利用PHP擴展Taint找出網站的潛在安全漏洞實踐

1、背景

筆者從接觸計算機後就對網絡安全一直比較感興趣，在作PHP開發後對WEB安全一直比較關注，2016時無心中發現Taint這個擴展，體驗以後發現確實好用；不過當時在查詢相關資料時候發現關注此擴展的人數並很少；最近由於換了臺電腦，須要再次安裝了此擴展，發現這個擴展用的人仍是比較少，因而筆者將安裝的過程與測試結果記錄下來，方便後續使用同時也讓更多開發者來了解taint

taint擴展做者惠新宸曾經在本身的博客上有相關介紹，參考文檔： PHP Taint – 一個用來檢測XSS/SQL/Shell注入漏洞的擴展

2、操做概要

1. 源碼下載與編譯
2. 擴展配置與安裝
3. 功能檢驗與測試

3、源碼下載與編譯

Taint擴展PHP自己並不攜帶，在linux或mac系統當中筆者須要下載源碼本身去編譯安裝

3.1 源碼下載

筆者的開發環境是mac系統，因此須要去PHP的pecl擴展網站去下載源碼，其中taint的地址爲：

https://pecl.php.net/package/taint

在擴展網址的的尾部，能夠看到有一排下載地址，以下圖

筆者須要選擇一個本身合適的版本，筆者的開發環境使用的是PHP7.1，所以選擇了最新的版本，對應下載地址以下：

https://pecl.php.net/get/taint-2.0.4.tgz

使用wget下載該源碼,參考命令以下：

wget https://pecl.php.net/get/taint-2.0.4.tgz

下載下來以後，筆者須要解壓，解壓命令參考以下：

tar -zxvf taint-2.0.4.tgz

解壓以後，進入目錄,參考命令以下：

cd taint-2.0.4

3.2 源碼編譯

如今筆者須要編譯一下源碼，在編譯以前可使用phpze來探測PHP的環境，參考命令以下：

phpize

返回結果以下

Configuring for:
PHP Api Version:         20160303
Zend Module Api No:      20160303
Zend Extension Api No:   320160303

生成 Makefile，爲下一步的編譯作準備

./configure

返回結果

checking how to hardcode library paths into programs... immediate
checking whether stripping libraries is possible... yes
checking if libtool supports shared libraries... yes
checking whether to build shared libraries... yes
checking whether to build static libraries... no

creating libtool
appending configuration tag "CXX" to libtool
configure: creating ./config.status
config.status: creating config.h

開始編譯,並安裝

make && make install

(cd .libs && rm -f taint.la && ln -s ../taint.la taint.la)
/bin/sh /Users/song/taint-2.0.4/libtool --mode=install cp ./taint.la /Users/song/taint-2.0.4/modules
cp ./.libs/taint.so /Users/song/taint-2.0.4/modules/taint.so
cp ./.libs/taint.lai /Users/song/taint-2.0.4/modules/taint.la
----------------------------------------------------------------------
Libraries have been installed in:
   /Users/song/taint-2.0.4/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `DYLD_LIBRARY_PATH' environment variable
     during execution

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------

Build complete.
Don't forget to run 'make test'.

Installing shared extensions:     /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/

4、配置與安裝

在編譯擴展以後，筆者還須要把Taint放到指定位置，以及修改配置文件讓其生效

4.1 配置taint

筆者首先須要知道PHP的配置文件是多少，而後經過查看配置文件的擴展路徑，才能把so文件放到對應裏面去，查看配置文件位置命令以下：

php --ini

返回結果以下

Configuration File (php.ini) Path: /usr/local/etc/php/7.1
Loaded Configuration File:         /usr/local/etc/php/7.1/php.ini
Scan for additional .ini files in: /usr/local/etc/php/7.1/conf.d
Additional .ini files parsed:      /usr/local/etc/php/7.1/conf.d/ext-opcache.ini

筆者能夠看到php.ini放置在/usr/local/etc/php/7.1/php.ini當中

知道配置文件以後，筆者須要找到擴展文件夾位置，參考命令以下

cat /usr/local/etc/php/7.1/php.ini | grep extension_dir

命令執行結果以下，筆者能夠看出擴展文件夾位置是 /usr/local/lib/php/pecl/20160303

extension_dir = "/usr/local/lib/php/pecl/20160303"
; extension_dir = "ext"
; Be sure to appropriately set the extension_dir directive.
;sqlite3.extension_dir =

