PHP Tricks
クッキーの一般的な場所:
これはphpMyAdminのクッキーにも有効です。
クッキー:
場所:
PHP比較のバイパス
緩い比較/型変換(==)
PHPで==
が使用されると、比較が予期しない挙動を示す場合があります。これは、"=="は値を同じ型に変換してから比較するためです。比較するデータの型も同じであることを比較したい場合は、===
を使用する必要があります。
PHP比較テーブル: https://www.php.net/manual/en/types.comparisons.php
"string" == 0 -> True
数字で始まらない文字列は数字と等しい"0xAAAA" == "43690" -> True
10進数または16進数形式の数字で構成された文字列は、他の数字/文字列と比較してTrueとなる(文字列内の数字は数字として解釈される)"0e3264578" == 0 --> True
"0e"で始まり、その後に何かが続く文字列は0と等しい"0X3264578" == 0X --> True
"0"で始まり、任意の文字(Xは任意の文字)が続き、その後に何かが続く文字列は0と等しい"0e12334" == "0" --> True
これは非常に興味深いです。いくつかのケースでは、"0"で始まり、ハッシュ化されたコンテンツと比較される文字列入力を制御できます。したがって、"0e"で始まり、任意の文字がないハッシュを作成する値を提供できれば、比較をバイパスできます。この形式の既にハッシュ化された文字列はここで見つけることができます: https://github.com/spaze/hashes"X" == 0 --> True
文字列内の任意の文字は整数0と等しい
詳細はhttps://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09で確認できます。
in_array()
型変換は、in_array()
関数にもデフォルトで影響します(厳密な比較を行うには3番目の引数をtrueに設定する必要があります)。
strcmp()/strcasecmp()
この関数が任意の認証チェック(パスワードのチェックなど)に使用されている場合、ユーザーが比較の一方を制御できると、パスワードの値として文字列の代わりに空の配列を送信することができ、このチェックをバイパスできます (https://example.com/login.php/?username=admin&password[]=
)。
厳密な型変換
たとえ ===
が使用されている場合でも、型変換に脆弱なエラーが発生する可能性があります。たとえば、比較が行われる前にデータが異なるタイプのオブジェクトに変換されている場合:
preg_match(/^.*/)
preg_match()
を使用して、ユーザー入力を検証できます(ブラックリストからの単語/正規表現がユーザー入力に存在するかどうかを確認し、そうでない場合、コードはその実行を続行できます)。
改行バイパス
ただし、regexpの開始を区切るときに、preg_match()
はユーザー入力の最初の行のみをチェックするため、何らかの方法で複数行で入力を送信できると、このチェックをバイパスできるかもしれません。例:
このチェックをバイパスするためには、新しい行でurlエンコードされた値を送信(%0A
)するか、JSONデータを送信できる場合は、複数行で送信してください:
Find an example here: https://ramadistra.dev/fbctf-2019-rceservice
長さエラーバイパス
(このバイパスは、おそらくPHP 5.2.5で試され、PHP 7.3.15では機能しなかったようです)
preg_match()
に非常に大きな入力を送信できる場合、それを処理できなくなり、チェックをバイパスできます。たとえば、JSONをブラックリストに登録している場合、次のように送信できます:
ReDoS バイパス
トリック元: https://simones-organization-4.gitbook.io/hackbook-of-a-hacker/ctf-writeups/intigriti-challenges/1223 および https://mizu.re/post/pong
要約すると、問題が発生するのは PHP の preg_*
関数が PCRE ライブラリ を基にしているためです。PCRE では特定の正規表現が多くの再帰呼び出しを使用して一致するため、多くのスタック領域を使用します。再帰の許容量を制限することが可能ですが、PHP ではこの制限がデフォルトで 100,000に設定されており、スタックに収まりきらないほど多いです。
この問題について詳しく説明されているこのStackoverflowスレッドも投稿にリンクされています。私たちのタスクは明確でした:
正規表現が 100,000 回以上の再帰を行う入力を送信し、SIGSEGV を引き起こし、preg_match()
関数が false
