靶機代碼執(zhí)行漏洞與審計項目9Web安全漏洞及代碼審計（第2版）（微課版）01項目知識準備項目知識準備01為了兼顧系統(tǒng)的靈活性，程序開發(fā)人員在應用程序中會調(diào)用一些執(zhí)行代碼命令的函數(shù)，如assert()和eval()，而這些函數(shù)可以通過請求將代碼以參數(shù)的形式注入應用程序中執(zhí)行，從而造成代碼執(zhí)行漏洞。漏洞介紹一漏洞危害二顧名思義，代碼執(zhí)行漏洞就是可以將字符串參數(shù)當作PHP程序代碼來執(zhí)行的漏洞，攻擊者利用代碼執(zhí)行漏洞可以寫入Webshell、執(zhí)行代碼命令等，因此代碼執(zhí)行漏洞相當于一個Web后門。項目知識準備01審計思路三在審計代碼執(zhí)行漏洞時通常應當重點關注其危險函數(shù)，可以通過全局搜索定位漏洞觸發(fā)點，向上追蹤參數(shù)是否可控。02任務1代碼執(zhí)行漏洞分析任務1代碼執(zhí)行漏洞分析02能夠進行代碼執(zhí)行漏洞的分析警惕虛假網(wǎng)絡貸款的電信網(wǎng)絡詐騙形式。任務目標一任務實施二1．a(chǎn)ssert()和eval()函數(shù)因為assert()和eval()函數(shù)本身就是用于動態(tài)執(zhí)行代碼的，所以參數(shù)的內(nèi)容就是執(zhí)行代碼的一部分，一般載入緩存或模板、對變量處理不當都會造成代碼執(zhí)行漏洞。例如，將外部可控的參數(shù)拼接到模板中，之后調(diào)用這兩個函數(shù)并將它們當作PHP代碼執(zhí)行，代碼如下：任務1代碼執(zhí)行漏洞分析02將參數(shù)cmd傳入phpinfo()函數(shù)，并調(diào)用assert()和eval()函數(shù)執(zhí)行參數(shù)傳入代碼，結果如圖9-1所示。任務實施二1．a(chǎn)ssert()和eval()函數(shù)任務1代碼執(zhí)行漏洞分析02call_user_func(callable$callback[,mixed$parameter[,mixed$...]])函數(shù)為回調(diào)函數(shù)，其功能是調(diào)用函數(shù)，常用于在框架中動態(tài)調(diào)用函數(shù)。該函數(shù)的參數(shù)及其含義如表9-1所示。第一個參數(shù)為被調(diào)用的函數(shù)名稱，第二個參數(shù)為被調(diào)用函數(shù)的參數(shù)，會被傳入回調(diào)函數(shù)。該函數(shù)的作用是調(diào)用第一個參數(shù)所表示的函數(shù)，并將第二個參數(shù)作為被調(diào)用函數(shù)的參數(shù)傳入調(diào)用函數(shù)。測試代碼如下：任務實施二2．回調(diào)函數(shù)任務1代碼執(zhí)行漏洞分析02當請求/call_user_func.php?cmd=phpinfo()時，會調(diào)用定義的callback()函數(shù)，并將phpinfo()函數(shù)作為參數(shù)傳入，結果如圖9-2所示。常見的回調(diào)函數(shù)有call_user_func()、call_user_func_array()、array_map()等。任務實施二2．回調(diào)函數(shù)任務1代碼執(zhí)行漏洞分析02動態(tài)執(zhí)行函數(shù)與回調(diào)函數(shù)的初衷是相同的，都是為了更方便地調(diào)用函數(shù)。它會先定義一個函數(shù)名稱，然后將該函數(shù)名稱賦值給一個變量，最后使用變量名稱代替函數(shù)名稱來動態(tài)調(diào)用函數(shù)，但是一旦校驗不嚴格，就會造成代碼執(zhí)行漏洞，測試代碼如下。將代碼中收到的參數(shù)a作為要執(zhí)行的函數(shù)，將收到的參數(shù)b作為執(zhí)行函數(shù)的參數(shù)，請求/test.php?a=assert&b=phpinfo()，效果等同于執(zhí)行assert(phpinfo())函數(shù)，測試結果如圖9-3所示。