打造自己的php半自动化代码审计工具-php教程-PHP中文網

首頁

後端開發

php教程

打造自己的php半自动化代码审计工具

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 01:20 PM

0x00 PHP扩展进行代码分析（动态分析）

一.基础环境

#!bashapt-get install php5apt-get install php5-devapt-get install apacheapt-get install mysql

二.使用PHPTracert

#!bashmkdir godheadwget https://github.com/Qihoo360/phptrace/archive/v0.3.0.zipunzip v0.3.0.zipcd ./phptrace-0.3.0/extensionphpize5./configure --with-php-config=/usr/bin/php-configmake & make installcd ../cmdtoolmake

编辑 php.ini ，增加:

#!bashextension=trace.so

三.测试

#!php<?php for($i=0;$i<100;$i++){    echo $I;    sleep(1);}?>

CLI

#!shellphp test.php &ps -axu|grep php./phptrace -p pid

apache

#!bashcurl 127.0.0.1/test.phpps -aux|grep apache./phptrace -p pid

四.phptrace分析

执行的代码如下:

#!php<?phpfunction c(){    echo 1;}function b(){    c();}function a(){    b();}a();?>

执行顺序是:

#!basha>b>c>echo

参数含义:

名称	值	意义
seq		int\|执行的函数的次数
type	1/2	1是代表调用函数，2是代表该函数返回
level	-10	执行深度，比如a函数调用b，那么a的level就是1，b的level就是2，依次递增
func	eval	调用的函数名称
st	1448387651119460	时间戳
params	string	函数的参数
file	c.php	执行的文件
lineno	1	此函数对应的行号

日志输出:

#!js{"seq":0, "type":1, "level":1, "func":"{main}", "st":1448387651119445, "params":"", "file":"/var/www/html/2.php", "lineno":11 }{"seq":1, "type":1, "level":2, "func":"a", "st":1448387651119451, "params":"", "file":"/var/www/html/2.php", "lineno":11 }{"seq":2, "type":1, "level":3, "func":"b", "st":1448387651119452, "params":"", "file":"/var/www/html/2.php", "lineno":9 }{"seq":3, "type":1, "level":4, "func":"c", "st":1448387651119453, "params":"", "file":"/var/www/html/2.php", "lineno":6 }{"seq":4, "type":2, "level":4, "func":"c, "st":1448387651119457, "return":"NULL", "wt":4, "ct":4, "mem":48, "pmem":144 }{"seq":5, "type":2, "level":3, "func":"b, "st":1448387651119459, "return":"NULL", "wt":7, "ct":6, "mem":48, "pmem":144 }{"seq":6, "type":2, "level":2, "func":"a, "st":1448387651119459, "return":"NULL", "wt":8, "ct":8, "mem":80, "pmem":176 }{"seq":7, "type":2, "level":1, "func":"{main}, "st":1448387651119460, "return":"1", "wt":15, "ct":14, "mem":112, "pmem":208 }

五.逻辑分析

1.解析监控进程

开一个后台进程一直刷新进程列表，如果出现没有tracer的进程就立即进行托管

2.json提取

通过对每一个文件的json进行提取，提取过程如下:

便利所有文件
读读取文件
提取json，按照seq排序
提取 type=2 的与 type=1 的进行合并
按照level梳理上下级关系存储同一个字典
按照seq排序，取出头函数进行输出
提取恶意函数往上提取level直到 level=0

函数对应如下:

#!pythonlist1={     level1:[seq,type,func,param,return]     level2:[seq,type,func,param,return]     level3:[seq,type,func,param,return] #eval      level4:[seq,type,func,param,return]}list2=

3.数据查看

通过追踪危险函数，然后将其函数执行之前的关系梳理出来进行输出，然后再进行人工审查。

放上demo

六.使用XDEBUG

安装

#!bashapt-get install php5-xdebug

修改 php.ini

#!bash[xdebug]zend_extension = "/usr/lib/php5/20131226/xdebug.so"xdebug.auto_trace = onxdebug.auto_profile = onxdebug.collect_params = onxdebug.collect_return = onxdebug.profiler_enable = onxdebug.trace_output_dir = "/tmp/ad/xdebug_log"xdebug.profiler_output_dir = "/tmp/ad/xdebug_log"

放上几个demo图片:

