脚本编程 - 星空博客 http://www.xklog.org/rss.php?cate=7 PHP、ASP等脚本研究 zh-cn Powered By XKLog V0.7.244.Copyright 2010 星空博客 All Rights Reserved. Mon, 06 Sep 2010 01:17:31 +0000 XKLog V0.7.244 <![CDATA[nginx 爆 0day 漏洞,上传图片可入侵服务器]]> http://www.xklog.org/article/php/nginx-0day-by-80sec.html 星空泪 国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布补丁修复该漏洞。

根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务 器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。

没错,重申一次,由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改 成图片上传就是了,由于危害非常大,就不说细节了。有兴趣的请访问 http://www.80sec.com/nginx-securit.html

说了那么多,我想大家对80sec这个顶级安全团队比较好奇吧,素包子简单介绍一下。

80sec团队由一群年轻、充满活力、充满体力、充满激情、富有创造力的未婚dota男组成,他们均在各大互联网公司从事信息安全工作,他们的口号 是know it then hack it,素包子非常认同这个观点:“我们只要非常熟悉一个事物,就有可能客观的发现它的不足之处,同时我们也能的发现该事物的优点”。

80sec的意思是“80端口的安全”,也就是“web安全”;同时由于该团队成员都是80后的年轻人,我们也可以理解为“80后安全”;另外由于 sec的发音是se ke,我们还可以理解为“80后色客”、“80后摄客”或“80后S客”,我们对80sec的理解仅受限于想象力。

下面介绍一下他们的丰功伟绩,他们曾发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的漏洞,可见硕果累累。

既然介绍了80sec,就不得不介绍另外一个非常专注WEB安全的顶级安全团队80vul,该团队同样也是由80后的男童鞋组成(90后表示压力很 大:p),他们也发现了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。

看到这里,想必大家心里都有那么点遗憾,那就是为何没有80后女黑客(我不歧视伪娘,但我必须说明不是伪娘),我也有相同的遗憾。

最后发一个小道消息,据说黑客已经在行动了;安全人员、系统管理人员、行动起来吧,赶紧修复该漏洞;最好不要有侥幸心理,否则下一个被黑客入侵的可 能就是你的网站。根据80sec安全公告的描述,临时修复方法如下,可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的 情况下采用。

http://baoz.net/nginx-0day-by-80sec/

]]> 脚本编程 http://www.xklog.org/article/php/nginx-0day-by-80sec.html Fri, 21 May 2010 16:04:27 +0000 <![CDATA[IIS源码泄露及文件类型解析错误]]> http://www.xklog.org/article/php/iis-cgifastcgi-security-hol.html 星空泪

漏洞介绍:IIS是微软推出的一款webserver,使用较为广泛,在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的 运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题,在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码,也可 能错误的将任何类型的文件以PHP的方式进行解析,使得恶意的攻击者可能攻陷支持PHP的IIS服务器,特别是虚拟主机用户可能受的影响较大。


漏洞分析:
IIS支持以CGI的方式运行PHP,但是此种模式下,IIS处理请求的时候可能导致一些同80sec提到的nginx安全漏洞一样的问题,任何用户可以 远程将任何类型的文件以PHP的方式去解析,你可以通过查看Phpinfo中对php的支持方式,其中如果为CGI/FAST-CGI就可能存在这个问 题。

黑盒访问

http://www.80sec.com/robots.txt/1.php


查看文件是否存在和返回的HTTP头就可以知道是否存在此漏洞。

同时,如果服务器支持了PHP,但应用中使用的是asp就可以通过如下方式来直接查看服务端asp源码

http://www.80sec.com/some.asp/1.php

漏洞厂商:http://www.microsoft.com

解决方案:

我们已经尝试联系官方,但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

IIS源码泄露及文件类型解析错误:http://www.80sec.com/iis-cgifastcgi-security-hol.htmlsecurity-hol.html

