WEB代碼審計(jì)與滲透測(cè)試.ppt

1、WEB代碼審計(jì)與滲透測(cè)試, ,WEB應(yīng)用程序代碼審計(jì),程序的兩大根本：變量與函數(shù) 漏洞現(xiàn)成的條件： A、可以控制的變量 【一切輸入都是有害的 】 B、變量到達(dá)有利用價(jià)值的函數(shù)危險(xiǎn)函數(shù) 【一切進(jìn)入函數(shù)的變量是有害的】 漏洞的利用效果取決于最終函數(shù)的功能 變量進(jìn)入什么樣的函數(shù)就導(dǎo)致什么要的效果,PHP應(yīng)用程序代碼審計(jì),為什么只是PHP? A、跨平臺(tái)、應(yīng)用廣泛、復(fù)雜 B、變量處理靈活如變量覆蓋、全局變量等 C、函數(shù)庫(kù)巨大 導(dǎo)致漏洞類(lèi)型多，既有通用的又有特有的 E、代碼審計(jì)的思路是可以通用的,變量,預(yù)定義變量常規(guī)外部提交的變量 GPC $_ENV/SERVER/SESSION $HTTP_RAW_PO

2、ST_DATA等 register_globals = on 未初始化的變量 PHP 4.20 默認(rèn)為off 變量覆蓋未初始化及覆蓋前定義的變量 如：extract() 、遍歷初始化變量、parse_str()等 變量的傳遞與存儲(chǔ)中轉(zhuǎn)的變量 存儲(chǔ)于數(shù)據(jù)庫(kù)、文件如配置、緩存文件等,危險(xiǎn)函數(shù),文件包含包含漏洞 代碼執(zhí)行執(zhí)行任意代碼漏洞 命令執(zhí)行執(zhí)行任意命令漏洞 文件系統(tǒng)操作文件(目錄)讀寫(xiě)等漏洞 數(shù)據(jù)庫(kù)操作SQL注射漏洞 數(shù)據(jù)顯示 XSS等客服端漏洞 ,什么樣的函數(shù)導(dǎo)致什么樣的漏洞！,更多的變量處理與危險(xiǎn)函數(shù),高級(jí)PHP應(yīng)用程序漏洞審核技術(shù) ,代碼審計(jì)的本質(zhì),找漏洞=找對(duì)應(yīng)變量與函數(shù) 變量跟蹤的過(guò)

3、程 通過(guò)變量找函數(shù)正向跟蹤變量 $id=$_GETid$sid=$id函數(shù)($sid) 通過(guò)函數(shù)找變量逆向跟蹤變量 函數(shù)($sid) $sid=$id $id=$_GETid,變量的傳遞與二次漏洞,變量存儲(chǔ)、提取、傳遞是一個(gè)復(fù)雜的立體的過(guò)程 過(guò)程中經(jīng)過(guò)多個(gè)不一樣的函數(shù)的處理后繼續(xù)傳遞，最終達(dá)到漏洞函數(shù) 傳遞的過(guò)程中任意環(huán)節(jié)可控就可能導(dǎo)致漏洞 中間函數(shù)處理的過(guò)程誕生新的變量，新的變量達(dá)到新的漏洞函數(shù)誕生新的漏洞二次漏洞,二次漏洞,什么是二次漏洞？ 2006年提出的一個(gè)概念 主導(dǎo)思想：通過(guò)一個(gè)現(xiàn)有漏洞，創(chuàng)造新的漏洞使得漏洞利用最大化 一個(gè)demo, 一個(gè)典型的文件刪除漏洞,注意：include與r

4、equire的區(qū)別,二次漏洞,又一個(gè)demo,一個(gè)注射漏洞 $sql= select id,filepath,user,name from attachment where fileid=$_GETid”; $result = mysql_db_query($dbname, $sql);$file=mysql_fetch_array($result);,然而: include($filefilepath); 一個(gè)貌似不可以直接控制的新變量$filefilepath進(jìn)入了危險(xiǎn)函數(shù)include(),?id=1 union select 1, 當(dāng)然我們沒(méi)有那個(gè)注射漏洞，只要我們對(duì)數(shù)據(jù)庫(kù)有控制權(quán)限一