を返すようにし、アプリケーションが入力を悪意のあるものと考えさせ、ペイロードの最後に {system(<verybadcommand>)}
のようなサプライズを投げて SSTI --> RCE --> フラグを取得する :)。
実際には、正規表現の観点からは、100k の "再帰"を行っているわけではなく、代わりに "バックトラッキングステップ"をカウントしています。これは PHP のドキュメント によると、pcre.backtrack_limit
変数でデフォルトで 1,000,000 (100万) に設定されています。
これを達成するためには、'X'*500_001
とすると、100万のバックトラッキングステップが発生します (50万回の前進と50万回の後退):
PHPの難読化のための型変換
リダイレクト後に実行(EAR)
PHPが別のページにリダイレクトしている場合でも、**die
またはexit
関数がLocation
**ヘッダが設定された後に呼び出されていない場合、PHPは実行を継続し、データを本文に追加します。
パストラバーサルとファイルインクルージョンの悪用
チェック:
pageFile Inclusion/Path traversalもっとトリック
register_globals: PHP < 4.1.1.1 または設定ミスの場合、register_globals が有効になっている可能性があります(またはその挙動が模倣されています)。これは、グローバル変数(例:$_GET)に値がある場合、例えば $_GET["param"]="1234" のように、$param を介してアクセスできることを意味します。そのため、HTTPパラメータを送信することで、コード内で使用されている変数を上書きできます。
同じドメインのPHPSESSIONクッキーは同じ場所に保存されるため、同じドメイン内で異なるパスで異なるクッキーが使用されている場合、あるパスが他のパスのクッキーにアクセスするように設定できます。これにより、両方のパスが同じ名前の変数にアクセスする場合、path1の変数の値をpath2に適用させることができます。そして、path2はpath1の変数を有効として受け入れます(path2に対応する名前をクッキーに与えることで)。
マシンのユーザーのユーザー名を持っている場合は、アドレスをチェックしてください:/~<USERNAME> がPHPディレクトリが有効化されているかどうかを確認します。
password_hash/password_verify
これらの関数は、通常、PHPでパスワードからハッシュを生成し、パスワードがハッシュと一致するかどうかをチェックするために使用されます。
サポートされているアルゴリズムは、PASSWORD_DEFAULT
と PASSWORD_BCRYPT
($2y$
で始まる)です。PASSWORD_DEFAULT は頻繁に PASSWORD_BCRYPT と同じです。現在、PASSWORD_BCRYPT は72バイトの入力のサイズ制限があります。したがって、このアルゴリズムで72バイトより大きなものをハッシュしようとすると、最初の72バイトのみが使用されます:
HTTPヘッダーのバイパスを利用したPHPエラーの乱用
PHPページがエラーを出力し、ユーザーが提供した入力をエコーしている場合、ユーザーはPHPサーバーにいくつかの十分に長いコンテンツを出力させることができ、サーバーがレスポンスにヘッダーを追加しようとするとエラーが発生します。 次のシナリオでは、攻撃者がサーバーに大きなエラーを発生させました。スクリーンショットで見ると、PHPがヘッダー情報を変更しようとしたときにできなかったことがわかります(たとえば、CSPヘッダーがユーザーに送信されませんでした):
コード実行
system("ls"); `ls`; shell_exec("ls");
**preg_replace()**を介したRCE
「replace」引数のコードを実行するには、少なくとも1つの一致が必要です。 このpreg_replaceのオプションは、PHP 5.5.0以降で非推奨となりました。
Eval()を通じたRCE
Assert()を使用したRCE
このphp内の関数は、文字列で書かれたコードを実行してtrueまたはfalseを返すことができます(これに応じて実行を変更します)。通常、ユーザー変数は文字列の中に挿入されます。例えば:
assert("strpos($_GET['page']),'..') === false")
--> この場合、RCEを取得するには、次のようにします:
usort()を使用したRCE
この関数は、特定の関数を使用してアイテムの配列をソートするために使用されます。 この関数を悪用するには:
**//**を使用してコードの残りをコメントアウトすることもできます。
閉じる必要があるかっこの数を見つけるには:
?order=id;}//
: エラーメッセージが表示されます(Parse error: syntax error, unexpected ';'
)。おそらく1つ以上の括弧が不足している可能性があります。?order=id);}//
