経験の共有: grep を使用して PHP コードを監査する方法

这是一个常见的误解— 企业需要购买复杂和昂贵的软件来发现应用程序中安全漏洞；而这些专门的软件应用程序，无论是黑盒或白盒，开源或商业，都能很快的发现安全漏洞。

事实是：所有这些专业的漏洞扫描工具都有其特定的优势和劣势。有些可能是 ASP 为中心的，而其他工具更倾向于 PHP 。开发团队可能会因为提高扫描速度的要求，会忽略不值得被报告的漏洞。如果你想在一定时间内找到尽可能多的安全漏洞，需要使用所有的工具。

没有一个漏洞扫描器或技术会发现你应用程序中 100% 的安全漏洞，即便你使用了各种工具和技术。这篇文章中我将介绍另一种方式，你可以通过只使用命令行工具 grep 来捕获这些漏洞。

黑盒/白盒

让我们先来了解下什么是黑盒白盒测试。黑盒测试就是你没有任何关于评估对象（应用 / 网络 / 公司）的资料。白盒测试则完全相反，你可能有任何你需要的信息，包括网络范围，源代码，电话号码等。灰盒测试则是介于两者之间。在现实中，大多数评估是灰盒评估。因为要么一点预备信息都没有，或者需要的的信息都有，这两种情况非常少见。

通过 Grep 寻找 bugs 会被归类为白盒评估或“代码审查”。 Web 应用程序的漏洞扫描程序，如 Netsparker ， nikto ， wvs 等将被归类为黑盒测试的工具，

因为他们（在大多数情况下）将无法访问任何服务器端源代码。

如果你想尽可能的找到多的安全漏洞，需要结合黑盒 Web 应用程序扫描和白盒的代码审计。

Grep

如果你正在阅读这篇文章，我会假设你很熟悉 grep 工具的基本概念。如果不是，这里将会对这个强大的工具做个简介。

grep 是由 Ken Thompson 创建，并于 1973 年发布，作为使用正则表达式匹配的文件行的 UNIX 搜索工具。目前大多数的 *nix 都预装了 grep 。

在 *nix 操作系统，我们可以使用命令 ‘man grep’ 来查看工具的功能。或者使用命令 ‘grep –help ‘阅读帮助。

在这篇文章中我使用 GNU grep 的版本为 2.5.4 。如果你的 GNU grep 版本较旧，那么该文章中的某些命令可能无法正常工作。要检查您的 GNU grep 版本使用命令 ’ grep -V ’ 。

Damn Vulnerable Web Application (DVWA)

DVWA 就是一套 Web 应用程序漏洞演示平台。我们这里使用 VirtualBox 运行 DVWA 的 LiveCD 。（小编：关于 dvwa 的下载、安装配置网上有很多，这里不再重述）

配置好之后，就是这个样子。

现在我们开始 grepping 。首先 ssh 连接到存放 php 代码的服务器上。用户名是 dvwa ，密码 password 。

我们跳转到网站的根目录下‘/opt/lampp/htdocs’

Grepping  跨站脚本漏洞

这里引用 OWASP 关于跨站脚本漏洞的说明。”当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送 给一个网页浏览器，这就会产生跨站脚本攻击（简称 XSS ）。 XSS 允许攻击者在受害者的浏览 器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

（来源： https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf ）

为了识别代码中的 xss 漏洞，我们需要确定行代码库中接收没有验证或正确编码用户提供的输入并输出的代码位置。 PHP 用户提供的输入主要是 $_GET ， $_ POST ， $ _COOKIE ， $ _REQUEST 。但是用户也可以用 $ _FILES ， $ _ SERVER 等输入参数。

我们首先使用带有正则表达式的 grep 查找 $_GET ：

grep -i -r “\$_GET” *

选项 -i 表示忽略大小写，选项 -r 表示递归查找子目录。正则表达式 “\$_GET” 用来匹配 $_GET ，其中反斜杠 \ 用来转义 $ ，因为 $ 号在正则表达式中有特殊含义。我们使用通配符 * 告诉 grep 在任何文件中进行搜索。

正如你所见我们从简单的grep命令找到了许多结果，让我们尝试更具体的操作缩小潜在的可能性。在PHP中，通常使用echo进行输出。我们来搜索直接回显用户输入的代码有哪些。命令：grep -i -r “\$_GET” * | grep “echo”

这样会在第一次搜索的结果中再次进行搜索。

但是却没有找到任何代码，我们来分析下原始的结果看看是什么原因导致的。

下面这一代码好像可以输出。

通过$_GET获得的值赋予到$html中。我们需要找到这个变量被定义的地方以及被使用的地方。cat vulnerabilities/xss_r/source/low.php

通过阅读low.php代码，我们可以更清楚的了解它是做什么的。我们可以看到先对变量进行了检查，不为空或null时进入下一步。用户的输入应该被过滤或被编码，以防止xss漏洞的产生。我们目前假设$html变量会直接输出到浏览器上，但是如果$html被过滤了和编码了那么xss漏洞就不存在了。

