一、前言
在我们挖掘PHP应用程序漏洞的过程中,我们向著名的Webmail服务提供商Roundcube提交了一个远程命令执行漏洞(CVE-2016-9920)。该漏洞允许攻击者通过利用Roundcube接口发送一个精心构造的电子邮件从而在目标系统上执行任意命令。在我们向厂商提交漏洞,发布了相关的漏洞分析文章后,由于PHP内联函数mail()导致的类似安全问题在其他的PHP应用程序中陆续曝出。在这篇文章中,我们将分析一下这些漏洞的共同点,那些安全补丁仍然存在问题,以及如何安全的使用mail()函数。
二、浅析PHP的mail()函数
PHP自带了一个内联函数mail()用于在PHP应用程序中发送电子邮件。开发者可以通过使用以下五个参数来配置邮件发送。
这个函数的前三个参数这里就不细说了,因为这些参数一般情况下不会受到注入攻击的影响。但是,值得关注的一点是,如果$to参数由用户控制控制的话,那么其可以向任意电子邮件地址发送垃圾邮件。
三、邮件头注入
在这篇文章中我们重点分析后两个参数。第四个参数$additional_headers的主要功能是规定额外电子邮件报头。比如From、Reply-To、Cc以及Bcc。由于邮件报头由CRLF换行符\r\n分隔。当用户输入可以控制第四个参数,攻击者可以使用这些字符(\r\n)来增加其他的邮件报头。这种攻击方式称为电子邮件头注入(或短电子邮件注入)。这种攻击可以通过向邮件头注入CC:或BCC:字段造成发送多封垃圾邮件。值得注意的是,某些邮件程序会自动将\n替换为\r\n。
四、为什么没有正确处理mail()函数的第5个参数会引发安全问题
为了在PHP中使用mail()函数,必须配置一个电子邮件程序或 服务器 。在php.ini配置文件中可以使用以下两个选项:
当PHP配置了第二个选项时,调用mail()函数的将导致执行配置的MTA(邮件传输代理)程序。尽管PHP内部可以调用escapeshellcmd()函数防止恶意用户注入其他的Shell命令,mail()函数的第5个参数$additional_parameters允许向MTA(邮件传输代理)中添加新的程序参数。因此,攻击者可以在一些MTA中附加程序标志,启用创建一个用户可控内容的文件。
1. 漏洞演示代码
在上述代码中存在一个远程命令执行漏洞,这个问题容易被没有安全意识的开发人员忽略。GET参数完全由用户控制,攻击者可以利用该处输入向邮件程序传递其他额外的参数。举例来说,在发送邮件的过程中可以使用-O参数来配置发送邮件的选项,使用-X参数可以指定日志文件的位置。
2. 概念性验证(PoC)
这个PoC的功能是在Web目录中生成一个PHP webshell。该文件(rce.php)包含受到PHP代码污染的日志信息。因此,当访问rce.php文件时,攻击者能够在Web服务器上执行任意PHP代码。读者可以在我们的发布的文章和这里找到更多关于如何利用这个漏洞的相关信息。
五、最新相关的安全漏洞
在许多现实世界的应用程序中,有很多由于mail()函数的第五个参数使用不当引发的安全问题。最近发现以下广受关注的PHP应用程序受到此类漏洞的影响(多数漏洞由Dawid Golunski发现)。
对应参考链接:CVE-2016-9920、Discussion、CVE-2016-10033、CVE-2016-10034、CVE-2016-10074、CVE-2017-7692
由于一些广泛使用的Web应用程序(如Wordpress,Joomla和Drupal)部分模块基于以上库开发,所以也会受到该类漏洞的影响。
五、为什么escapeshellarg()函数没有那么安全?