]]> 脚本编程 http://www.xklog.org/article/php/iis-cgifastcgi-security-hol.html Fri, 21 May 2010 16:02:26 +0000 <![CDATA[一个真正的“PHP”模板引擎]]> http://www.xklog.org/article/php/a-real-PHP-Template-engine.html 星空泪
PHP代码
  1. <?php  
  2. /** 
  3.  * 模板引擎 
  4.  * 
  5.  * Copyright(c) 2005-2008 by 陈毅鑫(深空). All rights reserved 
  6.  * 
  7.  * To contact the author write to {@link mailto:shenkong@php.net} 
  8.  * 
  9.  * @author 陈毅鑫(深空) 
  10.  * @version $Id: Template.class.php 1687 2008-07-07 01:16:07Z skchen $ 
  11.  * @package Template 
  12.  */  
  13.   
  14. defined('FW') || exit(header('HTTP/1.0 400 Bad Request'));  
  15.   
  16. class Template {  
  17.     protected static $obj;  
  18.   
  19.     public $vars;  
  20.     public $includeFiles;  
  21.     public $includeFile;  
  22.     public $templates;  
  23.     public $template;  
  24.     public $contents;  
  25.     protected $_content;  
  26.     protected $_contents;  
  27.     protected $_path;  
  28.   
  29.     protected function __construct() {  
  30.         $this->vars = array();  
  31.         require_once ROOT_PATH . "lib/template.func.php";  
  32.     }  
  33.   
  34.     /** 
  35.      * 初始化模板引擎 
  36.      * 
  37.      * @return object 模板引擎对象 
  38.      */  
  39.     public static function &init() {  
  40.         if (is_null(self::$obj)) {  
  41.             self::$obj = new Template();  
  42.         }  
  43.         return self::$obj;  
  44.     }  
  45.   
  46.     /** 
  47.      * 注册模板变量 
  48.      * 
  49.      * 注册模板变量后在模板里就可以直接使用该变量,注册与被注册变量名不一定要一样 
  50.      * 如:$template->assign('var', $value); 
  51.      * 意思是将当前变量$value注册成模板变量var,在模板里就可以直接调用$val 
  52.      * 
  53.      * @param string $var 注册到模板里的变量名的字符串形式,不包含$ 
  54.      * @param mixed $value 需要注册的变量 
  55.      */  
  56.     public function assign($var$value) {  
  57.         if (is_array($var)) {  
  58.             foreach ($var as $key => $val) {  
  59.                 $this->vars[$key] = $val;  
  60.             }  
  61.         } else {  
  62.             $this->vars[$var] = $value;  
  63.         }  
  64.     }  
  65.   
  66.     /** 
  67.      * 解析模板文件 
  68.      * 
  69.      * 解析模板,并将变量植入模板,解析完后返回字符串结果 
  70.      * 
  71.      * @param unknown_type $templates 
  72.      * @return unknown 
  73.      */  
  74.     public function fetch($templates) {  
  75.         if (is_array($templates)) {  
  76.             $this->templates = $templates;  
  77.         } else {  
  78.             $this->templates = func_get_args();  
  79.         }  
  80.         extract($this->vars);  
  81.   
  82.         $this->_contents = '';  
  83.         foreach ($this->templates as $this->template) {  
  84.             ob_end_clean();  
  85.             ob_start();  
  86.             $this->_path = $this->getPath($this->template);  
  87.             require $this->_path;  
  88.             $this->_content = ob_get_contents();  
  89.             ob_end_clean();  
  90.             ob_start();  
  91.             $this->_contents .= $this->_content;  
  92.             $this->contents[$this->template] = $this->_content;  
  93.         }  
  94.         return $this->_contents;  
  95.     }  
  96.   
  97.     public function getPath($path) {  
