस्याओं के लिए हैं, निश्चित नहीं हैं। यदि सही तरीके से उपयोग किया जाता है, तो इनमें से कोई भी तत्काल खतरा पैदा नहीं करता है; लेकिन अगर उन्हें टाला जा सकता है तो उन्हें होना चाहिए।
Geekster

3
Imho के preg_matchसाथ eकोई नुकसान नहीं है। मैनुअल का कहना है "केवल preg_replace () इस संशोधक का उपयोग करता है; इसे अन्य पीसीआरई कार्यों द्वारा अनदेखा किया जाता है।"
NikiC

59

आपको शामिल करने के लिए स्कैन करना होगा ($ tmp) और आवश्यकता है (HTTP_REFERER) और * _once भी। यदि कोई शोषण स्क्रिप्ट एक अस्थायी फ़ाइल में लिख सकती है, तो वह बाद में इसमें शामिल हो सकती है। मूल रूप से एक दो कदम eval।

और वर्कअराउंड के साथ रिमोट कोड छिपाना भी संभव है:

 include("data:text/plain;base64,$_GET[code]");

इसके अलावा, यदि आपका वेबसर्वर पहले से ही समझौता कर चुका है, तो आप हमेशा अनिर्धारित बुराई नहीं देखेंगे। अक्सर शोषण खोल gzip-encoded है। include("zlib:script2.png.gz");यहाँ कोई भी निष्कासन के बारे में सोचो , अभी भी एक ही प्रभाव है।


1
PHP कैसे कॉन्फ़िगर किया गया है, इसके आधार पर, वास्तव में मनमाने यूआरएल से कोड शामिल कर सकते हैं। कुछ इस तरह शामिल हैं " example.com/code.phps "; मैंने एक समझौता करने वाली वेबसाइट देखी, जो उस सुविधा और register_globals के संयोजन का उपयोग करके टूट गई थी।
कालाअरा

@BlackAura कैसे regiser_globals हमले में फिट हुआ? क्या यह कुछ ऐसा है जिसे $_GET[xyz]विरोध के रूप में इस्तेमाल करके आसानी से उतारा जा सकता है $xyz? या उसमें कुछ गहरा था?
टायलर

मुझे यकीन नहीं है कि ऐसा क्यों किया गया था, लेकिन वेबसाइट इस तरह से काम कर रही थी: इसमें शामिल हैं ($ उपसर्ग। '/filename.php'); मुझे लगता है कि यह विचार था कि आप कॉन्फ़िगरेशन फ़ाइल में $ उपसर्ग चर सेट करके वेब कोड के बाहर कोर कोड को स्थानांतरित कर सकते हैं। यदि हमलावर उस मूल्य को " example.com/code.phps ?" की तरह सेट करता है , तो PHP में उस दूरस्थ फ़ाइल को शामिल किया जाएगा। जैसा कि मैं बता सकता हूं, एक 'बॉट वास्तव में एक सामान्य कारनामे का उपयोग करने में कामयाब रहा। जाहिर है, बहुत सारे पुराने PHP कोड ने वह गलती की। मूल रूप से, कभी भी किसी भी उपयोगकर्ता-सबमिट किए गए मान को शामिल विवरण के पास न दें।
कालाअरा

मुझे लगता है कि आप इसे फ़ाइल नाम में ":" शामिल करने के लिए इसे सामान्य कर सकते हैं ... सिवाय इसके कि फ़ाइल नाम एक चर हो सकता है, जिससे यह मुश्किल हो सकता grepहै। PHP - क्या आपदा है।
tylerl

2
includeकोष्ठक की आवश्यकता नहीं है; include "…"पर्याप्त होता।
गुमबो

48

यह प्रति उत्तर नहीं है, लेकिन यहां कुछ दिलचस्प है:

$y = str_replace('z', 'e', 'zxzc');
$y("malicious code");

एक ही भावना में, call_user_func_array()मोटे कार्यों को निष्पादित करने के लिए इस्तेमाल किया जा सकता है।


1
और इस कोड को निष्पादित किए बिना इसे खोजने का कोई तरीका नहीं है :( स्टेटिक विश्लेषण यहां मदद नहीं करेगा।
NikiC