PHP提供了escapeshellcmd()和escapeshellarg()函数用来过滤用户的输入,防止恶意攻击者执行其他的系统命令或参数。直观来讲,下面的PHP语句看起来很安全,并且防止了-param1参数的中断:
然而,当此程序有其他可利用参数时,那么这行代码就是不安全的。攻击者可以通过注入”foobar’ -param2 payload “来突破-param1参数的限制。当用户的输入经过两个escapeshell*函数的处理,以下字符串将到达system()函数。
从最终系统执行的命令可以看出,两个嵌套的转义函数混淆了引用并允许附加另一个参数param2。
PHP的mail()函数在内部使用escapeshellcmd()函数过滤传入的参数,以防止命令注入攻击。这正是为什么escapeshellarg()函数不会阻止mail()函数的第5个参数的攻击。Roundcube和PHPMailer的开发人员率先发布了针对该漏洞的补丁。
六、为什么FILTER_VALIDATE_EMAIL是不安全的?
另一种直接的方法是使用PHP的电子邮件过滤器(email filter),以确保在mail()函数的第5个参数中只使用有效的电子邮件地址。
但是,并不是所有可能存在安全问题的字符串都会被该过滤器过滤。它允许使用嵌入双引号的转义的空格。
由于函数底层实现正则表达式的原因,filter_var()没有对输入正确的过滤,导致构造的payload被带入执行。
对于上文给出的url编码输入,filter_var()函数返回true,将该payload识别为有效的邮件格式。
当开发人员使用该函数验证电子邮件格式作为唯一的安全验证措施,此时仍然是可以被攻击者利用的:与我们之前的攻击方式类似,在PHP程序发送邮件时,我们精心构造的恶意“电子邮件地址”会将将PHP webshell生成在Web服务根目录下。
切记,filter_var()不适合用于对用户输入内容的过滤,因为它对部分字符串的验证是不严格的。
七、如何安全的使用mail()函数
仔细分析应用程序中传入mail()函数的参数,满足以下条件:
1. $to 除非可以预期用户的输入内容,否则不直接使用用户输入
2. $subject 可以安全的使用
3. $message 可以安全的使用
4. $additional_headers 过滤\r、\n字符
5. $additional_parameters 禁止用户输入
事实上,当把用户的输入作为shell指令执行时,没有什么办法可以保证系统的安全性,千万不要去考验你的运气。
如果在开发您的应用程序过程中第5个参数一定要由用户控制,你可以使用电子邮件过滤器(email filter)将用户输入的合法数据限制为最小字符集,即使它违反了RFC合规性。我们建议不要信任任何转义或引用程序,因为据历史资料表示这些功能是存在安全问题的,特别是在不同环境中使用时,可能还会暴露出其他安全隐患。Paul Buonopane研究出了另一种方法去解决这个问题,可以在这里找到。
八、总结
许多PHP应用程序都有向其用户发送电子邮件的功能,例如提醒和通知。虽然电子邮件头注入是众所周知的安全问题,但是当开发人员使用mail()函数时,往往会忽视不正当的使用有可能导致远程命令执行漏洞。在这篇文章中,我们主要分析了mail()函数的第5个参数使用不当可能存在的安全风险,以及如何防范这种问题,防止服务器受到攻击。
如何用matlab创建TXT文本文档?
