Fonctions PHP plus exploitables

Question

Je suis en train de construire une liste de fonctions qui peuvent être utilisés pour l'exécution arbitraire de code. Le but n'est pas de la liste des fonctions qui doivent être mis à l'index ou autrement interdites. Plutôt, j'aimerais avoir un grep-mesure liste de drapeau rouge des mots-clés très pratique lors de la recherche d'un serveur compromis de portes dérobées.

L'idée est que si vous voulez construire un multi-usage malveillant script PHP, comme une "web shell script" comme c99 ou r57-vous allez avoir à utiliser un ou plus d'un petit ensemble de fonctions quelque part dans le fichier afin de permettre à l'utilisateur d'exécuter du code arbitraire. À la recherche de ces de ces fonctions vous permettent de mieux affiner rapidement une botte de foin des dizaines de milliers de fichiers PHP à un petit ensemble de scripts qui nécessitent un examen plus approfondi.

Clairement, par exemple, les éléments suivants devraient être considérés comme malveillants (ou terrible de codage):

<? eval($_GET['cmd']); ?>

<? system($_GET['cmd']); ?>

<? preg_replace('/.*/e',$_POST['code']); ?>

et ainsi de suite.

La recherche par le biais d'un site web compromis, l'autre jour, je n'ai pas remarqué un morceau de code malveillant parce que je ne le savais pas, preg_replace pourraient être rendues dangereuses par l'utilisation de l' /e drapeau (qui, sérieusement? Pourquoi est-ce même là?). Existe-il des autres que j'ai raté?

Voici ma liste:

Shell Execute

• system
• exec
• popen
• backtick operator
• pcntl_exec

PHP Execute

• eval
• preg_replace (avec /e modificateur)
• create_function
• include[_once] / require[_once] (voir mario réponse pour exploiter les détails)

Il pourrait également être utile d'avoir une liste de fonctions qui sont susceptibles de modifier les fichiers, mais j'imagine que 99% du temps, possibilité de code d'exploitation comprennent au moins l'une des fonctions ci-dessus. Mais si vous avez une liste de toutes les fonctions capables de modifier ou d'exporter des fichiers, poster et je vais l'inclure ici. (Et je ne suis pas de comptage mysql_execute, puisque c'est une partie d'une autre classe de l'exploit.)

Answer 1

Pour construire cette liste, j'ai utilisé 2 sources. Une Étude En Écarlate et les RATS. J'ai également ajouté quelques-unes de mes propres mix et les gens sur ce fil ont aidé.

Edit: Après l'affichage de cette liste, j'ai contacté le fondateur de DÉCHIRURES et à partir de maintenant, c'outils de recherches de code PHP pour l'utilisation de chaque fonction dans cette liste.

La plupart de ces appels de fonction sont classés comme les Éviers. Lorsqu'un entachée variables ($_REQUEST) est transmis à un récepteur de la fonction, alors vous avez une vulnérabilité. Des programmes comme les RATS et les DÉCHIRURES utiliser grep comme fonctionnalité pour identifier tous les éviers dans une application. Cela signifie que les programmeurs doivent prendre des précautions supplémentaires lors de l'utilisation de ces fonctions, mais s'ils où tous les interdits, alors vous ne serait pas en mesure de faire grand-chose.

"Avec un grand pouvoir vient une grande responsabilité."

--Stan Lee

Exécution De La Commande

exec           - Returns last line of commands output
passthru       - Passes commands output directly to the browser
system         - Passes commands output directly to the browser and returns last line
shell_exec     - Returns commands output
`` (backticks) - Same as shell_exec()
popen          - Opens read or write pipe to process of a command
proc_open      - Similar to popen() but greater degree of control
pcntl_exec     - Executes a program

Exécution de Code PHP

Hormis eval il y a d'autres moyens d'exécuter du code PHP: include/require peut être utilisé pour l'exécution de code à distance dans la forme de Fichiers Local Inclure et de Fichiers à Distance Comprennent des vulnérabilités.

eval()
assert()  - identical to eval()
preg_replace('/.*/e',...) - /e does an eval() on the match
create_function()
include()
include_once()
require()
require_once()
$_GET['func_name']($_GET['argument']);
$func = new ReflectionFunction($_GET['func_name']); $func->invoke(); or $func->invokeArgs(array());

Liste des fonctions qui acceptent les rappels

Ces fonctions acceptent un paramètre de chaîne qui pourrait être utilisé pour appeler une fonction de l'attaquant du choix. Selon la fonction, l'attaquant peut ou peut ne pas avoir la capacité de passer d'un paramètre. Dans ce cas, un Information Disclosure fonction comme phpinfo() pourrait être utilisé.

Function                     => Position of callback arguments
'ob_start'                   =>  0,
'array_diff_uassoc'          => -1,
'array_diff_ukey'            => -1,
'array_filter'               =>  1,
'array_intersect_uassoc'     => -1,
'array_intersect_ukey'       => -1,
'array_map'                  =>  0,
'array_reduce'               =>  1,
'array_udiff_assoc'          => -1,
'array_udiff_uassoc'         => array(-1, -2),
'array_udiff'                => -1,
'array_uintersect_assoc'     => -1,
'array_uintersect_uassoc'    => array(-1, -2),
'array_uintersect'           => -1,
'array_walk_recursive'       =>  1,
'array_walk'                 =>  1,
'assert_options'             =>  1,
'uasort'                     =>  1,
'uksort'                     =>  1,
'usort'                      =>  1,
'preg_replace_callback'      =>  1,
'spl_autoload_register'      =>  0,
'iterator_apply'             =>  1,
'call_user_func'             =>  0,
'call_user_func_array'       =>  0,
'register_shutdown_function' =>  0,
'register_tick_function'     =>  0,
'set_error_handler'          =>  0,
'set_exception_handler'      =>  0,
'session_set_save_handler'   => array(0, 1, 2, 3, 4, 5),
'sqlite_create_aggregate'    => array(2, 3),
'sqlite_create_function'     =>  2,