: 警告が表示されます。それは正しいようです。?order=id));}//
: エラーメッセージが表示されます(Parse error: syntax error, unexpected ')' i
)。閉じるかっこの数が多すぎる可能性があります。
.httaccessを介したRCE
.htaccessをアップロードできる場合、いくつかの設定を構成したり、コードを実行したりすることができます(拡張子が.htaccessのファイルが実行されるように構成することができます)。
異なる.htaccessシェルはこちらで見つけることができます。
Env変数を介したRCE
PHPで環境変数を変更する脆弱性を見つけた場合(他のファイルをアップロードすることができる脆弱性もあれば、さらなる調査でこれをバイパスできるかもしれません)、この動作を悪用してRCEを取得できます。
LD_PRELOAD
: この環境変数は他のバイナリを実行する際に任意のライブラリをロードすることを可能にします(この場合は機能しないかもしれません)。PHPRC
: PHPに構成ファイルである通常php.ini
と呼ばれるファイルの場所を指示します。独自の構成ファイルをアップロードできる場合は、PHPRC
を使用してPHPを指定します。2番目にアップロードしたファイルを指定する**auto_prepend_file
エントリを追加します。この2番目のファイルには通常のPHPコードが含まれており**、PHPランタイムによって他のコードよりも前に実行されます。
シェルコードを含むPHPファイルをアップロードします
2番目のファイルをアップロードし、PHPプリプロセッサにアップロードしたファイルをステップ1で実行するよう指示する**
auto_prepend_file
**ディレクティブを含めますPHPRC
変数をステップ2でアップロードしたファイルに設定します。
このチェーンを実行する方法についての詳細は元のレポートを参照してください。
PHPRC - 別のオプション
ファイルをアップロードできない場合、FreeBSDでは「ファイル」
/dev/fd/0
を使用できます。これには**stdin
が含まれており、リクエストの本文**がstdin
に送信されます:curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'
または、
allow_url_include
を有効にしてファイルの前にbase64 PHPコードを追加してRCEを取得します:curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'
この手法はこのレポートからです。
PHP静的解析
これらの関数への呼び出しにコードを挿入できるかどうかを確認してください(こちらから)。
PHPアプリケーションのデバッグ中にエラー表示を有効にするには、/etc/php5/apache2/php.ini
にdisplay_errors = On
を追加し、Apacheを再起動します:sudo systemctl restart apache2
PHPコードの逆難読化
web www.unphp.net を使用してPHPコードの逆難読化を行うことができます。
PHPラッパー&プロトコル
PHPラッパーとプロトコルを使用すると、システム内の書き込みおよび読み取り保護をバイパスして侵害することができる可能性があります。詳細については、このページをご覧ください。
Xdebug未認証RCE
phpconfig()
の出力でXdebugが有効になっている場合、https://github.com/nqxcode/xdebug-exploitを使用してRCEを取得しようとする必要があります。
変数変数
新しい $_GET["a"]($_GET["b"]) を悪用した RCE
ページ内で任意のクラスの新しいオブジェクトを作成できる場合、RCE を取得できるかもしれません。詳細については、以下のページをチェックしてください:
pagePHP - RCE abusing object creation: new $_GET["a"]($_GET["b"])文字を使用せずに PHP を実行する
https://securityonline.info/bypass-waf-php-webshell-without-numbers-letters/
八進数を使用
XOR
XOR演算子は、2つのビットが異なる場合に1を返すビット演算子です。これは、データの暗号化や複雑な計算に使用されることがあります。
XOR簡単なシェルコード
この解説によると、次のように簡単なシェルコードを生成することが可能です。
したがって、数字や文字なしに任意のPHPを実行できる場合、次のようなリクエストを送信して、任意のPHPを実行するペイロードを悪用できます:
より詳しい説明については、https://ctf-wiki.org/web/php/php/#preg_matchを参照してください。
XOR シェルコード(eval 内部)
パールのように
Last updated