15
@tylerl: ... या कोई अन्य भाषा?
हेंनिबल लेक्टर

@ श्री हनीबल लेक्टर: भी संकलित भाषाएं?
पोंकडूडल

3
@Wallacoloo: संकलित भाषा CGI बैकडोर को छुपाना और भी आसान है क्योंकि बाइनरी के लिए grep में कोई आसान टेक्स्ट स्ट्रिंग्स नहीं हैं।
इरिडिन

2
अच्छा .. मैंने $ f = 'ev' के साथ कोशिश की। 'al'; $ f ($ _ पोस्ट [ 'ग']); लेकिन तब से काम नहीं किया जब से 'eval' एक फंक्शन नहीं है, लेकिन इसमें शामिल एक विशेष निर्माण जैसे, गूंज, आदि -> दिलचस्प है कि निष्पादन () नहीं है और इसलिए यह काम नहीं करेगा ..
redShadow

20

मैं हैरान हूँ कि कोई भी उल्लेख किया गया है echoऔर printसुरक्षा शोषण के अंक के रूप में।

क्रॉस-साइट स्क्रिप्टिंग (XSS) एक गंभीर सुरक्षा शोषण है, क्योंकि यह सर्वर-साइड कोड निष्पादन कारनामों से भी अधिक सामान्य है।


यह एक वेक्टर होगा जो क्लाइंट को प्रभावित करेगा, न कि तकनीकी रूप से।
डेमियनब

@ कदंब: यदि कोई साइट अजाक्स का उपयोग करती है, और मैं किसी भी उपयोगकर्ता के सत्र में मनमाने ढंग से जावास्क्रिप्ट का मूल्यांकन कर सकता हूं, तो मैं सर्वर पर बहुत सारे शरारत पैदा कर सकता हूं।
बिल कार्विन

"सर्वर पर" .... जुड़े ग्राहकों के लिए; यह सर्वर बैकएंड को प्रभावित नहीं करता है। यह क्लाइंट-साइड कारनामों के अंतर्गत आता है, जैसे कि कर्सरजैकिंग, सीएसआरएफ, हेडर इंजेक्शन, और इसी तरह। यह खतरनाक है, हाँ, लेकिन यह पूरी तरह से एक अलग वर्गीकरण के अंतर्गत आता है।
डेमियनब

19

मैं विशेष रूप से इस सूची में अस्वाभाविक () जोड़ना चाहता हूँ। इसमें विभिन्न कमजोरियों का एक लंबा इतिहास रहा है जिसमें मनमाना कोड निष्पादन, सेवा से वंचित करना और स्मृति सूचना रिसाव शामिल हैं। इसे उपयोगकर्ता द्वारा आपूर्ति किए गए डेटा पर कभी नहीं बुलाया जाना चाहिए। इनमें से कई vuls पिछले ओस वर्षों में रिलीज में तय किए गए हैं, लेकिन यह अभी भी लेखन के वर्तमान समय में कुछ बुरा vuls बनाए रखता है।

डोडी php फ़ंक्शंस / उपयोग के बारे में अन्य जानकारी के लिए हार्डड पीएचपी प्रोजेक्ट और उसके सलाहकारों के आसपास देखें। इसके अलावा PHP सुरक्षा के हाल के महीने और PHP कीड़े परियोजनाओं के 2007 के महीने

यह भी ध्यान दें कि, डिजाइन द्वारा, एक वस्तु को अनसुना करने से निर्माणकर्ता और विध्वंसक कार्यों को निष्पादित करने का कारण होगा; उपयोगकर्ता द्वारा आपूर्ति किए गए डेटा पर इसे कॉल न करने का एक और कारण।


मैं गैर-कानूनी मुद्दे के बारे में अधिक सुनने के लिए इच्छुक हूं। क्या यह कार्यान्वयन में सिर्फ एक बग है, या यह डिजाइन में एक दोष है (यानी तय नहीं किया जा सकता है)? क्या आप मुझे उस मुद्दे के बारे में अधिक जानकारी विशेष रूप से बता सकते हैं?
टायलर

मनमाने कोड निष्पादन और स्मृति सूचना रिसाव के लिए स्टीफन की सलाह php-security.org/2010/06/25/…
Cheekysoft