La Divulgation D'Informations

La plupart de ces appels de fonction ne sont pas les éviers. Mais plutôt il a peut-être une vulnérabilité si les données renvoyées sont visibles à l'attaquant. Si un attaquant peut voir phpinfo() il est certainement une vulnérabilité.

phpinfo
posix_mkfifo
posix_getlogin
posix_ttyname
getenv
get_current_user
proc_get_status
get_cfg_var
disk_free_space
disk_total_space
diskfreespace
getcwd
getlastmo
getmygid
getmyinode
getmypid
getmyuid

D'autres

extract - Opens the door for register_globals attacks (see study in scarlet).
parse_str -  works like extract if only one argument is given.  
putenv
ini_set
mail - has CRLF injection in the 3rd parameter, opens the door for spam. 
header - on old systems CRLF injection could be used for xss or other purposes, now it is still a problem if they do a header("location: ..."); and they do not die();. The script keeps executing after a call to header(), and will still print output normally. This is nasty if you are trying to protect an administrative area. 
proc_nice
proc_terminate
proc_close
pfsockopen
fsockopen
apache_child_terminate
posix_kill
posix_mkfifo
posix_setpgid
posix_setsid
posix_setuid

Fonctions De Fichiers

Selon les RATS de toutes les fonctions de fichiers en php sont méchants. Certains de ces ne semblent pas très utiles à l'attaquant. D'autres sont plus utile que vous ne le pensez. Par exemple, si allow_url_fopen=On puis une url peut être utilisée comme un chemin de fichier, de sorte qu'un appel à l' copy($_GET['s'], $_GET['d']); peut être utilisé pour télécharger un script PHP n'importe où sur le système. Aussi, si un site est vulnérable à une demande de l'envoyer par mettre tout le monde de ces fonctions de système de fichiers peuvent être utilisés pour canal et attaque à un autre hôte par l'intermédiaire de votre serveur.

// open filesystem handler
fopen
tmpfile
bzopen
gzopen
SplFileObject->__construct
// write to filesystem (partially in combination with reading)
chgrp
chmod
chown
copy
file_put_contents
lchgrp
lchown
link
mkdir
move_uploaded_file
rename
rmdir
symlink
tempnam
touch
unlink
imagepng   - 2nd parameter is a path.
imagewbmp  - 2nd parameter is a path. 
image2wbmp - 2nd parameter is a path. 
imagejpeg  - 2nd parameter is a path.
imagexbm   - 2nd parameter is a path.
imagegif   - 2nd parameter is a path.
imagegd    - 2nd parameter is a path.
imagegd2   - 2nd parameter is a path.
iptcembed
ftp_get
ftp_nb_get
// read from filesystem
file_exists
file_get_contents
file
fileatime
filectime
filegroup
fileinode
filemtime
fileowner
fileperms
filesize
filetype
glob
is_dir
is_executable
is_file
is_link
is_readable
is_uploaded_file
is_writable
is_writeable
linkinfo
lstat
parse_ini_file
pathinfo
readfile
readlink
realpath
stat
gzfile
readgzfile
getimagesize
imagecreatefromgif
imagecreatefromjpeg
imagecreatefrompng
imagecreatefromwbmp
imagecreatefromxbm
imagecreatefromxpm
ftp_put
ftp_nb_put
exif_read_data
read_exif_data
exif_thumbnail
exif_imagetype
hash_file
hash_hmac_file
hash_update_file
md5_file
sha1_file
highlight_file
show_source
php_strip_whitespace
get_meta_tags

Answer 2

Vous avez de l'analyser pour les comprendre($tmp) et require(HTTP_REFERER) et *_once. Si un exploit script peut écrire dans un fichier temporaire, il pourrait n'inclure que plus tard. Fondamentalement, une étape de deux eval.

Et il est même possible de cacher de code à distance avec les solutions de contournement comme:

 include("data:text/plain;base64,$_GET[code]");

Aussi, si votre serveur a été compromis, vous ne serez pas toujours voir clair mal. Souvent les exploiter shell est codé de gzip. Pensez include("zlib:script2.png.gz"); Pas d'eval ici, toujours le même effet.

Answer 3

Ce n’est pas en soi une réponse, mais voici quelque chose d’intéressant :

Dans le même esprit, `` peut être utilisé pour exécuter des fonctions obfusquées.

Answer 4

Je suis surpris que personne n’a mentionné et comme points d’exploitation de sécurité.

Cross-Site Scripting (XSS) est un exploit de sécurité sérieuse, parce que c’est encore plus fréquente que les exploits de l’exécution de code côté serveur.

Answer 5

je serais tout particulièrement souhaitez ajouter unserialize() à cette liste. Il a eu une longue histoire de vulnérabilités diverses, y compris l'exécution de code arbitraire, déni de service, et la mémoire de la fuite d'information. Il ne doit jamais être appelée sur les données fournies par l'utilisateur. Beaucoup de ces vuls ont été corrigés dans les versions au cours de la dernière rosée ans, mais conserve tout de même un couple de coquins vuls à l'heure actuelle de l'écriture.

Pour d'autres informations sur les louches de fonctions de php/utilisation de regarder autour de la Trempé Projet PHP et de ses avis. Les récentes Mois de PHP de Sécurité et 2007 du Mois de PHP Bugs projets

À noter également que, par conception, de la désérialisation d'un objet va provoquer le constructeur et le destructeur des fonctions à exécuter; une autre raison de ne pas l'appeler sur les données fournies par l'utilisateur.