php代码审计之弱类型引发的灾难

天融信阿尔法实验室 李喆

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a=’abc’那这个abc就会被php判断为字符串类型。但是弱类型方便是方便,但是带来的安全问题也是巨大的,很多的php安全漏洞都是因为它带来的。

本文是给做代码审计漏洞挖掘和渗透测试人员总结的一个思路,有不对的地方请多多指出。

这里主要是介绍如何通过利用弱类型来做php代码审计的漏洞挖掘。漏洞挖掘关键点肯定在变量上,因为变量可以承接外来参数和内部数据的交互工作,这是漏洞的起因,也是必要条件。如果外来参数是恶意代码,同时再因为使用了弱类型的函数或者比较运算符导致了恶意参数的数据进入了程序里比如数据库,就可能引发想象不到的破坏力。这里我介绍了三种可以导致恶意数据进入判断体里的函数和比较运算符,他们有共同的特点,就是和数据比较,然后把外来变量做自动类型转换,如果外来变量是恶意变量,利用一定的方法就可以绕过你想绕过的地方比如判断if条件,让恶意变量进入到条件体内,恶意变量如果在判断体内被代入到了数据库的增删改查操作中就可以引发sql注入等漏洞问题。

 

01第一个要介绍的是 is_numeric,它的功能是,判断参数是否为数字或者数字字符串,如果是则返回true,假返回false,它的弱类型问题是他支持十六进制0x格式,如何引发的安全问题让我们继续观看。

安全问题描述:is_numeric在做判断时候,如果攻击者把payload改成二进制0x..,is_numeric会先对十六进制做类型判断,十六进制被判断为数字型,为真,就进入了条件语句,如果再把这个代入进入sql语句进入mysql数据库,mysql数据库会对hex进行解析成字符串存入到数据库中,如果这个字段再被取出来二次利用,就可能因为二次注入漏洞.比如这样:

if(is_numeric($_GET['num']))

{

echo $_GET['num'];

echo “</br>”;

//假设这个插入进了mysql数据库,mysql数据库就会把十六进制转换成了字符串,这里为了方便用 Hex2String 函数代替

echo Hex2String($_GET['num']);

//输入http://127.0.01/equal.php?num=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

// 输出0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f2121272

//输出9999999999999 union all (select ‘Hello!!’)

}

function Hex2String($hex){

$string=”;

for ($i=0; $i < strlen($hex)-1; $i+=2){

$string .= chr(hexdec($hex[$i].$hex[$i+1]));

}

return $string;

}

可以看到,数据库存入的是 9999999999999 union all (select ‘Hello!!’) ,如果被取出来再输出没做过滤就会引发二次注入

防御方法:用intval函数获取变量整数值,对从数据库取出变量做过滤

上面的不理解,可以看一个案例分析:

这里有个例子:

14-2-1

图1.1

问题出现在if (!isset($_POST['id'], $_POST['vote']) || !is_numeric($_POST['id'])) 如果能绕过is_numeric,就可以执行mysql_query(“INSERT INTO vote VALUES ({$id}, {$vote}, ‘{$login}’)”); 注入sql语句。

999999999999 union all \(select ‘Hello!!’\)

转成 hex=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

我们提交的参数:

vote=1&submit=&id=0x39393939393939393939393920756e696f6e20616c6c202873656c656374202748656c6c6f21212729

14-2-2

 

图1.2

我们可以清楚的在图片里看到,我们插入的Hello!在其他查询位置被显示了出来,引发了二次注入漏洞问题。

 

02 第二个介绍的是比较运算符的安全隐患,比如 ==,!= ,同时还会介绍他们和恒等式和=== ,!==的区别和安全问题

函数功能:

==和!=是比较运算符号 不会检查条件式的表达式的类型

安全问题描述:php是弱类型,在做匹配和比较时候,会根据匹配的类型做类型转换,如果后面是整形,如$a==1,因为后面的1是整形,那前面gpc传进来就会转换成整形,转换规则是前面的数字不变后面字母被当成字符型舍去,也就是1a会变成1,判断为真进入判断体;如果这样$a==”1″,那么后面的就是字符串1,如果gpc传进来1a会发现为假,因为传进来的1a做类型转换成字符串后就是1a,字符串1a和字符串1不想等,所以为假,这时候要改成1才能进入判断体内;同样在进行加减乘除比较运算判断时候也会做自动类型转换,如果跟整形比较,1a会转换成1,跟字符串比较,a1就会转换成字符串a1,其他类型也一样。

如果你觉得这样很绕看不懂,那就简单说,如果和字符串做比较,就会转换成字符串,如果和整形做比较,就会自动转换成整形,只不过整形自动转换的时候php就是用的intval 函数导致1a为1。intval函数可以自查下,大致如:intval(“a”)=0; intval(12.3223)=12; intval(“12abc”)=12;

比如:

<?php

$a = $_GET['a'];

if ($a==1)

{

echo ‘vul->’.$a;

}

14-2-3

同样!=也会有这个问题,换成2就可以进到判断体内

<?php

$a = $_GET['a'];

if ($a!=1)

{

echo ‘vul->’.$a;

}

14-2-4

防范方法:用===和!==来做判断,他们是恒等计算符, 同时检查表达式的值与类型

跟数字有关的运算都可能引起弱类型漏洞,比如下面这个运算

但是这样也不完全可以,比如加减乘除运算符也会做类型转换

假如这样:

<?php

$a = $_GET['a'];

$b = $_GET['b'];

if($a+$b===2)

{

echo “vul->”.$a.”</br>”.$b;

}

14-2-5

所以最安全的防范是对gpc获取数字型的参数值进行intval强制类型转换或者过滤,再做判断

<?php

$a = intval($_GET['a']);

$b = intval($_GET['b']);

if($a+$b===2)

{

echo “vul->”.$a.”</br>”.$b;

}

14-2-6

03 第三个要就介绍的是in_array()函数

函数功能:判断一个值是否在数组中存在

安全问题描述:这个函数的弱类型问题是,判断的值在比较之前会做类型转换,同样是弱类型问题,比如in_array($_GET['id'],array(1,2,3,4,5)),如果我们传入 id=1’ union select… ,判断就会为真,因为id被转换成1,这时候假如我们再把$_GET['id']拼接到数据库语句中,就会引起sql注入漏 洞。

if(in_array($_GET['id'],array(1,2,3,4,5)))

{

echo $_GET['id'];

//输入http://127.0.01/equal.php?id=1′id

//输出: 1′id

}

防范方法:外来变量要做过滤,或者强制类型转换

 

 

Written by lizhe