हाल ही में 5.2.14 रिलीज़ ने असेरिशियल () cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2225 php.net/ChangeLog-5.php#5.2
चेकिसॉफ्ट

17

मेरा VPS निम्न कार्यों को अक्षम करने के लिए सेट है:

root@vps [~]# grep disable_functions /usr/local/lib/php.ini
disable_functions = dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

PHP के पास संभावित रूप से विनाशकारी कार्य हैं जिनकी सूची के लिए आपकी सूची बहुत बड़ी हो सकती है। उदाहरण के लिए, PHP में chmod और chown है, जिसका उपयोग केवल एक वेबसाइट को निष्क्रिय करने के लिए किया जा सकता है।

संपादित करें: शायद आप एक बश लिपि का निर्माण कर सकते हैं, जो खतरे से जुड़े कार्यों की एक सरणी के लिए एक फ़ाइल की खोज करती है (फ़ंक्शंस जो खराब हैं, फ़ंक्शंस जो बदतर हैं, फ़ंक्शंस जिनका उपयोग कभी नहीं किया जाना चाहिए), और फिर खतरे की सापेक्षता की गणना करें वह फ़ाइल प्रतिशत में लाती है। इसके बाद डायरेक्टरी के एक पेड़ पर आउटपुट करें, जो प्रत्येक फ़ाइल के आगे टैग किए गए प्रतिशत के साथ, अगर 30% खतरे की सीमा से अधिक हो।


आप संकलन समय पर "--disable-posix" ध्वज सेट कर सकते हैं और उन सभी पॉज़िक्स फ़ंक्शन को disable_functions से निकाल सकते हैं।
पिक्सेल डेवलपर

15

"रुकावट भेद्यताओं" के वर्ग से भी अवगत रहें जो मनमाने ढंग से स्मृति स्थानों को पढ़ने और लिखने की अनुमति देता है!

ये ट्रिम (), rtrim (), ltrim (), विस्फोट (), strstrr (), पदार्थ (), chunk_split (), strtok (), addcslashes (), str_repeat () और अधिक जैसे कार्यों को प्रभावित करते हैं। । यह मोटे तौर पर है, लेकिन विशेष रूप से नहीं, भाषा के कॉल-टाइम पास-बाय-रेफरेंस फ़ीचर के कारण, जो कि 10 वर्षों से पदावनत है लेकिन अक्षम नहीं है।

अधिक जानकारी फोर, ब्लैकहैट संयुक्त राज्य अमेरिका 2009 में रुकावट कमजोरियों और अन्य निचले स्तर पीएचपी मुद्दों के बारे में स्टीफन एसर की बात को देखने के स्लाइड कागज

यह कागज / प्रस्तुति यह भी दिखाती है कि कैसे मनमाने ढंग से सिस्टम कोड को निष्पादित करने के लिए dl () का उपयोग किया जा सकता है।


1
आउच। खैर, मैंने वास्तव में सोचा था कि उन स्लाइड्स पर एक नज़र डालने से पहले PHP कुछ हद तक सुरक्षित था ...
NikiC

14

प्लैटफॉर्म-विशिष्ट, लेकिन सैद्धांतिक निष्पादन वाले वैक्टर:

  • dotnet_load ()
  • नया COM ("WScript.Shell")
  • नया जावा ("java.lang.Runtime")
  • event_new () - बहुत अंततः

और कई और भ्रामक तरीके हैं:

  • proc_open पॉपेन के लिए एक उपनाम है
  • call_user_func_array ("exE" .chr (99), सरणी ("/ usr / बिन / क्षति", "--all"));
  • file_put_contents ("/ cgi-bin / nextinvocation.cgi") && chmod (...)
  • PharData :: setDefaultStub - .phar फ़ाइलों में कोड की जांच करने के लिए कुछ और काम
  • runkit_function_rename ("निष्पादित", "निर्दोष_नाम") या APD का नाम बदलें_function

उस दूसरी सूची में भी call_user_func ()
Cheekysoft

1
एक उत्तर पर्याप्त है;) आपको इसे अपने पिछले वाले पर जोड़ना चाहिए।
जस्टिन जॉनसन

13

evalभाषा निर्माण के अलावा एक और कार्य है जो मनमाने कोड निष्पादन की अनुमति देता है:assert

assert('ex' . 'ec("kill --bill")');

