PHP 代码审计基础

0x00 Preface

大多数漏洞都是由 [可控变量]+[特定功能] 产生的（对于用户可传入的变量缺少过滤或过滤不严）。比如SQL注入，我们通过闭合、注释等方式插入payload以获取敏感数据。比如文件上传，我们写入一句话木马以获得web权限。这样的例子数不胜数，同时也给我们提供了一个思路，在我们进行代码审计时，可以根据特定功能，查看是否存在可控变量，可控变量是否存在过滤，过滤是否存在绕过，从而检验是否存在漏洞。

渗透测试分为黑盒测试和白盒测试，黑盒测试仅给出门户网站，白盒测试不仅会给出网站，还会给出项目源码。黑盒测试时，我们只能正常的访问该网站，通常只能从网站的业务逻辑出发，对网站上存在的功能点逐个抓包，然后验证其是否存在漏洞。当然，也可以判断网站是否采用了cms，搜索cms爆出过的安全漏洞，查看是否能够利用。白盒测试时，我们不仅能够正常访问该网站，还可以对网站进行代码审计。因此，我们既可以效仿黑盒测试，根据功能点，抓包查找到对应的代码进行分析（黑盒测试只能抓包测试，无法分析代码），也可以直接在项目源码中搜索select、$_FILE、eval等关键字，对附近代码进行分析。

总的来说，黑盒测试更加贴近于黑客攻击时的情形，而白盒测试则更易发现安全问题。

0x01 MVC 框架

MVC模式（Model-View-Controller）是软件工程中的一种软件架构模式，它把软件系统分为三个基本部分：模型（Model）、视图（View）和控制器（Controller）。PHP中MVC模式也称Web MVC，是从上世纪70年代进化而来。

MVC的目的是实现一种动态的程序设计，便于后续对程序的修改和扩展简化，并且使程序某一部分的重复利用成为可能。除此之外，此模式通过对复杂度的简化，使程序结构更加直观。

MVC各部分的职能：

模型Model – 管理大部分的业务逻辑和所有的数据库逻辑，模型提供了连接和操作数据库的抽象层。
控制器Controller - 负责响应用户请求、准备数据，以及决定如何展示数据。
视图View – 负责渲染数据，通过HTML方式呈现给用户。

一个典型的Web MVC流程：

Controller截获用户发出的请求
Controller调用Model完成状态的读写操作
Controller把数据传递给View
View渲染最终结果并呈献给用户

MVC框架的好处有：1、允许更改视图层代码而不用重新编译模型和控制器代码；2、允许使用各种不同样式的视图来访问同一个服务器端的代码；3、使降低开发和维护用户接口的技术含量成为可能；4、使开发时间得到相当大的缩减等。

其实可以把MVC理解为一个规则，这么多网站，纷繁杂乱，如果大家都遵循这个规则，那么网站将变得更加容易管理和维护。此外，也可以把它理解为一个模板，增强了复用性，能够大量减少开发的工作量。同时，它将复杂的底层细节封装了起来（类与对象），使得网站的各个模块相对更加独立，不仅使得维护用户接口更加方便，而且使开发时间得到了相当大的缩减（开发人员集中精力于业务逻辑，界面程序员集中精力于表现形式）。

我们要探讨的是代码审计，与MVC框架又有什么关系呢？MVC框架有其特有的目录结构和路由规则，它与未使用该框架的网站不同，URL路径并不对应其代码文件所在位置。所以在白盒测试中，了解MVC框架有助于我们更加快速、准确地定位到网页功能点所对应的代码段，后面会有相关演示。

0x02 ThinkPHP 框架

Thinkphp框架就是MVC框架的一种，如果说MVC框架是类的话，Thinkphp框架就是其实例化后的对象。

ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。遵循Apache2开源许可协议发布，意味着你可以免费使用ThinkPHP，甚至允许把你基于ThinkPHP开发的应用开源或商业产品发布/销售。

Thinkphp教程资源：http://sites.thinkphp.cn/1556331

Hsycms是由ThinkPHP5.0框架开发的企业网站管理系统，Hsycms下载地址：https://www.hsycms.com/

访问官方部署好的在线网站，选中产品中心模块，随便选取一个产品介绍，查看其路径：

但是项目中并没有product文件，这也证实了前面我们所说的，TP采用的是MVC框架，有其特有的路由规则（TP官方文档中有详细介绍，前面已给出TP教程资源链接）。

首先查看入口文件：

接着查看路由规则：

index/Show/index通常指module、controller、function：

仔细将下图与前面图中的URL进行对比，index.php在这里只是可以省略罢了，加上它仍然可以正常访问，它所代表的正是前面所说的module:index，由于路由规则的设置，/product/195.html并不是controller和function，但也有网站是直接用/module/controller/function路由的（也有通过传参实现路由的，但其本质没有区别），module通常都是index.php。

0x03 Summary

漏洞关键字（特定功能）：

SQL 注入：
select、insert、update、mysql_query、mysqli 等
文件上传：
$_FILES、type=“file”、上传、move_uploaded_file()等
XSS 跨站：
print、print_r、echo、sprintf、die、var_dump、var_export 等
文件包含：
include、include_once、require、require_once 等
代码执行：
eval、assert、preg_replace、call_user_func、call_user_func_array 等
命令执行：
system、exec、shell_exec、``、passthru、pcntl_exec、popen、proc_open 等
变量覆盖：
extract、parse_str、import_request_variables()、$$ 等
反序列化：
serialize、unserialize、__construct 、__destruct 等
其他漏洞：
unlink、file_get_contents、show_source、file、fopen 等

通用关键字（可控变量）：

$_GET、$_POST、$_REQUEST、$_FILES、$_SERVER 等

0x04 Reference

php MVC框架实例教程

mvc框架的好处有哪些