5、樣可以通過(guò)update、insert控制$filefilepath。,一個(gè)實(shí)例:phplist-2.10.4old ver遠(yuǎn)程包含漏洞,/phplist-2.10.4public_htmllistsadminindex.php if (!ini_get(register_globals) | ini_get(register_globals) = off) . /經(jīng)典的變量覆蓋漏洞模式 foreach ($_REQUEST as $key = $val) $key = $val; . /覆蓋$_SERVER“ConfigFile”，經(jīng)過(guò)is_file()判斷后進(jìn)入include() if (i

6、sset($_SERVERConfigFile) ,但是is_file()是不支持遠(yuǎn)程文件的，所以到目前代碼只是一個(gè)本地包含漏洞,phplist-2.10.4public_htmllistsadmincommonlibpagesimportcsv.php . if (!isset($GLOBALSassign_invalid_default) $GLOBALSassign_invalid_default = $GLOBALSI18N-get(Invalid Email). number; . register_shutdown_function(my_shutdown); require_on

7、ce $GLOBALScoderoot . structure.php;,單獨(dú)看上面的代碼是沒(méi)有辦法提交$GLOBALS變量的！但是我們結(jié)合/phplist-2.10.4public_htmllistsadminindex.php里的變量覆蓋漏洞，我們就可以提交$GLOBALS變量了，那么我們就可以控制$GLOBALS“coderoot” 實(shí)現(xiàn)遠(yuǎn)程包含 Exp: /admin/index.php?_SERVERConfigFile=./commonlib/pages/importcsv.php $post = xml_unserialize(file_get_contents(php:/inp

8、ut);數(shù)據(jù)流不受魔術(shù)引號(hào)限制 通過(guò)$configfile = preg_replace(“/define(UC_API,s*.*?);/i”, “define(UC_API, $UC_API);”, $configfile); 閉合define(UC_API, 來(lái)注射我們的webshell代碼,二次漏洞的啟示,漏洞的類(lèi)型是可以轉(zhuǎn)換的:最終的目的是攻擊效果最大化！ 一切進(jìn)入函數(shù)的變量是有害的：變量在傳遞過(guò)程任意個(gè)環(huán)節(jié)可控就可能導(dǎo)致漏洞！ 變量傳遞的途徑是多樣的：我們的攻擊思路多元化！ 如對(duì)于dz，去尋找可以找到uc_key的途徑：sql注射、文件讀取config.inc.php里存有uc_ke

9、y、控制mysql的管理權(quán)限phpmyadmin等等,二次漏洞的其他應(yīng)用,應(yīng)用級(jí)別的“rootkit”,其他的因素與代碼審計(jì),php版本與代碼審計(jì)變量與函數(shù) php.ini默認(rèn)設(shè)置問(wèn)題 php本身函數(shù)的漏洞php缺少自動(dòng)升級(jí)的機(jī)制 系統(tǒng)特性與代碼審計(jì) 包括OS： 主要是文件操作 web服務(wù)器： 主要文件解析類(lèi)型 系統(tǒng)特性與web安全 數(shù)據(jù)庫(kù)類(lèi)型與代碼審計(jì)數(shù)據(jù)庫(kù)注射與利用,滲透測(cè)試中的代碼審計(jì),代碼審計(jì)的目的目的決定行為 甲方的代碼審計(jì): 目的：防御 要求：找到更多的漏洞，并且給出安全補(bǔ)丁建議等。并且對(duì)應(yīng)用程序平臺(tái)無(wú)特別要求。 乙方的代碼審計(jì): 目的：滲透也就是進(jìn)攻 要求：找到一個(gè)可用的漏洞就可

10、以，但是要求快速、利用效果最大化等。并且要求在滲透測(cè)試目標(biāo)的平臺(tái)上可以利用。,滲透測(cè)試中的代碼審計(jì),代碼審計(jì)前的準(zhǔn)備 A.得到代碼 a.對(duì)于開(kāi)源的應(yīng)用程序：得到程序的版本信息，越詳細(xì)越好。 *具體應(yīng)用程序版本掃描 b.對(duì)于不開(kāi)源的應(yīng)用程序： *通過(guò)黑盒掃描得到備用文件 *通過(guò)黑盒掃描利用sql注射暴代碼loadfile() *通過(guò)黑盒掃描利用容易文件下載漏洞 *上一次滲透測(cè)試打包下載的代碼 B.得到平臺(tái)信息 php版本及php.ini一些基本設(shè)置、OS信息、Web服務(wù)信息、數(shù)據(jù)庫(kù)應(yīng)用,滲透測(cè)試中的代碼審計(jì),快速代碼審計(jì)： A.補(bǔ)丁對(duì)比技術(shù) B.業(yè)務(wù)功能與漏洞 C.相似性漏洞挖掘 D.基于白盒的

