网安第十一节

四、Web后端PHP基础安全PHP核心原理与文件上传1、PHP介绍1.定义PHPHypertext Preprocessor超文本预处理器是一门开源的服务器端脚本编程语言专门用于开发Web网站的后端逻辑。2.核心关键服务器端PHP代码只在远程服务器上运行客户端只能看到运行结果网页、图片、文字等看不到PHP源码。脚本语言无需编译PHP引擎直接执行开发/运行效率高。Web专属PHP专门处理网站后台业务逻辑全球使用率最高。3.PHP在网站中角色网站的组成分为 [前端] 和 [后端] 两者分工明确缺一不可 ​前端HTML/CSS/JS只负责 [展示] 比如页面布局、按钮样式、图片显示运行在用户电脑决定网站 [长什么样] 。后端PHP网站核心大脑只负责 [处理业务逻辑] 运行在服务器决定网站 [能做什么] 。PHP负责处理网站所有的核心操作1 验证用户的账号密码是否正确判断能否登录2 接受用户上传的文件、表单信息并处理/保存3 操作数据库实现数据的增删改查比如存储用户信息、文章内容4 处理用户的所有请求返回对应的结果给前端。2、PHP文件解析打开PHP文件1.操作一PHPStudy打开PHP配置文件ctrlf #查找DocumentRoot 文件路径将PHP文件保存到该文件路径下通过服务器的IP地址在网页打开2.操作二代码编辑器如Trae下载扩展插件·PHP Debug·PHP Intelephense扩展设置Intelephense › Files: Associations→在settings.json中编辑{workbench.colorTheme: Light,php.validate.executablePath: D:\xiazai\PHP\PHPTutorial\php\php-5.4.45\php.exe,php.debug.executablePath: D:\xiazai\PHP\PHPTutorial\php\php-5.4.45\php.exe,}保存后即可执行PHP文件。3、PHP核心基础语法1.PHP变量1 变量的定义PHP中变量是存储数据的容器比如存储路径、存储上传文件名、存储接收参数等。2 变量核心规则必须以 $ 开头比如$name、$upload_dir 、 $file_name变量名区分大小写比如$name 和 $Name 是两个不同的变量变量可以直接赋值PHP会自动识别变量类型3 网安常用变量场景在代码漏洞中最常见的PHP变量就是文件上传相关的$upload_dir 文件保存目录、$file_name文件名、$file_path文件完整路径。2.PHP字符串拼接1 拼接规则PHP中拼接两个字符串比如把 [保存目录] 和 [文件名] 拼在一起得到完整路径使用英文点号.完成这是文件上传漏洞的核心语法没有例外2 核心案例必背文件上传漏洞100%出现$upload_dir ./uploads/; // 定义文件保存目录$file_name test.php; // 定义文件名$file_path $upload_dir . $file_name; // 拼接得到完整路径./uploads/test.php3 网安意义文件上传漏洞中攻击者就是利用这个语法通过篡改文件名将恶意文件拼接成合法路径文件保存到服务器。3.PHP超全局变量1 超全局变量任何位置可直接使用官方内置变量专门接受用户传递的各种数据可直接调用2 核心特点大写数组形式专门接受用户从浏览器传递给服务器的数据是后端接收前端参数的核心方式也是所有Web漏洞的 [数据入口] 。3 必学的3个超全局变量第一$_FILES 超全局变量——文件上传专属$_FLIES专门接收用户上传文件的所有信息核心语法$_FILES[表单名][属性名]必记2个核心属性a.$_FILES[file][name]获取用户上传文件的 [原始文件名] 比如 头像.jpg 、test.php重点这个值是攻击者可以随意篡改的攻击者可以把恶意PHP文件改成 头像.jpg.php 伪装成图片这是文件上传漏洞的核心利用点。b.$_FILES[file][tmp_name]获取用户上传文件在服务器的 [临时文件名临时路径] ;重点这个值是PHP自动生成的攻击者完全无法篡改、无法伪造是PHP的安全机制用来防止攻击者伪造文件上传。第二$_GET超全局变量——接收GET请求传递的参数$_GET专门接收浏览器URL中 [GET请求] 传递的数据语法$_GET[参数名]案例访问网址 http://www.xxx.com/index.php?useradminpwd123 后端接收参数$user $_GET[user]; // 接收的值是admin ​$pwd $_GET[pwd]; // 接收的值是123特点参数在URL中可见适合传递非敏感的查询数据。第三$_POST超全局变量——接收POST请求传递的参数$_POST专门接收藏在请求主体 [POST请求] 传递的数据语法$_POST[参数名]案例用户登录输入账号密码点击登录后端接收参数$user $_POST[username]; // 接收账号$pwd $_POST[password]; // 接收密码特点适合传递敏感数据、大文件、表单信息文件上传、登录、注册等所有核心操作都用POST传参网安重点WebShell的核心代码中100%会用到$_POST比如$_POST[123]用来接收 攻击者的恶意指令。