PHP的擴充Taint如何尋找網站的潛在安全漏洞(必看)
這篇文章帶給大家的內容是關於PHP的擴充Taint如何尋找網站的潛在安全漏洞,有一定的參考價值,有需要的朋友可以參考一下,希望對你有幫助。
一、背景
筆者從接觸電腦後就對網路安全一直比較感興趣,在做PHP開發後對WEB安全一直比較關注,2016時無意中發現Taint這個擴展,體驗之後發現確實好用;不過當時在查詢相關資料時候發現關注此擴展的人數並不多;最近因為換了台電腦,需要再次安裝了此擴展,發現這個擴展用的人還是比較少,於是筆者將安裝的過程與測試結果記錄下來,方便後續使用同時也讓更多開發者來了解taint
二、操作概要
原始碼下載與編譯
「擴充配置與安裝
# #功能檢驗與測試
三、原始碼下載與編譯
#Taint擴充PHP本身不攜帶,在linux或mac系統當中筆者需要下載原始碼自己去編譯安裝
3.1 原始碼下載
筆者的開發環境是mac系統,所以需要去PHP的pecl擴充網站去下載原始碼,其中taint的位址為:https://pecl.php.net/package/taint
##筆者需要選擇一個自己合適的版本,筆者的開發環境使用的是PHP7.1,因此選擇了最新的版本,對應下載地址如下:
https://pecl.php.net/get/taint-2.0.4.tgz
wget https://pecl.php.net/get/taint-2.0.4.tgz
tar -zxvf taint-2.0.4.tgz
cd taint-2.0.4
3.2 原始碼編譯
現在筆者需要編譯一下原始碼,在編譯之前可以使用phpze來偵測PHP的環境,參考指令如下:
phpize
Configuring for: PHP Api Version: 20160303 Zend Module Api No: 20160303 Zend Extension Api No: 320160303
./configure
checking how to hardcode library paths into programs... immediate checking whether stripping libraries is possible... yes checking if libtool supports shared libraries... yes checking whether to build shared libraries... yes checking whether to build static libraries... no creating libtool appending configuration tag "CXX" to libtool configure: creating ./config.status config.status: creating config.h
make && make install
(cd .libs && rm -f taint.la && ln -s ../taint.la taint.la) /bin/sh /Users/song/taint-2.0.4/libtool --mode=install cp ./taint.la /Users/song/taint-2.0.4/modules cp ./.libs/taint.so /Users/song/taint-2.0.4/modules/taint.so cp ./.libs/taint.lai /Users/song/taint-2.0.4/modules/taint.la ---------------------------------------------------------------------- Libraries have been installed in: /Users/song/taint-2.0.4/modules If you ever happen to want to link against installed libraries in a given directory, LIBDIR, you must either use libtool, and specify the full pathname of the library, or use the `-LLIBDIR' flag during linking and do at least one of the following: - add LIBDIR to the `DYLD_LIBRARY_PATH' environment variable during execution See any operating system documentation about shared libraries for more information, such as the ld(1) and ld.so(8) manual pages. ---------------------------------------------------------------------- Build complete. Don't forget to run 'make test'. Installing shared extensions: /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/
四、設定與安裝
#在編譯擴充功能之後,筆者還需要把Taint放到指定位置,以及修改設定檔讓其生效
#4.1 設定taint
##筆者首先需要知道PHP的設定檔是多少,然後透過查看設定檔的擴充路徑,才能把so檔放到對應裡面去,查看設定檔位置指令如下:<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false">php --ini</pre><div class="contentsignin">登入後複製</div></div>回傳結果如下
Configuration File (php.ini) Path: /usr/local/etc/php/7.1 Loaded Configuration File: /usr/local/etc/php/7.1/php.ini Scan for additional .ini files in: /usr/local/etc/php/7.1/conf.d Additional .ini files parsed: /usr/local/etc/php/7.1/conf.d/ext-opcache.ini
筆者可以看到php.ini放置在/usr/local/etc/php/7.1/php.ini當中
#知道設定檔之後,筆者需要找到擴充資料夾位置,參考指令如下
cat /usr/local/etc/php/7.1/php.ini | grep extension_dir
指令執行結果如下,筆者可以看出擴充資料夾位置是