file_id=fopen(file_,a+)fcLose(file_id)其实这也和我们计算机里的新建文件不太一样,它是试图打开一个txt文件,结果没有,所以就建了一个。 MATLAB是matrix&laboratory两个词的组合,意为矩阵工厂(矩阵实验室)。 是由美国mathworks公司发布的主要面对科学计算、可视化以及交互式程序设计的高科技计算环境。 它将数值分析、矩阵计算、科学数据可视化以及非线性动态系统的建模和仿真等诸多强大功能集成在一个易于使用的视窗环境中,为科学研究、工程设计以及必须进行有效数值计算的众多科学领域提供了一种全面的解决方案,并在很大程度上摆脱了传统非交互式程序设计语言(如C、fortran)的编辑模式,代表了当今国际科学计算软件的先进水平。 MATLAB[1] 是美国MathWorks公司出品的商业数学软件,用于算法开发、数据可视化、数据分析以及数值计算的高级技术计算语言和交互式环境,主要包括MATLAB和Simulink两大部分。 MATLAB是matrix&laboratory两个词的组合,意为矩阵工厂(矩阵实验室)。 是由美国mathworks公司发布的主要面对科学计算、可视化以及交互式程序设计的高科技计算环境。 它将数值分析、矩阵计算、科学数据可视化以及非线性动态系统的建模和仿真等诸多强大功能集成在一个易于使用的视窗环境中,为科学研究、工程设计以及必须进行有效数值计算的众多科学领域提供了一种全面的解决方案,并在很大程度上摆脱了传统非交互式程序设计语言(如C、Fortran)的编辑模式,代表了当今国际科学计算软件的先进水平。 MATLAB和Mathematica、Maple并称为三大数学软件。 它在数学类科技应用软件中在数值计算方面首屈一指。 MATLAB可以进行矩阵运算、绘制函数和数据、实现算法、创建用户界面、连接其他编程语言的程序等,主要应用于工程计算、控制设计、信号处理与通讯、图像处理、信号检测、金融建模设计与分析等领域。 MATLAB的基本数据单位是矩阵,它的指令表达式与数学、工程中常用的形式十分相似,故用MATLAB来解算问题要比用C,FORTRAN等语言完成相同的事情简捷得多,并且MATLAB也吸收了像Maple等软件的优点,使MATLAB成为一个强大的数学软件。 在新的版本中也加入了对C,FORTRAN,C++,JAVA的支持。
ActiveMovie window:explorer.exe
故障分析 硬件方面: 一般来说,内存出现问题的可能性并不大,主要方面是:内存条坏了、内存质量有问题,还有就是2个不同牌子不同容量的内存混插,也比较容易出现不兼容的情况,同时还要注意散热问题,特别是超频后。 你可以使用MemTest 这个软件来检测一下内存,它可以彻底的检测出内存的稳定度。 假如是双内存,而且是不同品牌的内存条混插或者买了二手内存时,出现这个问题,这时,就要检查是不是内存出问题了或者和其它硬件不兼容。 软件方面: 先简单说说原理:内存有个存放数据的地方叫缓冲区,当程序把数据放在其一位置时,因为没有足够空间,就会发生溢出现象。 举个例子:一个桶子只能将一斤的水,当放入两斤的水进入时,就会溢出来。 而系统则是在屏幕上表现出来。 这个问题,经常出现在windows2000和XP系统上,Windows 2000/XP对硬件的要求是很苛刻的,一旦遇到资源死锁、溢出或者类似Windows 98里的非法操作,系统为保持稳定,就会出现上述情况。 另外也可能是硬件设备之间的兼容性不好造成的。 几个例子 例一:打开IE浏览器或者没过几分钟就会出现0x70dcf39f指令引用的0x内存。 该内存不能为“read”。 要终止程序,请单击“确定”的信息框,单击“确定”后,又出现“发生内部错误,您正在使用的其中一个窗口即将关闭”的信息框,关闭该提示信息后,IE浏览器也被关闭。 解决方法:修复或升级IE浏览器,同时打上补丁。 看过其中一个修复方法是,Win2000自升级,也就是Win2000升级到Win2000,其实这种方法也就是把系统还原到系统初始的状态下。 比如你的IE升级到了6.0,自升级后,会被IE5.0代替。 例二:在windows xp下双击光盘里面的“”文件,显示“0x77f745cc”指令引用的“0x”内存。 该内存不能为“written”,要终止程序,请单击“确定”,而在Windows 98里运行却正常。 解决方法:这可能是系统的兼容性问题,winXP的系统,右键“”文件,属性,兼容性,把“用兼容模式运行这个程序”项选择上,并选择“Windows 98/Me”。 win2000如果打了SP的补丁后,只要开始,运行,输入:regsvr32 c:\winnt\apppatch\。 