10

दिलचस्प कारनामों के एक स्रोत का उल्लेख नहीं किया गया है। PHP स्ट्रिंग्स को 0x00बाइट्स की अनुमति देता है। अंडररेलिंग (libc) फ़ंक्शन इसे एक स्ट्रिंग के अंत के रूप में मानते हैं।

यह उन परिस्थितियों के लिए अनुमति देता है जहां (खराब तरीके से कार्यान्वित) PHP में स्वच्छता-जांच को मूर्ख बनाया जा सकता है, जैसे कि स्थिति में:

/// note: proof of principle code, don't use
$include = $_GET['file'];
if ( preg_match("/\\.php$/",$include) ) include($include);

इसमें किसी भी फ़ाइल को शामिल किया जा सकता है - न कि केवल .phpकॉलिंग द्वारा समाप्त होने वाले लोगों कोscript.php?file=somefile%00.php

तो कोई भी फ़ंक्शन जो PHP की स्ट्रिंग लंबाई का पालन नहीं करेगा, वह कुछ भेद्यता का कारण बन सकता है।


नल के साथ फ़ाइल पथ 5.4 और नवीनतम 5.3 संस्करणों में अब अनुमति नहीं दी जाएगी।
StasM

@stasM यह सबसे अच्छी चीजों में से एक है जिसे मैंने थोड़ी देर में PHP के बारे में सुना है। साझा करने के लिए धन्यवाद।
विलियम

9

खतरनाक सिंटैक्टिक तत्वों के बारे में क्या?

" वैरिएबल वैरिएबल " ( $$var) $ वर्जन के नाम से करंट स्कोप में वैरिएबल मिलेगा। यदि गलत उपयोग किया जाता है, तो दूरस्थ उपयोगकर्ता वर्तमान चर में किसी भी चर को संशोधित या पढ़ सकता है। मूल रूप से एक कमजोर eval

Ex: आप कुछ कोड लिखते हैं $$uservar = 1;, फिर दूरस्थ उपयोगकर्ता $uservar"व्यवस्थापक" पर सेट होता है, जिससे वर्तमान दायरे में $adminसेट किया जा सकता है 1


मैं देख रहा हूं कि आपका क्या मतलब है, लेकिन यह शोषण के एक अलग वर्ग की तरह दिखता है। क्या कोई तरीका है कि आप इस तंत्र के साथ मनमाने ढंग से PHP कोड निष्पादित कर सकते हैं (उपरोक्त कार्यों में से किसी का उपयोग किए बिना)? या केवल परिवर्तनशील सामग्री के लिए इसका दुरुपयोग किया जा सकता है? अगर मुझे कुछ याद आ रहा है, तो मैं इसे ठीक करना चाहता हूं।
टायलर

6
आप चर कार्यों का भी उपयोग कर सकते हैं जो स्क्रिप्ट का मूल्यांकन किए बिना काम करना असंभव होगा। उदाहरण के लिए $innocentFunc = 'exec'; $innocentFunc('activate skynet');:।
एरिस्कोप

इसके अलावा प्रतिबिंब के लिए बाहर देखो।
एरिस्कोप

6

मुझे लगता है कि आप वास्तव में अपने स्रोत फ़ाइलों को पार्स करके सभी संभावित कारनामों को खोजने में सक्षम नहीं होंगे।

  • यहां तक ​​कि अगर वास्तव में महान सूचियां यहां उपलब्ध कराई गई हैं, तो आप एक फ़ंक्शन को याद कर सकते हैं जो शोषण हो सकता है

  • वहाँ अभी भी इस तरह "छिपा" बुराई कोड हो सकता है

$ myEvilRegex = base64_decode ('Ly4qL2U =');

preg_replace ($ myEvilRegex, $ _POST ['कोड']);

  • अब आप कह सकते हैं, मैं बस अपनी स्क्रिप्ट का विस्तार करने के लिए यह भी मैच

  • लेकिन फिर आपके पास वह माया "संभवतः दुष्ट कोड" होगा जो इसके अतिरिक्त संदर्भ से बाहर है

