PHP代码审计通配符技巧

1
2
3
4
5
6
7
8
9
10
11
12

<?php
本地flag路径为 /data/sublime/php/audit/3/flag.txt

function waf($file){
    return preg_replace('/[a-z0-9.]/i', '', "$file");
}


$filename = $_GET['file'];
$file = waf($filename);
echo $file;
system('less '.$file);

PHP代码审计上传后删除漏洞

原始代码

1
2
3
4
5
6
7
8
9
10

<?php
$filename = __DIR__ . '/tmp/' . $user['name'];
$data = $user['info'];

file_put_contents($filename, $data);
// ...一些处理
if (file_exists($filename)) {
	unlink($filename);
}
?>

Wireshark安装使用备忘

官网

• https://www.wireshark.org/

流量包资源

• Web 2.0 for packets | pcapr - 提供大量样本的社区
• automayt/ICS-pcap - 各类工控的 pcap 包
• ICS-Security-Tools/pcaps - 各类工控的 pcap 包

在线分析

• NetworkTotal - Free Online Network Traffic Scanner
• VirusTotal
  Read more »

Burp Suite

资源

• Mr-xn/BurpSuiteSuite-collections - 有关 burpsuite 的插件(非商店),文章以及使用技巧的收集
• snoopysecurity/awesome-burp-extensions - burp 相关资源(英文版)
• alphaSeclab/awesome-burp-suite - burp 相关资源(中文版)

教程

• Burp Suite 实战指南
  Read more »

mysql的编码

在mysql中有几种常见编码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

mysql> show variables like 'character%';
+--------------------------+----------------------------+
| Variable_name            | Value                      |
+--------------------------+----------------------------+
| character_set_client     | latin1                     |
| character_set_connection | latin1                     |
| character_set_database   | latin1                     |
| character_set_filesystem | binary                     |
| character_set_results    | latin1                     |
| character_set_server     | latin1                     |
| character_set_system     | utf8                       |
| character_sets_dir       | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
<!-- more -->
mysql> set names utf8;
Query OK, 0 rows affected (0.00 sec)

mysql> show variables like 'character%';
+--------------------------+----------------------------+
| Variable_name            | Value                      |
+--------------------------+----------------------------+
| character_set_client     | utf8                       |
| character_set_connection | utf8                       |
| character_set_database   | latin1                     |
| character_set_filesystem | binary                     |
| character_set_results    | utf8                       |
| character_set_server     | latin1                     |
| character_set_system     | utf8                       |
| character_sets_dir       | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
8 rows in set (0.00 sec)

在默认情况下， mysql字符集为latin1, 而执行了set names utf8; 以后， character_set_client, character_set_connection, character_set_results 等与客户端相关的配置字符集都变成utf8, 但character_set_database, character_set_server 等服务端相关的字符集还是latin1, 因为这一条语句， 导致客户端和服务端的字符集出现了差别， 既然有差别， mysql在执行查询的时候， 就设计到字符集的转换。

我们用php连接mysql服务器的时候设置的编码set names gbk, 就等同于:

1
2
3

set character_set_client='gbk'  //客户端编码
set charseter_set_connection='gbk' //连接器编码
set charsetter_set_results='gbk'//返回值编码

连接顺序为: 客户端 <= 连接器 <= 服务端 ， 这中间如果有哪一个编码不一致就很容易导致乱码的问题，

2008年鸟哥曾在博客中讲解了Mysql字符集：（http://www.laruence.com/2008/01/05/12.html）

MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection；
进行内部操作前将请求数据从character_set_connection转换为内部操作字符集

宽字节注入

在使用php连接mysql服务器的时候， 当设置 "set character_set_client=gbk"（设置其他两个不会触发sql注入) 这时就会导致一个编码转换的注入问题， 也就是我们熟悉的宽字节注入

我们来分析下， 当我们提交id=1%df’ 的时候，假设后端用了addslashes函数处理sql语句变成了select * from articles where id=1%df\'