现在我们需要进一步调查$html的输出位置。low.php的文件在vulnerabilities/xss_r/source。我们看看这个目录下还有什么文件。

命令：

ls vulnerabilities/xss_r/source

我们可以看到这个目录下vulnerabilities/xss_r/source/有三个文件，high.php，medium.php，low.php。让我们分析下这些文件，找出与输出$html有关的线索。先看下medium.php

命令：

cat vulnerabilities/xss_r/source/medium.php

medium.php 文件的内容和 low.php 里面的几乎一样，但 medium.php 会对 $_GET['name'] 过滤掉 <script> 。这里可能存在 xss 漏洞，因为直接将 $html 输出到浏览器上。 </p> <p> 我们仍要继续查找输出 $html 的代码的位置。看下父目录有什么文件。 </p> <p> 命令： </p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>ls vulnerabilities/xss_r/</pre><div class="contentsignin">ログイン後にコピー</div></div> <p> </p> <p> index.php似乎是个挺有趣的文件，看下其中的内容。 </p> <p> </p> <p> bingo ！通过阅读代码确认了 $html 的存在。使用如下命令阅读代码时可以显示行号： </p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>cat -b vulnerabilities/xss_r/index.php</pre><div class="contentsignin">ログイン後にコピー</div></div> <p> </p> <p>在47行找到了$html变量。</p> <p> </p> <p>在low.php中通过$_GET['name']传入变量，再通过index.php中的$html输出变量，这个过程中没有经过任何的编码或过滤。我们可以100%确定这是一个xss漏洞，是时候利用它了。</p> <p>打开dvwa的界面，用户名admin，密码password登陆进去。</p> <p> </p> <p>点击左侧的“DVWA Security”，将“vulnerability level of DVWA”切换到”low”，接着点击submit按钮提交更改。</p> <p>注意：我们刚才是对low.php文件进行grep。DVWA中的三个不同级别的安全决定了每个漏洞的可利用性。降低DVWA的安全级别可以使web应用变得脆弱。</p> <p>安全级别调低之后，我们点击“XSS reflected”切换到xss的测试页面。</p> <p> </p> <p>我们使用<blink>标签检验输入或输出未经过滤和编码。在文本框中输入“<blink>I am vulnerable!</blink>”。</p> <p> </p> <p>我们看到了<blink>标签未经过滤直接输出到浏览器。我们可以确认有个HTML注入，但xss呢？</p> <p>现在提交“<script>document.write(document.cookie);</script>”

我们成功的执行了指定的Javascript代码，Ladies and gent，我们发现了个xss漏洞。

Grep命令注入

对于命令注入我引用了OWASP里面的说明：”对应用程序注入并执行攻击者指定的语句“。（更多请详见： https://www.owasp.org/index.php/Command_Injection）

PHP有不同的函数可以执行底层的操作系统命令。如果未对用户的输入做任何处理，我们可以注入我们想要执行的命令。使用如下命令搜索exec()函数：grep -i -r “exec(” *

grep命令似乎给了我们很多结果，然而这并没有什么卵用。我们得完善下grep的命令。看搜索结果，很大部分是svn文件，还有个看似是IDS的目录”external“。

这两个目录输出了太多不想要的结果。

执行如下命令：

grep -i -r –exclude-dir={.svn,external} “exec(” *

这结果便是极好的。我们通过exclude-dir来排除.svn和external两个目录后，找到了在同个目录下的代码（类似XSS的搜索结果）。顺带发现一个事实：

$target没有做任何处理就带入函数中。

我们查看下vulnerabilities/exec/source/low.php文件。cat -b vulnerabilities/exec/source/low.php

从源代码中可以了解到，$target在第5行被赋值。在第10行和15行中被带入shell_exec中执行。用户的输入直接被带入执行操作系统命令。真糟！

要验证是否能利用，打开dvwa切换到”Command Execution“。你能成功地在操作系统上执行命令来确定所使用的MySQL版本？ 试一试！

結論

この記事を読み、DVWA の助けを借りて、Web アプリケーションをより適切に保護できることを願っています。

私たちは Grep の能力のほんの表面をなぞっただけです。 Grep には、効果的に役立つパラメータも多数あります。 http://www.ethicalhack3r.co.uk/greping-for-bugs-in-php/

オープンソースの Windows ツールを使用してコードをチェックできます。 http://sourceforge.net/projects/agnitiotool/

そして有名な PHP 静的コード監査ツール RIPS ( http://sourceforge.net/projects/rips-scanner/ )

*参照元: リソース。 infosecinstitute、FB 編集者の Dong Ermen Edison Chen が編集。FreeBuf Hackers and Geeks (FreeBuf.COM) から転載する場合はその旨を明記してください