首页 > web开发 > 其他综合 > 正文
1.3 PHP核心配置详解
2015-11-27 14:07:52     我来说两句      
收藏    我要投稿

代码在不同环境下执行的结果也会大有不同,可能就因为一个配置问题,导致一个非常高危的漏洞能够利用;也可能你已经找到的一个漏洞就因为你的配置问题,导致你鼓捣很久都无法构造成功的漏洞利用代码。然而,在不同的PHP版本中配置指令也有不一样的地方,新的版本可能会增加或者删除部分指令,改变指令默认设置或者固定设置指令,因此我们在代码审计之前必须要非常熟悉PHP各个版本中配置文件的核心指令,才能更高效地挖掘到高质量的漏洞。

我们在阅读PHP官方配置说明(http://www.php.net/manual/zh/ini.list.php)之前需要了解几个定义值,即PHP_INI_* 常量的定义,参见表1-1。


 

PHP配置文件指令多达数百项,为了节省篇幅,这里不一一对每个指令进行说明,只列出会影响PHP脚本安全的配置列表以及核心配置选项。

1. register_globals(全局变量注册开关)

该选项在设置为on的情况下,会直接把用户GET、POST等方式提交上来的参数注册成全局变量并初始化值为参数对应的值,使得提交参数可以直接在脚本中使用。register_globals在 PHP版本小于等于4.2.3时设置为PHP_INI_ALL,从 PHP 5.3.0 起被废弃,不推荐使用,在PHP 5.4.0中移除了该选项。

当register_globals设置为on且PHP版本低于5.4.0时,如下代码输出结果为true。

测试代码:

<?php
if($user=='admin') {
echo 'true';
//do something
}

执行结果如图1-6所示。


 

2. allow_url_include(是否允许包含远程文件)

这个配置指令对PHP安全的影响不可小觑。在该配置为on的情况下,它可以直接包含远程文件,当存在include ($var)且$var可控的情况下,可以直接控制$var变量来执行PHP代码。

allow_url_include在PHP 5.2.0后默认设置为off,配置范围是PHP_INI_ALL。与之类似的配置有allow_url_fopen,配置是否允许打开远程文件,不过该参数对安全的影响没有allow_url_include大,故这里不详细介绍。

配置allow_url_include为on,可以直接包含远程文件。测试代码如下:

<?php
include $_GET['a'];

测试截图如图1-7所示。

3. magic_quotes_gpc(魔术引号自动过滤)

magic_quotes_gpc在安全方面做了很大的贡献,只要它被开启,在不存在编码或者其他特殊绕过的情况下,可以使得很多漏洞无法被利用,它也是让渗透测试人员很头疼的一个东西。当该选项设置为on时,会自动在GET、POST、COOKIE变量中的单引号(')、双引号(")、反斜杠(\)及空字符(NULL)的前面加上反斜杠(\),但


 

是在PHP 5中magic_quotes_gpc并不会过滤$_SERVER变量,导致很多类似client-ip、referer一类的漏洞能够利用。在PHP 5.3之后的不推荐使用magic_quotes_gpc,PHP 5.4之后干脆被取消,所以你下载PHP 5.4之后的版本并打开配置文件会发现找不到这个配置选项。在PHP版本小于4.2.3时,配置范围是PHP_INI_ALL;在PHP版本大于4.2.3时,是PHP_INI_PERDIR。
测试代码如下:

<?php
echo $_GET['seay'];

测试结果如图1-8所示。


 

4. magic_quotes_runtime(魔术引号自动过滤)

magic_quotes_runtime也是自动在单引号(')、双引号(")、反斜杠(\)及空字符(NULL)的前面加上反斜杠(\)。它跟magic_quotes_gpc的区别是,处理的对象不一样,magic_quotes_runtime只对从数据库或者文件中获取的数据进行过滤,它的作用也非常大,因为很多程序员只对外部输入的数据进行过滤,却没有想过从数据库获取的数据同样也会有特殊字符存在,所以攻击者的做法是先将攻击代码写入数据库,在程序读取、使用到被污染的数据后即可触发攻击。同样,magic_quotes_runtime在PHP 5.4之后也被取消,配置范围是 PHP_INI_ALL。
 
有一个点要记住,只有部分函数受它的影响,所以在某些情况下这个配置是可以绕过的,受影响的列表包括

get_meta_tags()、file_get_contents()、file()、fgets()、fwrite()、fread()、fputcsv()、stream_socket_recvfrom()、exec()、system()、passthru()、stream_get_contents()、bzread()、gzfile()、gzgets()、gzwrite()、gzread()、exif_read_data()、dba_insert()、dba_replace()、dba_fetch()、ibase_fetch_row()、ibase_fetch_assoc()、ibase_fetch_object()、mssql_fetch_row()、mssql_fetch_object()、mssql_fetch_array()、mssql_fetch_assoc()、mysqli_fetch_row()、mysqli_fetch_array()、mysqli_fetch_assoc()、mysqli_fetch_object()、pg_fetch_row()、pg_fetch_assoc()、pg_fetch_array()、pg_fetch_object()、pg_fetch_all()、pg_select()、sybase_fetch_object()、sybase_fetch_array()、sybase_fetch_assoc()、SplFileObject::fgets()、SplFileObject::fgetcsv()、SplFileObject::fwrite()。