  98.         $path = explode("."$path);  
  99.         $num = count($path);  
  100.         if ($num == 1) {  
  101.             return ROOT_PATH . "template" . DIRECTORY_SEPARATOR . $path[0] . ".html";  
  102.         } elseif ($num > 1) {  
  103.             $templatePath = '';  
  104.             $templatePath = $path[$num - 1];  
  105.             array_pop($path);  
  106.             $templatePath = ROOT_PATH . implode(DIRECTORY_SEPARATOR, $path) . DIRECTORY_SEPARATOR . 'template' . DIRECTORY_SEPARATOR . $templatePath . ".html";  
  107.             return $templatePath;  
  108.         } else {  
  109.             return false;  
  110.         }  
  111.     }  
  112.   
  113.     public function display($templates = array()) {  
  114.         if (!is_array($templates)) {  
  115.             $templates = func_get_args();  
  116.         }  
  117.         if (emptyempty($templates)) {  
  118.             foreach ($this->templates as $this->template) {  
  119.                 echo $this->contents[$this->template];  
  120.             }  
  121.         } else {  
  122.             echo $this->fetch($templates);  
  123.         }  
  124.     }  
  125. }  
  126.   
  127. //end of script  
PHP代码
  1. <?php  
  2. /** 
  3.  * 模板扩充函数 
  4.  * 
  5.  * Copyright(c) 2005 by 陈毅鑫(深空). All rights reserved 
  6.  * 
  7.  * To contact the author write to {@link mailto:shenkong@php.net} 
  8.  * 
  9.  * @author 陈毅鑫(深空) 
  10.  * @version $Id: template.func.php 1687 2008-07-07 01:16:07Z skchen $ 
  11.  * @package Template 
  12.  */  
  13.   
  14. defined('FW') || exit(header('HTTP/1.0 400 Bad Request'));  
  15.   
  16. /** 
  17.  * 包含模板 
  18.  * 
  19.  * 当你需要在主模板文件里(有些模板引擎称之为layout布局模板,其实不是所有模板都是布局) 
  20.  * 再包含其他公共模板的时候,使用该函数进行包含,则所有已注册的变量均可在被包含文件里使 
  21.  * 用,貌似支持多层嵌套,没有测试过,参数可以使用数组,也可以使用多个参数,如: 
  22.  * <?=includeFile('user.header', 'user.main', 'user.footer')?> 或者 
  23.  * <?=includeFile(array('user.header', 'user.main', 'user.footer'))?> 
  24.  * 
  25.  * @param string|array $filename 模板名(module.templateName形式) 
  26.  */  
  27. function includeFile($templates) {  
  28.     $template = Template::init();  
  29.     if (is_array($templates)) {  
  30.         $template->includeFiles = $templates;  
  31.     } else {  
  32.         $template->includeFiles = func_get_args();  
  33.     }  
  34.     extract($template->vars);  
  35.     foreach ($template->includeFiles as $template->includeFile) {  
  36.         require $template->getPath($template->includeFile);  
  37.     }  
  38. }  
  39.   
  40. //end of script  
]]> 脚本编程 http://www.xklog.org/article/php/a-real-PHP-Template-engine.html Sat, 21 Nov 2009 00:29:22 +0000 <![CDATA[PHP5中的Class/Object函数]]> http://www.xklog.org/article/php/php5-in-the-class-object-functions.html 星空泪 class_exists — 判定一个类是否已经被定义
get_class_methods — 获取某个类中所有方法的名称
get_class_vars — 获取一个类中所有的特性
get_class — 返回一个方法所在的类名
get_declared_classes — 显示已定义的类的信息
get_declared_interfaces — 显示已定义的接口的信息
get_object_vars — 获取一个对象中所有的特性
get_parent_class — 获取一个类的父类的名称
interface_exists — 判定一个接口是否存在
is_a — 判定一个对象是否属于一个类或者是这个类的派生类
is_subclass_of — 判定一个对象或者类是否是另一个类的子类或者是子类的对象
method_exists — 判定一个方法是否存在于某个类
property_exists — 判定一个对象或者方法是否具有某一特性

