我试图构建一个可以用于任意代码执行的函数列表。其目的不是列出应该列入黑名单或以其他方式禁止的函数。更确切地说,我希望在搜索受感染的服务器以寻找后门时,有一个易于grep-able的红旗关键字列表。

其思想是,如果您想构建一个多用途的恶意PHP脚本——例如c99或r57这样的“web shell”脚本——您将不得不在文件中的某个位置使用一个或多个相对较小的函数集,以便允许用户执行任意代码。搜索这些函数可以帮助您更快地将数万个PHP文件缩小到需要仔细检查的相对较小的脚本集。

显然,例如,以下任何一种代码都被认为是恶意的(或糟糕的编码):

<? eval($_GET['cmd']); ?>

<? system($_GET['cmd']); ?>

<? preg_replace('/.*/e',$_POST['code']); ?>

等等。

前几天在搜索一个受感染的网站时,我没有注意到一段恶意代码,因为我没有意识到preg_replace可以通过使用/e标志而变得危险(真的吗?为什么会出现这种情况?)还有其他我错过的吗?

以下是我目前列出的清单:

Shell执行

系统 执行 popen 撇号操作符 pcntl_exec

PHP执行

eval Preg_replace(带/e修饰符) create_function 包括[_once] /要求[_once](详见mario的回答)

有一个能够修改文件的函数列表可能也很有用,但我想99%的情况下,利用代码将至少包含上述函数之一。但是如果你有一个所有能够编辑或输出文件的函数的列表,把它贴出来,我会把它包括在这里。(我没有计算mysql_execute,因为它是另一类利用的一部分。)


当前回答

最近在security.stackexchange.com上对此有一些讨论

可用于任意代码执行的函数

好吧,这缩小了一点范围-但由于'print'可以用来注入javascript(因此窃取会话等),它仍然有点随意。

不是列出应该被列入黑名单或不允许的函数。相反,我想要一个grep-able列表

这是一个明智的方法。

不过,一定要考虑编写自己的解析器——很快你就会发现基于grep的方法会失控(awk会更好一点)。很快你就会开始希望你也实现了一个白名单!

除了那些显而易见的,我建议标记任何包含了字符串字面量以外的参数的东西。还要注意__autoload()。

其他回答

您可以在RIPS /config/sink .php中找到持续更新的敏感接收器(可利用的php函数)及其参数列表,这是一个用于php应用程序漏洞的静态源代码分析器,也可以检测php后门。

我特别想将unserialize()添加到这个列表中。长期以来,它一直存在各种漏洞,包括任意代码执行、拒绝服务和内存信息泄漏。永远不应该对用户提供的数据调用它。这些vuls中的许多已经在过去的露水年的发布中被修复,但它仍然保留了一对讨厌的vuls,在目前的写作时间。

要了解其他关于危险php函数/使用的信息,请参阅加固php项目及其建议。还有最近的PHP安全月和2007年的PHP bug月项目

还要注意,按照设计,反序列化对象将导致执行构造函数和析构函数;另一个不调用用户提供的数据的原因。

还要注意允许任意内存位置被读写的“中断漏洞”类!

这些影响函数,如trim(), rtrim(), ltrim(),爆炸(),strchr(), strstr(), substr(), chunk_split(), strtok(), addcslashes(), str_repeat()等。这主要(但不完全)是由于该语言的调用时引用传递特性,该特性已经被弃用了10年,但并没有被禁用。

欲了解更多信息,请参阅Stefan Esser在BlackHat USA 2009 Slides Paper上关于中断漏洞和其他底层PHP问题的演讲

本文还展示了如何使用dl()来执行任意系统代码。

使用4bit发现了几个缓冲区溢出 字符解释文本的函数。 htmlentities () htmlspecialchars函数()

人在巅峰时,好的防御是用什么方法 Mb_convert_encoding()转换为单个 先编码再解释。

我知道move_uploaded_file已经被提到了,但是文件上传通常是非常危险的。仅仅是$_FILES的存在就应该引起一些关注。

可以将PHP代码嵌入到任何类型的文件中。带有文本注释的图像尤其容易受到攻击。如果代码按原样接受在$_FILES数据中找到的扩展名,那么这个问题就特别麻烦。

例如,用户可以上传一个有效的带有嵌入式PHP代码的PNG文件作为“foo.php”。如果脚本特别简单,它实际上可能会将文件复制为“/uploads/foo.php”。如果服务器被配置为允许在用户上传目录中执行脚本(通常情况下,这是一个严重的疏忽),那么您可以立即运行任何PHP代码。(即使图像保存为。png格式,也有可能通过其他安全漏洞让代码执行。)

一份(非详尽的)上传检查清单:

一定要分析内容,以确保上传的内容是它所声称的类型 将文件保存为一个已知的、安全的文件扩展名,该扩展名永远不会被执行 确保在用户上传目录中禁用PHP(以及任何其他代码执行)