/usr/local/lib/php/pecl/20160303extension_dir = "/usr/local/lib/php/pecl/20160303" ; extension_dir = "ext" ; Be sure to appropriately set the extension_dir directive. ;sqlite3.extension_dir =
# 4.2 安裝擴充功能
現在筆者需要把擴充檔案複製到,PHP的擴充檔案位置,參考指令如下
cp /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/taint.so /usr/local/lib/php/pecl/20160303/
複製完成之後,筆者需要編輯設定文件,將taint的配置項目複製進去
vim /usr/local/etc/php/7.1/php.ini
增加Tain的配置項目到php.ini檔案當中,參考配置如下:
[taint] extension=taint.so taint.enable=1 taint.error_level=E_WARNING
4.3 安裝結果驗證
#儲存設定檔並退出之後,則代表筆者的安裝已經完成,現在需要重新啟動php讓其生效,參考指令如下
brew services restart php@7.1
重啟完成之後,可以透過指令查看PHP目前的擴充有沒有Taint,參考指令如下:php -i | grep taint
taint taint support => enabled taint.enable => On => On taint.error_level => 2 => 2
完成上面的兩步驟操作之後,筆者安裝階段已經大功告成了,現在筆者需要用taint來檢驗效果,檢驗分為三個部分,先用taint作者的demo程式碼檢驗,之後再用滲透測試系統permeate來檢驗,最後以筆者平時所發展的程式碼進行測試。
5.1 demo檔案測試用demo檔案測試的目的是檢驗筆者安裝的taint是否真的已經生效,並確認taint有沒有意義。
5.1.1 複製demo程式碼在作者的GitHub上面有下面的這樣一份demo程式碼,筆者將其複製到web目錄,位置如下:/Users/song/mycode/safe/permeate
<?php $a = trim($_GET['a']);
$file_name = '/tmp' . $a;
$output = "Welcome, {$a} !!!";
$var = "output";
$sql = "Select * from " . $a;
$sql .= "ooxx";
echo $output;
print $$var;
include($file_name);
mysql_query($sql); server {
listen 80;
server_name test.localhost;
root /Users/song/mycode/safe/permeate;
location / {
index index.html index.htm index.php;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}http://test.localhost/taintdemo.php?a=1
Warning: main() [echo]: Attempt to echo a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 10
Welcome, 1 !!!
Warning: main() [print]: Attempt to print a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 12
Welcome, 1 !!!
Warning: main() [include]: File path contains data that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 14
Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 14
Warning: include(): Failed opening '/tmp1' for inclusion (include_path='.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear') in /Users/song/mycode/work/test/taintdemo.php on line 14
Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:16 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 16从警告信息当中可以看出,笔者的taint已经生效,给出了很多警告提示,提示参数可能受到污染,因为参数并没有经过任何过滤;
5.1.4 参数过滤测试
如果不想让taint给出警告提示,可以将demo代码中的第二行代码更改或增加一下过滤规则,参考代码如下:
$a = htmlspecialchars($_GET['a']);
再次回到浏览器当中,刷新当前页面,可以看到返回的信息已经发生了变化,返回内容如下
Welcome, 1 !!!Welcome, 1 !!!
Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 15
Warning: include(): Failed opening '/tmp1' for inclusion (include_path='.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear') in /Users/song/mycode/work/test/taintdemo.php on line 15
Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:17 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 17因为笔者在代码中增加了参数转义,此时再次刷新浏览器,会看到taint不再给发出警告提醒。
5.2 渗透测试系统验证
用demo系统验证taint扩展生效之后,现在笔者将用一个渗透测试系统来做一个实验,在这个系统中本身存在了很多安全问题,使用taint来找出这些问题,使用的渗透测试系统为 permeate渗透测试系统,地址如下
https://git.oschina.net/songboy/permeate
5.2.1 下载permeate
笔者通过git将其源码下载下来,参考命令如下
https://gitee.com/songboy/permeate.git
下载下来之后,同样创建一个虚拟主机,可以参考上面的nginx配置
5.2.2 导入数据库
因为这个系统会用到数据库,所以笔者下载之后需要新建数据库给permeate使用
新建完成数据库之后,笔者需要将一些数据表结构以及初始化数据导入到数据库当中,在使用git下载下来之后,在其跟目录有一个doc的文件夹,笔者打开它之后,能看到有一个sql文件,如下图所示