如果php 连接mysql的时候设置了client客户端的字符集为gbk, 那么mysql服务器对查询语句就会进行GBK转码， mysql服务器数据库一般都是latin1编码，而gbk是两个字符表示一个汉字，因此，`%df 和转义字符%5c就会组成成一个%df%5c的汉字， 吃掉了一个转义符，导致单引号逃逸

解决方法:

1. 一般官方推荐把charackter_set_client 设置为binary 或utf-8
2. 使用mysql_real_escape_string()函数， 该函数会自动识别编码问题

另外在高版本的mysql中好像修复了该问题

范围: 据gbk编码，第一个字节ascii码大于128, 即0x81~0xff

mysql的其他编码问题

mysql的编码问题还会导致如下问题

1
2
3
4
5
6
7
8

<?php
if ($username === 'admin') {
    if ($_SERVER['REMOTE_ADDR'] !== '127.0.0.1') {
        die('Permission denied!');
    }
}
$result = $mysqli->query("SELECT * FROM z_users where username = '{$username}' and password = '{$password}'");

核心代码如上

那么，为什么执行SELECT * FROM user WHERE username='admin\xC2' and password='admin'却可以查出用户名是admin的记录？

当设置客户端的字符集位utf8的时候，这时mysql的编码转换为:

utf8-utf8-latin1

最后执行将数据库里的admin 和传入的admin\xC2 进行比较的时候， admin是一个latin1字符串

猜测原因是Mysql在转换字符集的时候， 将不完整的字符给忽略了

绕过disable_functions技巧

看一下php manual手册中的定义

1
2

disable_classes string
本指令可以使你出于安全的理由禁用某些类。用逗号分隔类名。disable_classes 不受安全模式的影响。 本指令只能设置在 php.ini 中。例如不能将其设置在 httpd.conf。

php中有一个table存放已定义的函数
disabled_function的原理便是，将函数名从这个table删除。对于绕过disabled_function的话，
总共有几种方式

PHP代码审计

目录

• 1. 概述
• 2. 输入验证和输出显示 3
  • 2.1 命令注入 4
  • 2.2 跨站脚本 4
  • 2.3 文件包含 5
  • 2.4 代码注入 5
  • 2.5 SQL注入 6
    Read more »

开发安全的 API 所需要核对的清单

以下是当你在设计，测试以及发布你的 API 的时候所需要核对的重要安全措施。

身份认证

• 不要使用 Basic Auth ，请使用标准的认证协议（如 JWT，OAuth）。
• 不要重新实现 Authentication、token generating 和 password storing，请使用标准库。
• 限制密码错误尝试次数，并且增加账号冻结功能。
• 加密所有的敏感数据。
  Read more »

FCKeditor上传漏洞总结

0x01 FCKeditor简介

FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化，不需要太复杂的安装步骤即可使用。它可和PHP、 JavaScript、ASP、ASP.NET、ColdFusion、Java、以及ABAP等不同的编程语言相结合。“FCKeditor”名称中的 “FCK” 是这个编辑器的作者的名字Frederico Caldeira Knabben的缩写。FCKeditor 相容于绝大部分的网页浏览器，像是 : Internet Explorer 5.5+ (Windows)、Mozilla Firefox 1.0+、Mozilla 1.3+ 和 Netscape 7+。在未来的版本也将会加入对 Opera 的支援。

0x02 判断版本

常见判断版本方法有两个：

XSS靶场挑战记录

知识点

• 无过滤 XSS (level 1)
• 各种难度的构造闭合 XSS (level 2、3、4、5、6)
• 各种难度的绕过过滤 XSS (level 2、3、4、5、6)
• 双写拼接 XSS (level 7)
• 实体编码+HTML 编码 XSS (level 8、9)
• input 中的 XSS (level 10)
• HTTP headers 头中的 XSS (level 11、12、13)
• exif XSS (level 14)
• angularjs XSS (level 15)
• URL 编码 XSS (level 16)
• embed 标签的 XSS (level 17、18)
• Flash XSS (level 19、20)