11、fuzz E.常用變量與函數(shù) F.高級(jí)的代碼審計(jì),A 補(bǔ)丁對(duì)比技術(shù),二進(jìn)制補(bǔ)丁對(duì)比技術(shù)已經(jīng)非常成熟開(kāi)始于2004年 ，也誕生了反二進(jìn)制對(duì)比的技術(shù)。 PHP應(yīng)用程序補(bǔ)丁對(duì)比技術(shù) *基于源代碼，對(duì)比起來(lái)更加直觀明了 *目前還沒(méi)有對(duì)應(yīng)的反對(duì)比機(jī)制 *對(duì)比工具： 系統(tǒng)命令：fc、diff等 專(zhuān)業(yè)工具：Beyond Compare、UltraCompare等 *常見(jiàn)的安全補(bǔ)丁方式： 變量初始化：$str=;、$arr=array();等 變量過(guò)濾： intval/int()、addslashes()、正則等 *對(duì)比的版本選擇：選取臨近的版本避免一些非安全補(bǔ)丁的干擾,一個(gè)實(shí)例,B 業(yè)務(wù)功能與漏洞,實(shí)現(xiàn)業(yè)務(wù)

12、功能的同時(shí)引入安全風(fēng)險(xiǎn)。如： 上傳功能上傳漏洞 數(shù)據(jù)存儲(chǔ)與查詢(xún)sql注射漏洞 后臺(tái)或者api接口安全認(rèn)證繞過(guò) 數(shù)據(jù)庫(kù)備用導(dǎo)出webshell 新的功能必定帶來(lái)新的安全隱患。 功能越強(qiáng)大說(shuō)明漏洞幾率越大。 我們?cè)趯徲?jì)代碼的同時(shí)應(yīng)該熟悉應(yīng)用程序的業(yè)務(wù)功能。,C 相似性漏洞挖掘,天下武學(xué)同出少林天大代碼一把抄 最經(jīng)典的故事屬于asp：動(dòng)網(wǎng)的上傳漏洞 每個(gè)程序員都有自己的代碼風(fēng)格習(xí)慣 不好的風(fēng)格習(xí)慣，可能代碼致命的安全漏洞，而且習(xí)慣很難改變！ 相同的功能帶來(lái)同樣的漏洞 如后臺(tái)的功能和api接口實(shí)現(xiàn)相同的功能 尋找相似性漏洞 *通過(guò)補(bǔ)丁對(duì)比技術(shù) *通過(guò)漏洞分析、總結(jié)漏洞類(lèi)型,D 基于白盒的fuzz,由于

13、變量在傳遞的過(guò)程里千變?nèi)f化，跟蹤來(lái)很費(fèi)事費(fèi)力，為了快速找到漏洞 我們可以在白盒的基礎(chǔ)上通用一些fuzz的方法，開(kāi)始找到漏洞。,一、變量的存儲(chǔ) 1、對(duì)于文本文件：如配置文件、緩存文件、文本數(shù)據(jù)庫(kù)文件。如： $headersX-Forwarded-For = Test31425926; 然后通過(guò)Findstr、grep等搜索特征字符Test31425926 D:Findstr /S /I /N /d:D:phprootbmb2007bmb Test31425926 *.phpD:phprootbmb2007bmb:datafileguest.php:2:?php /|娓稿|1163859032|Test31425926?|f|0|Firefox |Windows XP|t| 當(dāng)然也用于其他get、post的變量、甚至是環(huán)境變量，比如注射用戶(hù)名、發(fā)帖的標(biāo)題內(nèi)容設(shè)置為一個(gè)特征字符 2、對(duì)于數(shù)據(jù)庫(kù)存儲(chǔ)查詢(xún) 可以讓數(shù)據(jù)庫(kù)出錯(cuò)的字符就行 比如,D 基于白盒的fuzz,二、全局變量 主要是對(duì)于設(shè)置了register_globals = on 的情況下,在inlculdes的文件里設(shè)定的配置變量沒(méi)有初始化的問(wèn)題： 那么不是所有的文件都這樣的問(wèn)題，我們可以先通過(guò)白盒找到這些可能出現(xiàn)問(wèn)題的變量名，然后可以寫(xiě)個(gè)fuzz的腳本，列表程序目錄一個(gè)一個(gè)提交探測(cè),E.常用變量與函數(shù),如果通過(guò)上述一