任務實施二3．動態(tài)執(zhí)行函數(shù)任務1代碼執(zhí)行漏洞分析02preg_replace(mixed$pattern,mixed$replacement,mixed$subject[,int$limit=-1[,int&$count]])函數(shù)的主要功能是執(zhí)行一個正則表達式的搜索和替換操作。該函數(shù)的參數(shù)及其含義如表9-2所示。該函數(shù)會搜索subject中匹配pattern的部分，如果匹配成功，就以replacement進行替換。如果參數(shù)$pattern使用/e模式修正符修飾，就會將參數(shù)$replacement當作PHP代碼來執(zhí)行。測試代碼如下：任務實施二4．preg_replace()函數(shù)任務1代碼執(zhí)行漏洞分析02傳入的參數(shù)$sub會匹配代碼中的“/php”，如果存在/e模式修正符，就會將傳入的參數(shù)cmd當作PHP代碼來執(zhí)行，請求/preg_replace.php?cmd=phpinfo()&sub=<php>，測試結果如圖9-4所示。任務實施二4．preg_replace()函數(shù)03任務2代碼執(zhí)行漏洞代碼審計任務2代碼執(zhí)行漏洞代碼審計03能夠進行代碼執(zhí)行漏洞的代碼審計警惕冒充客服的電信網(wǎng)絡詐騙形式。任務目標一任務實施二1．環(huán)境搭建本任務使用飛飛影視導航系統(tǒng)，在下載源代碼后，將壓縮包解壓縮到根目錄中，進入安裝界面以檢測系統(tǒng)環(huán)境，如圖9-5所示。單擊“下一步”按鈕，進入“數(shù)據(jù)庫設置”界面，填寫數(shù)據(jù)庫的配置信息，如圖9-6所示。在信息填寫完成后，單擊“安裝程序”按鈕，即可開始安裝。在安裝成功后會提示“操作成功！”，如圖9-7所示，之后進入后臺管理。任務2代碼執(zhí)行漏洞代碼審計031．環(huán)境搭建任務實施二任務2代碼執(zhí)行漏洞代碼審計032．漏洞分析任務實施二漏洞觸發(fā)點在/Lib/Action/Home/MyAction.class.php文件中，代碼如下。$id會檢測提交過來的參數(shù)tpl是否為空。如果為空，就把提交過來的參數(shù)tpl賦值給$id，之后將$id通過trim()函數(shù)處理后進行拼接。trim()函數(shù)會將字符串兩側(cè)的空白字符或其他預定義字符刪除，之后將拼接的參數(shù)代入display()函數(shù)。跟蹤display()函數(shù)，代碼如下：任務2代碼執(zhí)行漏洞代碼審計032．漏洞分析任務實施二此函數(shù)是ThinkPHP中展示模板的函數(shù)，這里將參數(shù)$templateFile傳入fetch()函數(shù)，跟蹤fetch()函數(shù)，代碼如下。fetch()函數(shù)會通過ThinkPHP模板引擎渲染并輸出頁面。在/Lib/ThinkPHP/Common/debug.php文件中，默認會記錄日志，代碼如下：任務2代碼執(zhí)行漏洞代碼審計033．漏洞利用任務實施二由于漏洞利用點在MY控制器下的show()函數(shù)的參數(shù)tpl中，因此可以構造請求/?s=My-show-tpl-{~phpinfo()}.html，此時參數(shù)tpl的內(nèi)容為{~phpinfo()}，傳遞的字符模板不能被正常解析，系統(tǒng)就會報錯，提示“模板不存在”，并返回輸入的錯誤模板信息，結果如圖9-8所示。任務2代碼執(zhí)行漏洞代碼審計033．漏洞利用任務實施二在默認開啟錯誤日志功能的情況下，系統(tǒng)會將錯誤信息寫入到錯誤日志/Runtime/logs/中，同時日志文件以時間命名，內(nèi)容如下：[2020-04-03T01:47:01+08:00]ERR:(ThinkException)模板不存在[./Tpl/default/Home/my_{~phpinfo()}.tpl]在錯誤信息被記錄后，訪問請求/?s=My-show-tpl-\..\Runtime\Logs\20_04_03.l