4.2 安裝擴展

如今筆者須要把擴展文件複製到，PHP的擴展文件位置，參考命令以下

cp /usr/local/Cellar/php71/7.1.14_25/lib/php/extensions/no-debug-non-zts-20160303/taint.so /usr/local/lib/php/pecl/20160303/

複製完成以後，筆者須要編輯配置文件，將taint的配置項複製進去

vim /usr/local/etc/php/7.1/php.ini

增長Tain的配置項到php.ini文件當中，參考配置以下：

[taint]
extension=taint.so
taint.enable=1
taint.error_level=E_WARNING

4.3 安裝結果驗證

保存配置文件並退出以後，則表明筆者的安裝已經完成，如今須要重啓一下php讓其生效，參考命令以下

brew services restart php@7.1

重啓完成以後，能夠經過命令查看PHP當前的擴展有沒有Taint，參考命令以下:

php -i | grep taint

返回結果若是出現了一下信息，基本上已經安裝成功。

taint
taint support => enabled
taint.enable => On => On
taint.error_level => 2 => 2

5、功能檢驗與測試

完成上面的兩步操做以後，筆者安裝階段已經大功告成了，如今筆者須要用taint來檢驗效果，檢驗分爲三部分，首先用taint做者的demo代碼進行檢驗，以後用滲透測試系統permeate來檢驗，最後以筆者平時所開發的代碼進行測試。

5.1 demo文件測試

用demo文件測試的目的是檢驗筆者安裝的taint是否真的已經生效，並確認taint有沒有意義。

5.1.1 複製demo代碼

在做者的GitHub上面有下面的這樣一份demo代碼，筆者將其複製到web目錄，位置以下：

/Users/song/mycode/safe/permeate

demo代碼內容以下，讀者實驗時能夠將其拷貝：

<?php
$a = trim($_GET['a']);

$file_name = '/tmp' .  $a;
$output    = "Welcome, {$a} !!!";
$var       = "output";
$sql       = "Select *  from " . $a;
$sql      .= "ooxx";

echo $output;

print $$var;

include($file_name);

mysql_query($sql);

5.1.2 配置虛擬主機

當代碼文件保存以後，筆者須要在nginx配置文件中增長一個虛擬主機，用於瀏覽器訪問此文件，參考配置以下：

server {
        listen       80;
        server_name  test.localhost;
        root  /Users/song/mycode/safe/permeate;
        location / {
            index index.html index.htm index.php; 
        }

        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
    }

5.1.3 瀏覽器訪問

接着筆者經過瀏覽器訪問對應代碼文件，URL地址以下：

http://test.localhost/taintdemo.php?a=1

瀏覽器訪問頁面以後，筆者能在頁面中看到一些警告信息，內容以下：

Warning: main() [echo]: Attempt to echo a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 10
Welcome, 1 !!!
Warning: main() [print]: Attempt to print a string that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 12
Welcome, 1 !!!
Warning: main() [include]: File path contains data that might be tainted in /Users/song/mycode/work/test/taintdemo.php on line 14

Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 14

Warning: include(): Failed opening '/tmp1' for inclusion (include_path='.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear') in /Users/song/mycode/work/test/taintdemo.php on line 14

Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:16 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 16

從警告信息當中能夠看出，筆者的taint已經生效，給出了不少警告提示，提示參數可能受到污染，由於參數並無通過任何過濾；

5.1.4 參數過濾測試

若是不想讓taint給出警告提示，能夠將demo代碼中的第二行代碼更改或增長一下過濾規則，參考代碼以下：

$a = htmlspecialchars($_GET['a']);

再次回到瀏覽器當中，刷新當前頁面，能夠看到返回的信息已經發生了變化，返回內容以下

Welcome, 1 !!!Welcome, 1 !!!
Warning: include(/tmp1): failed to open stream: No such file or directory in /Users/song/mycode/work/test/taintdemo.php on line 15

Warning: include(): Failed opening '/tmp1' for inclusion (include_path='.:/usr/local/Cellar/php@7.1/7.1.19/share/php@7.1/pear') in /Users/song/mycode/work/test/taintdemo.php on line 15

