php 菜鸟教程
前言在开始编写 PoC 之前,深入了解漏洞的特性、触发条件以及潜在影响是至关重要的只有对漏洞有全面的理解,才能编写出准确率更高的 PoC其次,应该充分测试和验证编写的 PoC确保 PoPHPC 在目标环境中能够可靠地重现漏洞,并产生一致的结果。
此外,及时更新和维护 PoC随着时间的推移,漏洞的修复和新的检测方式可能会出现,因此,定期检查和更新编写的 PoC,以确保其仍然有效是很有必要的在PHP编写 PoC 进行漏洞检测时,难免会遇到误报和漏报的情况,然而,我们可以通过。
下面的一些有效的方式来降低误报和漏报的发生。
准确性
对一个确定存在漏洞的网站或靶场编写的 PoC 往往十分容易忽略一些误报场PHP景编写 PoC 时应该不止局限于只对靶场的测试确保 PoC 能够通过唯一确定的标识来判断漏洞是否存在是非常重要的以下是几种常见的方式来实现这一目标:。
1、关键字匹配:在响应数据包中搜索特定的关键字或字PHP符串,这些关键字通常与漏洞的存在相关例如,特定错误消息、异常行为或系统返回的特定标识符如果关键字存在于响应中,可以判断漏洞存在2、特征码识别:根据漏洞的特征码或指纹来识别漏洞。
漏洞通常会导致特定的响应PHP模式或标识符,如特定的HTTP响应状态码、HTTP头部通过匹配这些特征码,可以确定漏洞是否存在3、可预测的变化检测:某些漏洞可能会导致响应数据包中的可预测变化例如,通过在请求中使用不同的参数值来检测是PHP否存在注入漏洞。
通过观察响应数据包的变化,可以确定漏洞是否存在
一个合理的PoC不应当只使用上面中的一种方法进行判断,应当合理地结合多个条件来进行是否存在漏洞的断言,现在我们就以上的一些判断方式进行展开PHP说明。
关键字匹配 关键字匹配在 PoC 的检测中是十分常见的,但是关键字匹配可能会存在一些问题,我们以 ThinkPHP 为例,使用如下 payload进行检测,随后通过匹配一些 phpinfo页面PHP的关键字来断言漏洞是否存在:
# ThinkPHP5 RCE PoCs=/Index/\think\app/invokefunction&function=call_user_func_array&vaPHPrs[0]=phpinfo&vars
[1][]=-1 但是如果目标网站的页面本身就是一个打印phpinfo的页面,那么此时就会产生误报 同样的,很多使用 echo {{randstr(16)}} PHP随后匹配这串随机字符串也同样会有很大的误报问题,最为常见的情况就是,目标网站将你的输入,原样的输出在返回的。
body中,此时就会产生一条误报 我们使用 httpbin.org 来进行演示:
和 echPHPo同理的还有一些各种语言的一些打印函数,如 print 等等。
特征码识别 特征码识别则更为简单,比如通过判断HTTP响应状态码这种方式是极其不建议的行为,必然会产生误报,十分不建议在 PoC 中只使PHP用状态码进行漏洞是否存在的依据。
可预测的变化检测 通过预测结果的方式进行检测,是相对推荐的做法比如我们已经知道了 123 md5 后的值,那么我们可以通过 echomd5({{randstr(16)PHP}}) 的方式进行漏洞的判断 在这里给出一些。
有回显可预测变化的一些检测方法:代码执行print({{randint(8)}} * {{randint(8)}}),匹配相乘后的结果print("{{PHPrandstr(8)}}" + "{{randstr(8)}}" )
,匹配字符串拼接后的结果print(md5({{randstr(16)}})),匹配 md5 后的结果printf("{{randsPHPtr(16)}}%%{{randstr(16)}}") 实际输出会少一个百分号,检出时只需要匹配
{{randstr(16)}}%{{randstr(16)}}即可命令执行Linux 下可以使用exprPHP {{randint(8)}} - {{randint(7)}},匹配相减后的数字即可echo aaaa""bbbb
,echo aaaabbbb,匹配 aaaabbbb即可echo aaaa\bbbbPHP,匹配aaaabbbb即可Windows 下可以使用set /a result={{randint(8)}}-{{randint(7)}} && call echo %result%
,匹配相减后的数字PHP即可SQL 注入类型select md5({{randstr(16)}}),匹配 md5 后的结果select concat({{randstr(8)}},{{randstr(8)}})
,匹配字符串拼PHP接后的结果文件读取linux下root:.*:0:0:,使用正则进行匹配通用性
在编写 PoC 时,确保 Payload或包含的检测代码兼顾各个环境或平台的考虑是很重要的以下是一些关键原则:1、尝试构建PHP通用的 Payload:尽量编写通用的 Payload,可以在多个环境或平台上使用。
这意味着避免使用仅适用于特定版本、配置或目标的代码通过使用通用的技术和标准协议,可以提高 PoC 的适用性和可移植性PHP2、考虑常见的安全防护机制:在编写 PoC 时,要考虑到目标环境可能存在的常见安全防护机制,如防火墙、入侵检测系统(IDS),语言本身的防护机制等。
确保所使用的 Payload 不会被这些机制拦截或干PHP扰,以提高漏洞检测的成功率3、无法通用检测时:考虑编写不同平台对应的 Payload分别发送检测。
现在我们就以上的一些编写原则进行展开说明。
构建通用的 Payload在编写 PoC 时,我们要进行一点PHP的思考,比如,能通过代码执行的漏洞,就不要再通过代码调用系统命令来执行。举例说明如图:
上图是 ThinkPHP 代码执行漏洞,使用 system 去执行命令来进行检测,这种方式存在很多的弊端不够通用,PHPWindows下和 Linux下可能没有足够通用的命令用于检测,使用 PHP 自带的输出函数加上算数运算来验证,如前文中提出的
print、printf没有考虑安全防护机制,比如 PHP 经常存在的 dPHPisable_functions 以及一些 WAF 之类的 推荐的检测方式:
这种检测方式更加通用,同时也不容易触发防护机制。
考虑常见的安全防护机制上一点中也提到过,对于 PoC 的编写,有别于 EXPHPP ,建议点到即止,比如说,一个反序列化漏洞,在 PoC 中,建议选择打印随机字符串来进行检测,或其他的无害化的方式确保能正常检出漏洞,当 PoC 的检测逻辑足够健壮时,EXP 利用失败,则只需要考虑PHP是不是 Payload 被拦截了,尝试进行对应的一些绕过操作即可。
无法通用检测时这种情况常见于命令执行、文件读取漏洞的情况,可以根据对应平台分别发送检测 Payload 进行检测,如发送两个检测包,第PHP一个是针对 Windows 的,第二个是针对 Linux 的即可通过兼顾各个环境和平台的考虑,编写通用的 Payload 和检测代码,可以提高 PoC 的适用性、可靠性和实用性,从而更有效地进行漏洞检PHP测和验证。
无害性
在 PoC 检测阶段,遵循无害性原则是很重要的即使在执行一些敏感操作,如文件上传,我们希望确保这些操作是无害的并不会对目标系统产生不良影响以下是一种方式来上传一个自删除的文件,以满足无PHP害性要求:确保编写的。
PoC不会对目标造成危害包括但不限于,插入,删除,篡改等等直接或间接产生危害的操作对于文件上传类漏洞,请尝试清理PoC测试中产生的测试文件,即在访问该文件后删除自身,例如:phpPHP:
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。