  • इसलिए (छद्म-) सुरक्षित होने के लिए, आपको वास्तव में अच्छा कोड लिखना चाहिए और सभी मौजूदा कोड स्वयं पढ़ना चाहिए


मैंने देखा है Base64_decode () वर्डप्रेस-आधारित मैलवेयर में अक्सर बुराई के लिए उपयोग किया जाता है। सूची में अच्छा जोड़।
क्रिस एलन लेन


5

मुझे पता move_uploaded_fileहै कि उल्लेख किया गया है, लेकिन सामान्य रूप से फ़ाइल अपलोड करना बहुत खतरनाक है। बस उपस्थिति को $_FILESकुछ चिंता पैदा करनी चाहिए।

PHP कोड को किसी भी प्रकार की फ़ाइल में एम्बेड करना काफी संभव है। चित्र विशेष रूप से पाठ टिप्पणियों के साथ असुरक्षित हो सकते हैं। यदि कोड $_FILESडेटा के रूप में पाया गया एक्सटेंशन स्वीकार करता है तो समस्या विशेष रूप से परेशानी है।

उदाहरण के लिए, एक उपयोगकर्ता एक वैध PNG फ़ाइल को एम्बेडेड PHP कोड के साथ "foo.php" के रूप में अपलोड कर सकता है। यदि स्क्रिप्ट विशेष रूप से अनुभवहीन है, तो यह वास्तव में फ़ाइल को "/uploads/foo.php" के रूप में कॉपी कर सकती है। यदि सर्वर को उपयोगकर्ता अपलोड निर्देशिकाओं में स्क्रिप्ट निष्पादन की अनुमति देने के लिए कॉन्फ़िगर किया गया है (अक्सर मामला, और एक भयानक दृष्टि), तो आप तुरंत किसी भी मनमाने ढंग से PHP कोड चला सकते हैं। (भले ही छवि को .png के रूप में सहेजा गया हो, कोड को अन्य सुरक्षा खामियों के माध्यम से निष्पादित करना संभव हो सकता है।)

अपलोड पर जाँच करने के लिए चीजों की सूची

  • यह सुनिश्चित करने के लिए सामग्री का विश्लेषण करना सुनिश्चित करें कि अपलोड वह प्रकार है जो वह होने का दावा करता है
  • फ़ाइल को एक ज्ञात, सुरक्षित फ़ाइल एक्सटेंशन के साथ सहेजें, जिसे कभी भी निष्पादित नहीं किया जाएगा
  • सुनिश्चित करें कि PHP (और कोई भी कोड निष्पादन) उपयोगकर्ता अपलोड निर्देशिकाओं में अक्षम है

5

आइए pcntl_signalऔर pcntl_alarmसूची में जोड़ें ।

उन कार्यों की मदद से आप php.ini या स्क्रिप्ट में बनाए गए किसी भी set_time_limit प्रतिबंध के आसपास काम कर सकते हैं।

उदाहरण के लिए यह स्क्रिप्ट 10 सेकंड के लिए चलेगी set_time_limit(1);

(क्रेडिट सेबस्टियन बर्गमान्स के ट्वीट और जिस्ट में जाता है :

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}

4

PHP के कारनामों का भार है जो PHP.ini फ़ाइल में सेटिंग्स द्वारा अक्षम किया जा सकता है। स्पष्ट उदाहरण register_globals है, लेकिन सेटिंग्स के आधार पर इसे HTTP के माध्यम से दूरस्थ मशीनों से फ़ाइलों को शामिल करना या खोलना भी संभव हो सकता है, अगर किसी प्रोग्राम में इसके किसी भी शामिल (या) फ़ाइल हैंडलिंग फ़ंक्शंस के लिए चर फ़ाइलनाम का उपयोग किया जाता है तो इसका फायदा उठाया जा सकता है।

PHP एक चर नाम के अंत में () जोड़कर चर फ़ंक्शन कॉलिंग की अनुमति देता है - जैसे $myvariable();चर द्वारा निर्दिष्ट फ़ंक्शन नाम को कॉल करेगा। यह शोषक है; उदाहरण के लिए, यदि किसी हमलावर को 'eval' शब्द रखने के लिए वैरिएबल मिल सकता है, और पैरामीटर को नियंत्रित कर सकता है, तो वह कुछ भी कर सकता है, भले ही प्रोग्राम में वास्तव में eval () फ़ंक्शन शामिल नहीं है।


4

इन कार्यों में कुछ बुरा प्रभाव भी हो सकता है।

  • str_repeat()
  • unserialize()
  • register_tick_function()
  • register_shutdown_function()

पहले दो सभी उपलब्ध स्मृति को समाप्त कर सकते हैं और बाद वाले थकावट को दूर रखते हैं ...