4.PHP后端接收前端数据这是Web交互的核心也是漏洞的起点前端所有数据全会通过 [超全局变量] 被后端PHP接收处理没有第二种方式1.接收GET请求的参数→用$_GET场景查询数据、搜索内容、分页等语法$_变量名 $_GET[参数名];2.接收POST请求的参数→用$_POST场景登录、注册、提交表单、文件上传的表单信息等语法$变量名 $_POST[参数名]3.接受上传的文件信息→用$_FILES场景所有文件上传操作语法$变量名 $_FILES[参数名]核心意义所有的Web漏洞本质都是 [后端接收了前端的恩怨参数并没有做过滤直接使用/执行]。比如SQL注入是接受了恶意的查询参数文件上传是接收了恶意的文件名代码执行是接收了恶意的指令参数。4、文件上传完整流程所有网页文件上传顺序不变、逻辑不变的4个固定步骤。步骤一用户选文件用户通过的上传表单选择上传文件点击 [上传] 按钮浏览器会把文件基本信息文件名、大小、类型整理好准备上传。步骤二浏览器打包浏览器将文件以 [二进制数据包] 的形式打包通过POST请求发送给服务器使用POST原因因为GET请求传递数据量小POST无数据量限制是文件上传的唯一方式。步骤三服务器接收临时仓库服务器收到数据包后不会直接保存到指定目录而是会存入服务器 [临时目录] 并由PHP自动生成 [临时文件名] 这个文件名就是$_FILES[file][tmp_name];核心特点临时文件会在PHP脚本执行结束后自动删除。步骤四PHP代码做最终决策整个流程的核心步骤也是文件上漏洞产生的唯一环节所有操作都由PHP代码决定3个PHP核心操作1.决定 [要不要接收这个文件] 过滤文件类型、文件名2.决定 [把文件存到哪里] 指定保存目录比如./up loads/;3.决定 [给文件起什么名字] 使用原始文件名还是重命名最后PHP会调用核心函数move_upload_file()将临时目录中的文件 [搬运] 到指定的保存目录文件搬运成功后才算 [真的搬运成功] !文件上传核心函数move_uploaded_file()1.语法move_uploaded_file(临时文件路径目标保存路径)比如move_uploaded_file($_FILES[file][tmp_name],$file_path);2.核心特点安全特性这是PHP安全函数只能搬运通过POST请求上传的临时文件无法搬运服务器上的其他文件能有效防止攻击者伪造文件上传无过滤特性这个函数只是 [搬运工] 只负责搬文件不会检查文件的类型、内容、是否为恶意文件核心结论这个函数本身没有漏洞文件上传漏洞的产生永远不是这个函数的问题而是PHP代码没有在搬运前做过滤效验。5、WebShell1.WebShell定义WebShell 攻击者通过漏洞上传到目标服务器、能被服务器执行、可以远程控制服务器的PHP脚本文件也被称为 [网站后门] 、 [网页后门] 。2.WebShell特点特点1本质就是一个普通的PHP文件后缀是.php和正常的PHP文件没有任何区别特点2不是病毒、不是工具只是一段包含 [恶意执行逻辑] 的PHP代码特点3核心能力是 [接受攻击者的远程指令并要服务器执行] 实现对服务器的远程控制。3.WebShell生效必备条件与文件上传漏洞利用条件完全一致也是所有后门生效的核心条件1 成功上传WebShell文件被成功保存到目标服务器指定目录2 可访问攻击者能通过浏览器访问到这个WebShell文件的完整地址3 可解析文件所在目录支持PHP解析服务器能把它当成PHP脚本执行。4.最经典的2种PHP WebShell这两种WebShell是PHP后门的基础代码极简、危害极大所有复杂的WebShell都是基于这两种形态拓展的代码必须背会原理必须吃透1代码执行型WebShell?php eval($_POST[123]); ?核心函数eval()函数作用将 [接收到的字符串] 当成 [合法的PHP代码] 直接交给服务器解析执行运行逻辑攻击者通过POST请求向这个文件传递任意的PHP代码比如删库、查数据eval()会把这些代码执行实现对网站的控制危害范围控制网站的PHP程序操作网站的数据库、文件、内容。2系统型命令WebShell?php system($_POST[123]; ?)核心函数system()函数作用将 [接收到的字符串] 当成 [服务器的操作系统命令] 直接交给服务器执行运行逻辑攻击者通过POST请求传递任意的系统命令比如查看服务器文件、新建账号、删除文件system()会把这些命令执行危害范围控制整个服务器的操作系统权限极高危害远大于第一种。5.WebShell核心原理所有 Web漏洞的底层根源服务器 [盲目信任] 攻击者的输入[未做过滤] 把攻击者恶意指令$_POST接收的参数当成了正常代码/指令去执行最终导致服务器被控制。6.WebShell和文件上传漏洞的关系WebShell是 [攻击的武器] ;文件上传漏洞是 [把武器送进服务器的通道] 攻击者通过 [文件上传漏洞] 将 [WebShell文件] 上传到服务器再通过访问WebShell实现对服务器的控制这是渗透测试中最经典、最常用的攻击链路【文章声明】本文仅用于安全科普与防御学习严禁用于非法攻击、未授权渗透。版权所有未经许可禁止转载商用。内容仅供参考操作风险自负。