右键,属性,也会出现兼容性的选项。 例三:RealOne Gold关闭时出现错误,以前一直使用正常,最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。 该内存不能为“read” 的提示。 解决方法:当使用的输入法为微软拼音输入法2003,并且隐藏语言栏时(不隐藏时没问题)关闭RealOne就会出现这个问题,因此在关闭RealOne之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。 例四:我的豪杰超级解霸自从上网后就不能播放了,每次都提示“Oxf6”(每次变化)指令引用的“Oxff”内存不能为“read”,终止程序请按确定。 解决方法:试试重装豪杰超级解霸,如果重装后还会,到官方网站下载相应版本的补丁试试。 还不行,只好换就用别的播放器试试了。 例五:双击一个游戏的快捷方式,“Ox77f5cdO”指令引用“Oxffffffff”内存,该内存不能为“read” ,并且提示程序错误。 解决方法:重装显卡的最新驱动程序,然后下载并且安装DirectX9.0。 例六:一个朋友发信息过来,我的电脑便出现了错误信息:“0*772b548f”指令引用的“0*”内存,该内存不能为“written”,然后QQ自动下线,而再打开QQ,发现了他发过来的十几条的信息。 解决方法:这是对方利用QQ的BUG,发送特殊的代码,做QQ出错,只要打上补丁或升级到最新版本,就没事了。 例七:我的笔记本电脑用的XP系统,有时关闭网页时会弹出遇到问题需要关闭,然后有弹出0x03e7c738指令引用的0x03e7c738内存,该内存不能为read,请问是怎么回事? 解决方法:先查杀一下病毒,另外如果你安装了浏览增强之类的软件,请卸掉。 例八:从桌面或开始菜单中打开任何一个程序, 出现错误提示:0x........指令引用的0x内存,该内存不能为read。 省略号代表可变值。 而从运行中打开程序没问题。 解决方法:运行regedit进入注册表, 在Hkey_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下,应该只有一个正常的键值{AEB6717E-7E19-11d0-97EE-00C04FD}, 将其他的删除(默认键值当然不要删除)。 例九:我三个月前配了台机子。 系统比较不稳定,三个月内已经重装过多次系统,四五天前刚装过系统,可是经常随机地出现Explorer-应用程序错误,“0x4ad“指令引用的“0x内存。 该内存不能为“read。 要终止程序,请单击“确定“。 要调试程序,请单击“取消”。 如果点确定,windows桌面就不见了。 这种问题在之前的系统也出现过,不知道是不是硬件的问题? 解决方法:内存的兼容性问题!遇到这类问题,用户可以自行打开机器把内存的位置调动一下,看问题是否可以解决,如果问题依旧,可与你的朋友调换内存使用。 通过上面的几个例子,可以看到,出现故障的原因有好多种,下面列出已经提到和有可能发生的原因,方便查阅。 问题产生原因原因--解决方法 内存条坏了--更换内存条 双内存不兼容--使用同品牌的内存或只用一条内存 内存质量问题--更换内存条 散热问题--加强机箱内部的散热 内存和主板没插好或和其它硬件不兼容等--重插内存或换个插糟 硬盘有问题--更换硬盘 驱动问题--重装驱动。 如果是新系统,要先安装主板驱动 软件损坏--重装软件 软件有BUG--打补丁或用最新的版本。 软件和系统不兼容--给软件打上补丁或者试试系统的兼容模式 软件和软件之间有冲突--如果最近安装了什么新软件,卸载了试试 软件要使用到其它相关的软件有问题--重装相关软件。 比如播放某一格式的文件时出错,可能是这个文件的解码器有问题 病毒问题--杀毒 杀毒软件与系统或软件冲突--由于杀毒软件是进入底层监控系统的,可能与一些软件冲突,卸载了试试 系统本身有问题--有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序,像SP的补丁,最好要打上。 如果还不行重装系统或更换其它版本的系统了。 =============================================== Windows系统出现内存错误 使用Windows操作系统的人有时会遇到这样的错误信息:“0X????????指令引用的0x内存,该内存不能written”,然后应用程序被关闭。 如果去请教一些“高手”,得到的回答往往是“Windows就是这样不稳定”之类的义愤和不屑。 其实,这个错误并不一定是Windows不稳定造成的。 