2

इस पर हाल ही में security.stackexchange.com पर कुछ चर्चा हुई

ऐसे कार्य जिनका उपयोग मनमाने कोड निष्पादन के लिए किया जा सकता है

खैर, जो कि गुंजाइश को थोड़ा कम कर देता है - लेकिन चूंकि 'प्रिंट' का उपयोग जावास्क्रिप्ट को इंजेक्ट करने के लिए किया जा सकता है (और इसलिए सत्रों को चोरी करना) इसके अभी भी कुछ हद तक मनमाना है।

उन कार्यों को सूचीबद्ध नहीं करना चाहिए जिन्हें ब्लैकलिस्ट किया जाना चाहिए या अन्यथा अस्वीकृत होना चाहिए। बल्कि, मुझे एक grep-सक्षम सूची चाहिए

वह एक समझदार दृष्टिकोण है।

हालांकि अपने खुद के पार्सर को लिखने पर विचार करें - बहुत जल्द आप एक grep आधारित दृष्टिकोण को नियंत्रण से बाहर निकालने जा रहे हैं (awk थोड़ा बेहतर होगा)। बहुत जल्द आप भी चाहने लगेंगे कि आप एक श्वेतसूची भी लागू करें!

स्पष्ट लोगों के अलावा, मैं ऐसी किसी भी चीज़ को चिह्नित करने की सलाह दूंगा जिसमें एक स्ट्रिंग शाब्दिक के अलावा किसी अन्य चीज़ का तर्क शामिल हो। __Autoload () के लिए भी देखें।


2

मुझे डर है कि मेरा उत्तर थोड़ा नकारात्मक हो सकता है, लेकिन ...

IMHO, हर एक कार्य और विधि का उपयोग नापाक उद्देश्यों के लिए किया जा सकता है। इसे दकियानूसी के एक ट्रिकल-डाउन प्रभाव के रूप में सोचें: एक चर को उपयोगकर्ता या दूरस्थ इनपुट को सौंपा जाता है, चर का उपयोग किसी फ़ंक्शन में किया जाता है, क्लास प्रॉपर्टी में उपयोग किए जाने वाला फ़ंक्शन रिटर्न मान, फ़ाइल फ़ंक्शन में उपयोग की जाने वाली क्लास प्रॉपर्टी, इत्यादि। याद रखें: एक जाली आईपी पता या एक आदमी के बीच का हमला आपकी पूरी वेबसाइट का फायदा उठा सकता है।

आपका सबसे अच्छा शर्त किसी भी संभावित उपयोगकर्ता या दूरदराज के इनपुट समाप्त करने के लिए शुरू, के साथ शुरू करने से पता लगाने के लिए है $_SERVER, $_GET, $_POST, $_FILE, $_COOKIE, include(some remote file)( यदि allow_url_fopen , पर है) अन्य सभी कार्य /, दूरस्थ फ़ाइलें से निपटने आदि आप प्रोग्राम के एक ढेर का पता लगाने प्रोफ़ाइल बनाने कक्षाएं प्रत्येक उपयोगकर्ता- या दूरस्थ-प्रदत्त मूल्य। यह असाइन किए गए चर और कार्यों या विधियों के सभी दोहराने उदाहरणों को प्राप्त करके प्रोग्रामेटिक रूप से किया जा सकता है, फिर उन कार्यों / विधियों की सभी घटनाओं की एक सूची का पुनरावर्ती संकलन करता है, और इसी तरह। यह सुनिश्चित करने के लिए जांच करें कि यह पहले छाने वाले अन्य सभी कार्यों के सापेक्ष उचित फ़िल्टरिंग और सत्यापन कार्यों से गुजरता है। यह निश्चित रूप से एक मैनुअल परीक्षा है, अन्यथा आपके पास कुल संख्या होगीcase PHP में फ़ंक्शन और विधियों की संख्या (उपयोगकर्ता परिभाषित सहित) के बराबर स्विच।