Fatal error: Uncaught Error: Call to undefined function mysql_query() in /Users/song/mycode/work/test/taintdemo.php:17 Stack trace: #0 {main} thrown in /Users/song/mycode/work/test/taintdemo.php on line 17

由於筆者在代碼中增長了參數轉義，此時再次刷新瀏覽器，會看到taint再也不給發出警告提醒。

5.2 滲透測試系統驗證

用demo系統驗證taint擴展生效以後，如今筆者將用一個滲透測試系統來作一個實驗，在這個系統中自己存在了不少安全問題，使用taint來找出這些問題，使用的滲透測試系統爲 permeate滲透測試系統,地址以下

筆者以前有寫過一篇文章介紹此係統，參考文檔： WEB安全Permeate漏洞靶場挖掘實踐

https://git.oschina.net/songboy/permeate

5.2.1 下載permeate

筆者經過git將其源碼下載下來，參考命令以下

https://gitee.com/songboy/permeate.git

下載下來以後，一樣建立一個虛擬主機，能夠參考上面的nginx配置

5.2.2 導入數據庫

由於這個系統會用到數據庫，因此筆者下載以後須要新建數據庫給permeate使用

新建完成數據庫以後，筆者須要將一些數據表結構以及初始化數據導入到數據庫當中，在使用git下載下來以後，在其跟目錄有一個doc的文件夾，筆者打開它以後，能看到有一個sql文件，以下圖所示

打開此文件並將其裏面的內容複製，將複製的內容到管理數據庫的Navicat Premium當中，而後執行這些SQL語句，以下圖所示

5.2.3 修改配置文件

導入數據庫完成以後，筆者修改數據庫配置文件，讓permeate可以鏈接次數據庫，配置文件在根目錄 conf/dbconfig.php,裏面的配置代碼以下，將其地址帳戶以及密碼和數據庫名稱一一對應填寫

<?php
    !defined('DB_HOST') && define('DB_HOST','127.0.0.1');
    !defined('DB_USER') && define('DB_USER','root');
    !defined('DB_PASS') && define('DB_PASS','root');
    !defined('DB_NAME') && define('DB_NAME','permeate');
    !defined('DB_CHARSET') && define('DB_CHARSET','utf8');
    $sex=array('保密','男','女');
    $edu=array('保密','小學','初中','高中/中專','大專','本科','研究生','博士','博士後');
    $admins=array('普通用戶','管理員')

5.2.4 驗證安裝結果

設置好數據庫以後，筆者安裝permeate便已經完成了，此時打開首頁，看到的界面應該以下圖所示：

若是在首頁當中沒有看到板塊以及分區等信息，頗有多是數據庫沒有鏈接成功或者數據庫沒有正確導入數據所致。

5.2.5 挖掘漏洞

下面開始進行測試，筆者點擊第一個板塊SQL注入，並點擊列表下發的下一頁按鈕，此時看到的頁面以下圖所示：

在這個板塊列表頁中沒看到任何問題，可是實際上taint已經給筆者發出了警告提醒。

筆者能夠經過查看源代碼時候來看到這些問題，以下圖所示，taint提示在代碼文件 /Users/song/mycode/safe/permeate/core/common.php的50行，存在參數被污染的狀況。

5.2.5 漏洞分析

筆者找到對應的代碼位置，發現代碼內容以下：

function includeAction($model, $action)
{
    //判斷控制器是否存在
    $filePath = "./action/$model.php";
    if (is_readable($filePath)) {
        require_once $filePath;
        $class = new $model;
        if (is_callable(array($class, $action))) {
            $class->$action();
            return true;
        }
    }

在代碼中筆者看到有一個require_once函數加載了文件，裏面的參數使用了變量 $model 和 $action ,經過最終變量來源，在代碼文件/Users/song/mycode/safe/permeate/home/router.php發現這兩個參數確實沒有通過過濾，以下代碼所示:

<?php
require_once "/core/common.php";
$model = !empty($_GET['m']) ? $_GET['m'] : 'index';
$action = !empty($_GET['a']) ? $_GET['a'] : 'index';

includeAction("$model","$action");

最後須要提醒你們，Taint在開發環境安裝便可，不要安裝到生產環境當中，不然可能會把網站的安全問題直接暴露給攻擊者。

---

做者：湯青松

日期：2018年08月16日

微信：songboy8888