这个库里面的call_user_method_array()函数和call_user_method()函数是PHP不建议使用的函数,如果要实现此功能,应该使用《PHP中处理函数的函数(Function Handling Functions)》这里的call_user_func_array()函数和call_user_func()函数代替。

PHP代码
        
  1. <?php   
    2.     
  2. interfacetest_interface   
    3.     
  3. {   
    4.     
  4.     publicfunctiontest_method();   
    5.     
  5. }   
    6.     
  6.     
    7.     
  7. classtest_classimplementstest_interface   
    8.     
  8. {   
    9.     
  9.     public$test_value1;   
    10.     
  10.     private$test_value2;   
    11.     
  11.     
    12.     
  12.     functiontest_method()   
    13.     
  13.     {   
    14.     
  14.     }   
    15.     
  15. }   
    16.     
  16.     
    17.     
  17. classtest_class2extendstest_class   
    18.     
  18. {   
    19.     
  19. }   
    20.     
  20. ?>  

method_exists()函数的作用是判定一个方法是否存在于某个对象中,method_exists()函数有两个参数,第一个参数表示对象,第二个参数变数需要判定方法的名称。

PHP代码
        
  1. <?php   
    2.     
  2. $test_object=newtest_class;   
    3.     
  3. var_dump(method_exists($test_object,'test_method'));//显示 bool(true)   
    4.     
  4. ?>  

class_exists()函数的作用是判定一个类是否被定义,class_exists()函数有一个参数,表示类的名称

PHP代码
        
  1. <?php   
    2.     
  2. var_dump(class_exists('test_class'));//显示 bool(true)   
    3.     
  3. ?>   

property_exists()函数的作用是判定一个对象或者方法是否存在某一特性,特性其实就是对象或者类的非私有属性,property_exists()函数有两个参数,第一个参数可以是一个对象或者类名,第二个参数表示需要判定的特性名称

PHP代码
        
  1. <?php   
    2.     
  2. var_dump(property_exists('test_class','test_value1'));//显示 bool(true)   
    3.     
  3. var_dump(property_exists('test_class','test_value2'));//显示 bool(false)   
    4.     
  4. var_dump(property_exists(newtest_class,'test_value1'));//显示 bool(true)   
    5.     
  5. var_dump(property_exists(newtest_class,'test_value2'));//显示 bool(false)   
    6.     
  6. ?>  

interface_exists()函数的作用是判定一个接口是否存在,interface_exists()函数有一个参数,表示接口的名称。

PHP代码
        
  1. <?php   
    2.     
  2. var_dump(interface_exists('test_interface'));//显示 bool(true)   
    3.     
  3. ?>  

is_a()函数的作用是判定一个对象是否属于一个类或者是这个类的派生类,is_a()函数有两个参数,第一个参数表示一个对象,第二个参数表示类的名称。

PHP代码
        
  1. $test_object=newtest_class2;   
    2.     
  2. var_dump(is_a($test_object,'test_class'));//显示 bool(true)   
    3.     
  3. var_dump(is_a($test_object,'test_class2'));//显示 bool(true)  

is_subclass_of()函数的作用是判定一个对象或者类是否是另一个类的子类或者是子类的对象,is_subclass_of()函数有两个参数,第一个参数表示需要判定的对象或者类名,第二个参数表示一个类名。

PHP代码
        
  1. $test_object=newtest_class2;   
    2.     
  2. var_dump(is_subclass_of($test_object,'test_class'));//显示 bool(true)   
    3.     
  3. var_dump(is_subclass_of('test_class2','test_class'));//显示 bool(true)  

get_class_vars()函数的作用是获取一个类中所有的特性,get_object_vars()函数的作用是获取一个对象中所有的特性,特性其实就是对象或者类的非私有属性

PHP代码
        
  1. $test_object=newtest_class;   
    2.     
  2. $class_vars=get_object_vars($test_object);   
    3.     
  3. print_r($class_vars);   
    4.     
  4. /* 显示  
    5.     
  5. Array  
    6.     
  6. (  
    7.     
  7.     [test_value1] =>  
    8.     
  8. )  
    9.     
  9. */  
    10.     
  10.     
    11.     
  11. $class_vars=get_class_vars('test_class');   
    12.     
  12. print_r($class_vars);   
    13.     
  13. /* 显示  
    14.     
  14. Array  
    15.     
  15. (  
    16.     
  16.     [test_value1] =>  
    17.     
  17. )  
    18.     
  18. */  

get_parent_class()函数的作用是获取一个类的父类的名称。

PHP代码
        
  1. echoget_parent_class('test_class2');   
    2.     
  2. // 显示 test_class  

get_declared_classes()函数的作用是显示已定义的类的信息,get_declared_interfaces()函数的作用是显示已定义的接口的信息。