测试代码如下:

#文件1.txt
1'2"3\4

#文件1.php
<?php
ini_set("magic_quotes_runtime", "1");
echo file_get_contents("1.txt");

测试结果如图1-9所示。

5. magic_quotes_sybase(魔术引号自动过滤)

magic_quotes_sybase指令用于自动过滤特殊字符,当设置为on时,它会覆盖掉magic_quotes_gpc=on的配置,也就是说,即使配置了gpc=on也是没有效果的。这个指令与gpc的共同点是处理的对象一致,即都对GET、POST、Cookie进行处理。而它


 

们之前的区别在于处理方式不一样,magic_quotes_sybase仅仅是转义了空字符和把单引号(')变成了双引号('')。与gpc相比,这个指令使用得更少,它的配置范围是PHP_INI_ALL,在 PHP 5.4.0中移除了该选项。
测试代码如下:

<?php
echo $_GET['a'];
?>

执行结果如图1-10所示。


 

6. safe_mode(安全模式)

安全模式是PHP内嵌的一种安全机制,当safe_mode=on时,联动可以配置的指令有safe_mode_include_dir、safe_mode_exec_dir、safe_mode_allowed_env_vars、safe_mode_
protected_env_vars。safe_mode指令的配置范围为PHP_INI_SYSTEM,PHP 5.4之后被取消。
这个配置会出现下面限制:

1)所有文件操作函数(例如unlink()、file()和include())等都会受到限制。例如,文件a.php和文件c.txt的文件所有者是用户a, 文件b.txt的所有者是用户b并且与文件a.php不在属于同一个用户的文件夹中,当启用了安全模式时,使用a用户执行a.php,删除文件c.txt可成功删除,但是删除文件b.php会失败。对文件操作的include等函数也一样,如果有一些脚本文件放在非Web服务启动用户所有的目录下,需要利用include等函数来加载一些类或函数,可以使用safe_mode_include_dir指令来配置可以包含的路径。

2)通过函数popen()、system()以及exec()等函数执行命令或程序会提示错误。如果我们需要使用一些外部脚本,可以把它们集中放在一个目录下,然后使用safe_mode_exec_dir指令指向脚本的目录。

下面是启用safe_mode指令时受影响的函数、变量及配置指令的完整列表:

apache_request_headers()、ackticks()、hdir()、hgrp()、chmode()、chown()、copy()、dbase_open()、dbmopen()、dl()、exec()、filepro()、filepro_retrieve()、ilepro_rowcount()、fopen()、header()、highlight_file()、ifx_*、ingres_*、link()、mail()、max_execution_time()、mkdir()、move_uploaded_file()、mysql_*、parse_ini_file()、passthru()、pg_lo_import()、popen()、posix_mkfifo()、putenv()、rename()、zmdir()、set_time_limit()、shell_exec()、show_source()、symlink()、system()、touch()。

安全模式下执行命令失败的提示,如图1-11所示。


 

7. open_basedir PHP可访问目录

open_basedir指令用来限制PHP只能访问哪些目录,通常我们只需要设置Web文件目录即可,如果需要加载外部脚本,也需要把脚本所在目录路径加入到open_basedir指令中,多个目录以分号(;)分割。使用open_basedir需要注意的一点是,指定的限制实际上是前缀,而不是目录名。例如,如果配置open_basedir =/www/a,那么目录
/www/a和/www/ab都是可以访问的。所以如果要将访问仅限制在指定的目录内,请用斜线结束路径名。例如设置成:open_basedir = /www/a/。

当open_basedir 配置目录后,执行脚本访问其他文件都需要验证文件路径,因此在执行效率上面也会有一定的影响。该指令的配置范围在 PHP版本小于5.2.3时是PHP_INI_SYSTEM,在PHP版本大于等于5.2.3是PHP_INI_ALL。

8. disable_functions(禁用函数)

在正式的生产环境中,为了更安全地运行PHP,也可以使用disable_functions指令来禁止一些敏感函数的使用。当你想用本指令禁止一些危险函数时,切记要把dl()函数也加到禁止列表,因为攻击者可以利用dl()函数来加载自定义的PHP扩展以突破disable_functions指令的限制。

本指令配置范围为php.ini only。配置禁用函数时使用逗号分割函数名,例如:disable_functions=phpinfo,eval,passthru,exec,system。

9. display_errors和error_reporting错误显示

display_errors表明是否显示PHP脚本内部错误的选项,在调试PHP的时候,通常都把PHP错误显示打开,但是在生产环境中,建议关闭PHP错误回显,即设置display_errors=off,以避免带来一些安全隐患。在设置display_errors=on时,还可以配置的一个指令是error_reporting,这个选项用来配置错误显示的级别,可使用数字也可使用内置常量配置,数字格式与常量格式的详细信息如表1-2所示。


 


这两个指令的配置范围都是PHP_INI_ALL。

会影响到安全的指令大致就介绍到这里,表1-3列出一些常用指令以及对应的说明。


 

 

点击复制链接 与好友分享!回本站首页
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.2 lamp/lnmp环境搭建
下一篇:引言
相关文章
图文推荐
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站