打开此文件并将其里面的内容复制,将复制的内容到管理数据库的Navicat Premium当中,然后执行这些SQL语句,如下图所示
5.2.3 修改配置文件
导入数据库完成之后,笔者修改数据库配置文件,让permeate能够连接次数据库,配置文件在根目录 conf/dbconfig.php,里面的配置代码如下,将其地址账户以及密码和数据库名称一一对应填写
<?php !defined('DB_HOST') && define('DB_HOST','127.0.0.1');
!defined('DB_USER') && define('DB_USER','root');
!defined('DB_PASS') && define('DB_PASS','root');
!defined('DB_NAME') && define('DB_NAME','permeate');
!defined('DB_CHARSET') && define('DB_CHARSET','utf8');
$sex=array('保密','男','女');
$edu=array('保密','小学','初中','高中/中专','大专','本科','研究生','博士','博士后');
$admins=array('普通用户','管理员')5.2.4 验证安装结果
设置好数据库之后,笔者安装permeate便已经完成了,此时打开首页,看到的界面应该如下图所示:
如果在首页当中没有看到板块以及分区等信息,很有可能是数据库没有连接成功或者数据库没有正确导入数据所致。
5.2.5 挖掘漏洞
下面开始进行测试,笔者点击第一个板块SQL注入,并点击列表下发的下一页按钮,此时看到的页面如下图所示:
在这个板块列表页中没看到任何问题,但是实际上taint已经给笔者发出了警告提醒。
笔者可以通过查看源代码时候来看到这些问题,如下图所示,taint提示在代码文件 /Users/song/mycode/safe/permeate/core/common.php的50行,存在参数被污染的情况。
5.2.5 漏洞分析
笔者找到对应的代码位置,发现代码内容如下:
function includeAction($model, $action)
{
//判断控制器是否存在
$filePath = "./action/$model.php";
if (is_readable($filePath)) {
require_once $filePath;
$class = new $model;
if (is_callable(array($class, $action))) {
$class->$action();
return true;
}
}在代码中笔者看到有一个require_once函数加载了文件,里面的参数使用了变量 $model 和 $action ,通过最终变量来源,在代码文件/Users/song/mycode/safe/permeate/home/router.php发现这两个参数确实没有经过过滤,如下代码所示:
<?php require_once "/core/common.php";
$model = !empty($_GET['m']) ? $_GET['m'] : 'index';
$action = !empty($_GET['a']) ? $_GET['a'] : 'index';
includeAction("$model","$action");最后需要提醒大家,Taint在开发环境安装即可,不要安装到生产环境当中,否则可能会把网站的安全问题直接暴露给攻击者
相关推荐:
新型php漏洞挖掘之debug導致的安全漏洞(Edusoho)
以上是PHP的擴充Taint如何尋找網站的潛在安全漏洞(必看)的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
適用於 Ubuntu 和 Debian 的 PHP 8.4 安裝和升級指南
Dec 24, 2024 pm 04:42 PM
PHP 8.4 帶來了多項新功能、安全性改進和效能改進,同時棄用和刪除了大量功能。 本指南介紹如何在 Ubuntu、Debian 或其衍生版本上安裝 PHP 8.4 或升級到 PHP 8.4
如何設定 Visual Studio Code (VS Code) 進行 PHP 開發
Dec 20, 2024 am 11:31 AM
Visual Studio Code,也稱為 VS Code,是一個免費的原始碼編輯器 - 或整合開發環境 (IDE) - 可用於所有主要作業系統。 VS Code 擁有大量針對多種程式語言的擴展,可以輕鬆編寫
在PHP API中說明JSON Web令牌(JWT)及其用例。
Apr 05, 2025 am 12:04 AM
JWT是一種基於JSON的開放標準,用於在各方之間安全地傳輸信息,主要用於身份驗證和信息交換。 1.JWT由Header、Payload和Signature三部分組成。 2.JWT的工作原理包括生成JWT、驗證JWT和解析Payload三個步驟。 3.在PHP中使用JWT進行身份驗證時,可以生成和驗證JWT,並在高級用法中包含用戶角色和權限信息。 4.常見錯誤包括簽名驗證失敗、令牌過期和Payload過大,調試技巧包括使用調試工具和日誌記錄。 5.性能優化和最佳實踐包括使用合適的簽名算法、合理設置有效期、
php程序在字符串中計數元音
Feb 07, 2025 pm 12:12 PM
字符串是由字符組成的序列,包括字母、數字和符號。本教程將學習如何使用不同的方法在PHP中計算給定字符串中元音的數量。英語中的元音是a、e、i、o、u,它們可以是大寫或小寫。 什麼是元音? 元音是代表特定語音的字母字符。英語中共有五個元音,包括大寫和小寫: a, e, i, o, u 示例 1 輸入:字符串 = "Tutorialspoint" 輸出:6 解釋 字符串 "Tutorialspoint" 中的元音是 u、o、i、a、o、i。總共有 6 個元
您如何在PHP中解析和處理HTML/XML?
Feb 07, 2025 am 11:57 AM
本教程演示瞭如何使用PHP有效地處理XML文檔。 XML(可擴展的標記語言)是一種用於人類可讀性和機器解析的多功能文本標記語言。它通常用於數據存儲
解釋PHP中的晚期靜態綁定(靜態::)。
Apr 03, 2025 am 12:04 AM
靜態綁定(static::)在PHP中實現晚期靜態綁定(LSB),允許在靜態上下文中引用調用類而非定義類。 1)解析過程在運行時進行,2)在繼承關係中向上查找調用類,3)可能帶來性能開銷。
什麼是PHP魔術方法(__ -construct,__destruct,__call,__get,__ set等)並提供用例?
Apr 03, 2025 am 12:03 AM
PHP的魔法方法有哪些? PHP的魔法方法包括:1.\_\_construct,用於初始化對象;2.\_\_destruct,用於清理資源;3.\_\_call,處理不存在的方法調用;4.\_\_get,實現動態屬性訪問;5.\_\_set,實現動態屬性設置。這些方法在特定情況下自動調用,提升代碼的靈活性和效率。
