By 咖啡(k4kup8_0x4154_gmail.com)
[目录]
1. 简述
2. php的执行流程
3. php的生命周期
4. php源代码分析以及功能性代码的实现
5. 总结
6. 参考资料
一、简述
依据php特定运行环境、php某些特定函数缺陷、php普通函数可以实现变化多端的php
webshell,php版本的scanwebshell也不是太给力。php webshell功能最大化就是实现文件、
目录、命令、数据库等操作,这些都是基于php代码实现的。把相关功能化的php函数运行参
数提取出来,然后做一个判断,这样就能从本质上防范php webshell,在php这个层面实现
其安全的最大化。这里介绍下通过编写php扩展来实现这个思路,当然需要的话也可以重新
编译php源代码来实现。
首先我们了解下php的执行流程、php生命周期,接下来通过分析具体函数的php源代码
来实现功能性代码。
二、php的执行流程
2.1 scanner
将PHP代码转换为Tokens,详见代码Zend/zend_language_scanner.l。
2.2 parser
将Tokens转换成表达式,详见代码Zend/zend_language_parser.y。
2.3 compile
将表达式编译成opcode。opcode存放在op_array中。
2.4 execute
Zend Engine调用zend_execute来执行op_array,输出结果。
三、php的生命周期
3.1 STARTUP
1、初始化引擎和核心组件。
2、解析php.ini。
3、初始化静态构建的模块(MINIT)。
4、初始化共享模块(MINIT)。
3.2 ACTIVATION
1、初始化环境变量、变量。
2、激活静态构建的模块(RINIT) 。
3、激活共享模块(RINIT) 。
3.3 RUNTIME
1、编译和执行php.ini中auto_prepend_file选项指定的文件。
2、编译和执行所请求的文件。
3、编译和执行php.ini中auto_append_file选项指定的文件。
3.4 DEACTIVATION
1、调用用户指定的退出函数。
2、销毁对象实例。
3、停用模块(RSHUTDOWN)。
4、清空输出。
5、清理环境。
6、释放剩余的非持久内存。
3.5 SHUTDOWN
1、关闭启动的全部模块(MSHUTDOWN)。
2、关闭引擎。
四、php源代码分析以及功能性代码的实现
php函数分为两种:一种是Zend的函数,这类函数数量比较少,比如eval函数。第二种
是由PHP_FUNCTION宏编写的,这类函数数量比较多,比如system函数。实现对两类函数在提
取运行时的参数的方式也不相同,比如处理eval函数用重写zend_compile_string的方式,
而处理system函数则对HashTable操作。下边就以eval函数和system函数为例进行分析、代
码实现。
4.1 eval函数代码分析与代码实现
首先我们看php源代码中eval函数是如何实现的,部分代码如下:
// PHPSRC/Zend/zend_vm_def.h
if (inc_filename->type!=IS_STRING) {
tmp_inc_filename = *inc_filename;
zval_copy_ctor(&tmp_inc_filename);
convert_to_string(&tmp_inc_filename);
inc_filename = &tmp_inc_filename;
}
case ZEND_EVAL: {
/* 调用zend_make_compiled_string_description函数 */
char *eval_desc = zend_make_compiled_string_description("eval()"d code" TSRMLS_CC);
/* 调用zend_compile_string函数 */
new_op_array = zend_compile_string(inc_filename, eval_desc TSRMLS_CC);
efree(eval_desc);
}
/* 执行op_array */
zend_execute(new_op_array TSRMLS_CC);
//PHPSRC/Zend/zend.c
#define COMPILED_STRING_DESCRIPTION_FORMAT "%s(%d) : %s"
ZEND_API char *zend_make_compiled_string_description(char *name TSRMLS_DC)
{
zend_spprintf(&compiled_string_description, 0, COMPILED_STRING_DESCRIPTION_FORMAT, cur_filename, cur_lineno, name);
return compiled_string_description; //返回值包含"eval()"d code"字符串
}
//PHPSRC/Zend/zend_compile.c
ZEND_API zend_op_array *(*zend_compile_string)(zval *source_string, char *filename TSRMLS_DC);
zend_compile_string一个函数指针。下边看下引擎初始化的时候对zend_compile_string的操作。
int zend_startup(zend_utility_functions *utility_functions, char **extensions, int start_builtin_functions)
{
zend_compile_string = compile_string; //对zend_compile_string函数的地址赋值
只要检查op_array中是否含有”eval()”d code”字符串,就能判断是否是在执行eval函数。
在引擎初始化的时候,默认会将compile_string函数的地址赋值给zend_compile_string,
compile_string函数则返回一个指向zend_op_array的指针。如果能在php代码编译之前对
zend_compile_string进行重写,那么就能达到劫持的目的。根据php的生命周期,对
zend_compile_string进行重写应该放在STARTUP或者ACTIVATION这两个阶段,而编写php扩
展所使用到的PHP_MINIT_FUNCTION和PHP_RINIT_FUNCTION宏就分别处在STARTUP和ACTIVATION
这个两个阶段,这是为什么呢?我们先看下php.h代码中对PHP_MINIT_FUNCTION宏的定义。
#define PHP_MINIT_FUNCTION ZEND_MODULE_STARTUP_D
//ZEND_MODULE_STARTUP_D定义在zend_API.h
#define ZEND_MODULE_STARTUP_D(module) int ZEND_MODULE_STARTUP_N(module)(INIT_FUNC_ARGS)
//ZEND_MODULE_STARTUP_N定义在zend_API.h
#define ZEND_MODULE_STARTUP_N(module) zm_startup_##module
//INIT_FUNC_ARGS定义在zend_modules.h
#define INIT_FUNC_ARGS int type, int module_number TSRMLS_DC
-------------------------------------------------------------------------------
PHP_MINIT_FUNCTION(module)的原型就是:
--code-------------------------------------------------------------------------
zm_startup_module(int type, int module_number TSRMLS_DC)
-------------------------------------------------------------------------------
同样的PHP_RINIT_FUNCTION(module)的原型为:
--code-------------------------------------------------------------------------
zm_activate_module(int type, int module_number TSRMLS_DC)
-------------------------------------------------------------------------------
关于对eval函数运行参数截取分析的实现代码如下:
#define OVECCOUNT 30
/* 具体正则表达式要按照具体的需求来写,下面正则仅为测试用 */
#define eval_regex_value "(((chr\(\d*?\)|base64_decode\(|eval|gzinflate\(|system|shell_exec|popen|pclose|proc_close|proc_get_status|proc_nice|
proc_terminate|exec|passthru|show_source|escapeshellcmd|escapeshellarg system|shell_exec|popen|pclose|proc_open|proc_close|proc_get_status|proc_nice|proc_terminate|exec|
passthru|show_source|escapeshellcmd|escapeshellarg)\([{}"$\w\s]*?\));).*?"
static zend_op_array* (*old_compile_string)(zval *source_string, char *filename TSRMLS_DC);
static zend_op_array* safe_compile_string(zval *source_string, char *filename TSRMLS_DC);
PHP_RINIT_FUNCTION(safe) //PHP_MINIT_FUNCTION(safe)也可
{
safe_hook_execute();
return SUCCESS;
}
PHP_RSHUTDOWN_FUNCTION(safe) //PHP_MSHUTDOWN_FUNCTION(safe)也可
{
safe_unhook_execute();
return SUCCESS;
}
int matchpattern(char *src, char *pattern, int i) //正则匹配函数
{
pcre *re;
const char *error; |