PHP代码
        
  1. print_r(get_declared_classes());   
    2.     
  2. print_r(get_declared_interfaces());   
    3.     
  3. // 显示所有已定义的类和接口的信息  

 

]]> 脚本编程 http://www.xklog.org/article/php/php5-in-the-class-object-functions.html Mon, 19 Oct 2009 09:08:30 +0000 <![CDATA[PHPWind Forum V7.5 数据结构参考手册]]> http://www.xklog.org/article/php/PHPWind-Forum-V7-5-Data-Structure.html 星空泪 PHPWind Forum V7.5 数据结构参考手册

点击这里下载

]]> 脚本编程 http://www.xklog.org/article/php/PHPWind-Forum-V7-5-Data-Structure.html Mon, 28 Sep 2009 21:45:55 +0000 <![CDATA[UCenter 密码算法规则和生成方法]]> http://www.xklog.org/article/php/UCenter-password-algorithm-and-the-way-to-create.html 星空泪   康盛的系列产品,包括 Discuz、UCHome、Supesite 都集成了统一个用户系统——UCenter,用户登录的密码也保留在 UCenter 中,对于其他系统集成或导出数据到 UCenter系统,通常会碰到密码生成的题目,这里就讨论一下 UCenter 的用户密码算法规则和生成方法。

  密码通常使用 MD5 对用户密码 HASH 后保留在数据库中的方法,假如黑客拿到了这个 HASH 数值,那么可以采用字典的方式暴力破解,假如这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很轻易就能破解常见的密码,因此 UCenter 采用了 salt 来防止这种暴力破解,salt 是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将 salt 值各单向函数运算的结果存入数据库中。假如可能的 salt 值的数量足够大的话,它实际上就消除了对常用口令采用的字典式攻击,由于黑客不可能在数据库中存储那么多 salt 和用户密码组合后的 HASH 值。

  UCenter 的创始人密码是保留在文件中的,打开 uc 下面 /data/config.inc.php 文件,里面的 UC_FOUNDERPW 保留的就是密码,而 UC_FOUNDERSALT 保留的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码 MD5,然后添加 salt,然后再次MD5,产生的 HASH 数值保留在 config.inc.php 文件中,因此修改 UC_FOUNDERPW 里面的数值就可以修改 UCenter 的创始人密码。

  UCenter 的用户信息是保留在 uc_members 表中,在这个表中,每个用户都有一个不同的随机 salt 字段,表中的 password 字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码 MD5 后,添加 salt,然后再 MD5,保留在 password 字段中。

  因此,假如进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入 UCenter 的 uc_members 表中,实现用户的迁移。例如,假如原有系统使用的是 md5(password) 这样的算法保留密码,那就通过程序随机生成 salt,然后计算两者累加后的 md5,这样就很轻易计算出这个用户在 UCenter 中的用户密码 HASH 值,从而实现用户的无缝迁移。

  不外,假如原有系统使用的是 md5(password+salt)的方式保留的密码,那就无法实现密码的平滑迁移 UCenter了,即使迁移,也只能人为将其 UCente r的 password 增加一个 salt 才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用 md5(md5(password)+salt)的方式保留密码,这样才能利便的实现和UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用 username 来做 salt 是个简便的方法。

  星空泪无奈地表示:XKLog 采用的是 md5(password+salt)方式,所以想要把用户信息平滑转移到其他系统几乎是不可能的,唯一的办法是重置用户的密码……

]]> 脚本编程 http://www.xklog.org/article/php/UCenter-password-algorithm-and-the-way-to-create.html Mon, 28 Sep 2009 17:40:45 +0000