वैकल्पिक रूप से केवल उपयोगकर्ता इनपुट को संभालने के लिए, सभी स्क्रिप्ट्स की शुरुआत में एक स्टेटिक कंट्रोलर क्लास इनिशियलाइज़ किया जाता है, जो 1) अनुमत उद्देश्यों की श्वेत सूची के विरुद्ध सभी उपयोगकर्ता-आपूर्ति किए गए इनपुट मानों को मान्य और संग्रहीत करता है; 2) उस इनपुट स्रोत (यानी) को मिटा देता है $_SERVER = null। आप देख सकते हैं कि यह थोड़ा नाज़ीकेज़ कहाँ है।


हां, कई प्रोग्रामिंग भाषाओं के साथ, आपके बुरे कामों को छिपाने के तरीकों का कोई अंत नहीं है। हालाँकि मुझे लगता है कि मैं जो पूछ रहा था उसका इरादा याद करता है। परिदृश्य कुछ इस प्रकार है: वेबसाइट हैक होने के बाद आपको मदद करने के लिए बुलाया जाता है। यदि आप सुबह से पहले उसकी वेबसाइट सुरक्षित कर सकते हैं तो ग्राहक अतिरिक्त भुगतान करेगा। साइट में 475 PHP फाइलें हैं, और उपयोगी फोरेंसिक विवरण नष्ट हो गए हैं - आपको एक बहुत बड़ी बाधा और एक कुख्यात छोटी सुई मिल गई है ... आप कहाँ देखना शुरू करते हैं? (संक्षेप में मेरा दिन का काम)
tylerl

1

यहाँ उन कार्यों की सूची दी गई है जो मेरे प्रदाता सुरक्षा उद्देश्यों के लिए अक्षम करते हैं:

  • कार्यकारी
  • डीएल
  • show_source
  • apache_note
  • apache_setenv
  • closelog
  • debugger_off
  • debugger_on
  • define_syslog_variables
  • escapeshellarg
  • escapeshellcmd
  • ini_restore
  • openlog
  • से गुजरना
  • pclose
  • pcntl_exec
  • popen
  • proc_close
  • proc_get_status
  • proc_nice
  • proc_open
  • proc_terminate
  • shell_exec
  • syslog
  • प्रणाली
  • url_exec

1

कोड के अधिकांश हमले स्वयं को निष्पादित करने के लिए कई एक्सेस स्रोतों या कई चरणों का उपयोग करते हैं। मैं न केवल किसी कोड, या विधि के लिए दुर्भावनापूर्ण कोड खोजता, बल्कि सभी तरीके, कार्य निष्पादित या उसे कॉल करना। सर्वोत्तम सुरक्षा में एन्कोडिंग और डेटा को मान्य करना भी शामिल होगा क्योंकि यह अंदर और बाहर आता है।

सिस्टम चर को परिभाषित करने से भी बाहर देखो, उन्हें बाद में कोड में किसी भी फ़ंक्शन या विधि से बुलाया जा सकता है।


0

पाठ की व्याख्या करने वाले 4bit वर्ण कार्यों का उपयोग करके कई बफर ओवरफ्लो की खोज की गई थी। htmlentities () htmlspecialchars ()

शीर्ष पर थे, व्याख्या से पहले एकल एन्कोडिंग में बदलने के लिए mb_convert_encoding () का उपयोग करने के लिए एक अच्छा बचाव है।


0

आप एक लगातार अद्यतन (दोहन php कार्यों) संवेदनशील डूब की सूची और में अपने मापदंडों पा सकते हैं आरआईपीएस /config/sinks.php, पीएचपी अनुप्रयोग जो भी पीएचपी पिछले दरवाजे का पता लगाता है में कमजोरियों के लिए एक स्थिर स्रोत कोड विश्लेषक।


RIPS इस पृष्ठ से सूची का उपयोग कर रहा है।
किश्ती
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.