七.优缺点

缺点

人为参与力度较大，无法进行脱离人工的操作进行独立执行。

优点

精准度高，对于面向对象和面向过程的代码都可以进行分析。

0x01 语法分析（静态分析）

案例：

http://php-grinder.com/
http://rips-scanner.sourceforge.net/

一.使用php-parser

介绍：

http://www.oschina.net/p/php-parser
https://github.com/nikic/PHP-Parser/

二.安装

#!shellgit clone https://github.com/nikic/PHP-Parser.git & cd PHP-Parsercurl -sS https://getcomposer.org/installer | php

PHP >= 5.3; for parsing PHP 5.2 to PHP 5.6

#!bashphp composer.phar require nikic/php-parser

PHP >= 5.4; for parsing PHP 5.2 to PHP 7.0

#!bashphp composer.phar require nikic/php-parser 2.0.x-dev

三.测试

#!php<?phpinclude 'autoload.php';use PhpParser\Error;use PhpParser\ParserFactory;$code = '<?php  eval($_POST[c][/c])?>';$parser = (new ParserFactory)->create(ParserFactory::PREFER_PHP7);try {    $stmts = $parser->parse($code);    print_r($stmts);    // $stmts is an array of statement nodes} catch (Error $e) {    echo 'Parse Error: ', $e->getMessage();}

输出如下:

#!jsArray(    [0] => PhpParser\Node\Expr\Eval_ Object        (            [expr] => PhpParser\Node\Expr\ArrayDimFetch Object                (                    [var] => PhpParser\Node\Expr\Variable Object                        (                            [name] => _POST                            [attributes:protected] => Array                                (                                    [startLine] => 1                                    [endLine] => 1                                )                        )                    [dim] => PhpParser\Node\Expr\ConstFetch Object                        (                            [name] => PhpParser\Node\Name Object                                (                                    [parts] => Array                                        (                                            [0] => c                                        )                                    [attributes:protected] => Array                                        (                                            [startLine] => 1                                            [endLine] => 1                                        )                                )                            [attributes:protected] => Array                                (                                    [startLine] => 1                                    [endLine] => 1                                )                        )                    [attributes:protected] => Array                        (                            [startLine] => 1                            [endLine] => 1                        )                )            [attributes:protected] => Array                (                    [startLine] => 1                    [endLine] => 1                )        ))

由此可见，我们需要提取出

#!js[0] => PhpParser\Node\Expr\Eval_ Object[name] => _POST[parts] => Array                                        (                                            [0] => c                                        )

然后进行拼接之后即可发现原始语句是:

#!phpeval($_POST[c][/c])

四.逻辑分析

代码解析

通过该库进行语法分析
提取结果
提取危险函数
提取危险函数中存在的变量
从上文中提取此变量的赋值方式
分析出可控结果
输出结果

五.优缺点

缺点

对于面向对象的程序进行分析比较弱。

优点

适合大批量的自动化分析，可以脱离人工操作进行独立执行

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

11個最佳PHP URL縮短腳本（免費和高級）Mar 03, 2025 am 10:49 AM

長URL（通常用關鍵字和跟踪參數都混亂）可以阻止訪問者。 URL縮短腳本提供了解決方案，創建了簡潔的鏈接，非常適合社交媒體和其他平台。這些腳本對於單個網站很有價值

Instagram API簡介Mar 02, 2025 am 09:32 AM

在Facebook在2012年通過Facebook備受矚目的收購之後，Instagram採用了兩套API供第三方使用。這些是Instagram Graph API和Instagram Basic Display API。作為開發人員建立一個需要信息的應用程序

在Laravel中使用Flash會話數據Mar 12, 2025 pm 05:08 PM

Laravel使用其直觀的閃存方法簡化了處理臨時會話數據。這非常適合在您的應用程序中顯示簡短的消息，警報或通知。默認情況下，數據僅針對後續請求： $請求 -

構建具有Laravel後端的React應用程序：第2部分，ReactMar 04, 2025 am 09:33 AM

這是有關用Laravel後端構建React應用程序的系列的第二個也是最後一部分。在該系列的第一部分中，我們使用Laravel為基本的產品上市應用程序創建了一個RESTFUL API。在本教程中，我們將成為開發人員

簡化的HTTP響應在Laravel測試中模擬了Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法，简化了 HTTP 交互测试。这种方法显著减少了代码冗余，同时使您的测试模拟更直观。基本实现提供了多种响应类型快捷方式： use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>