本文就来简单分析这种错误的常见原因。 一、应用程序没有检查内存分配失败 程序需要一块内存用以保存数据时,就需要调用操作系统提供的“功能函数”来申请,如果内存分配成功,函数就会将所新开辟的内存区地址返回给应用程序,应用程序就可以通过这个地址使用这块内存。 这就是“动态内存分配”,内存地址也就是编程中的“指针”。 内存不是永远都招之即来、用之不尽的,有时候内存分配也会失败。 当分配失败时系统函数会返回一个0值,这时返回值“0”已不表示新启用的指针,而是系统向应用程序发出的一个通知,告知出现了错误。 作为应用程序,在每一次申请内存后都应该检查返回值是否为0,如果是,则意味着出现了故障,应该采取一些措施挽救,这就增强了程序的“健壮性”。 若应用程序没有检查这个错误,它就会按照“思维惯性”认为这个值是给它分配的可用指针,继续在之后的运行中使用这块内存。 真正的0地址内存区保存的是计算机系统中最重要的“中断描述符表”,绝对不允许应用程序使用。 在没有保护机制的操作系统下(如DOS),写数据到这个地址会导致立即死机,而在健壮的操作系统中,如Windows等,这个操作会马上被系统的保护机制捕获,其结果就是由操作系统强行关闭出错的应用程序,以防止其错误扩大。 这时候,就会出现上述的“写内存”错误,并指出被引用的内存地址为“0x”。 内存分配失败故障的原因很多,内存不够、系统函数的版本不匹配等都可能有影响。 因此,这种分配失败多见于操作系统使用很长时间后,安装了多种应用程序(包括无意中“安装”的病毒程序),更改了大量的系统参数和系统文件之后。 二、应用程序由于自身BUG引用了不正常的内存指针 在使用动态分配的应用程序中,有时会有这样的情况出现:程序试图读写一块“应该可用”的内存,但不知为什么,这个预料中可用的指针已经失效了。 有可能是“忘记了”向操作系统要求分配,也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。 注销了的内存被系统回收,其访问权已经不属于该应用程序,因此读写操作也同样会触发系统的保护机制,企图“违法”的程序唯一的下场就是被操作终止运行,回收全部资源。 计算机世界的法律还是要比人类有效和严厉得多啊! 像这样的情况都属于程序自身的BUG,你往往可在特定的操作顺序下重现错误。 无效指针不一定总是0,因此错误提示中的内存地址也不一定为“0x”,而是其他随机数字。 如果系统经常有所提到的错误提示,下面的建议可能会有帮助: 1.查看系统中是否有木马或病毒。 这类程序为了控制系统往往不负责任地修改系统,从而导致操作系统异常。 平常应加强信息安全意识,对来源不明的可执行程序绝不好奇。 2.更新操作系统,让操作系统的安装程序重新拷贝正确版本的系统文件、修正系统参数。 有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序。 3.试用新版本的应用程序。
缓冲区溢出攻击原理是?
如果把一加仑的水注入容量为一品脱的容量中,水会四处冒出,这时你就会充分理解溢出的含义。 同样的道理,在计算机内部,如果你向一个容量有限的内存空间里存储过量数据,这时数据也会溢出存储空间。 输入数据通常被存放在一个临时空间内,这个临时存放空间被称为缓冲区,缓冲区的长度事先已经被程序或者*作系统定义好了。 何为缓冲区溢出缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。 溢出的数据覆盖在合法数据上。 理想情况是,程序检查数据长度并且不允许输入超过缓冲区长度的字符串。 但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配,这就为缓冲区溢出埋下隐患。 *作系统所使用的缓冲区又被称为堆栈,在各个*作进程之间,指令被临时存储在堆栈当中,堆栈也会出现缓冲区溢出。 当一个超长的数据进入到缓冲区时,超出部分就会被写入其他缓冲区,其他缓冲区存放的可能是数据、下一条指令的指针,或者是其他程序的输出内容,这些内容都被覆盖或者破坏掉。 可见一小部分数据或者一套指令的溢出就可能导致一个程序或者*作系统崩溃。 溢出根源在于编程缓冲区溢出是由编程错误引起的。 如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生。 缓冲区边界检查被认为是不会有收益的管理支出,计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由,然而摩尔定律已经使这一理由失去了存在的基础,但是多数用户仍然在主要应用中运行十年甚至二十年前的程序代码。 缓冲区溢出之所以泛滥,是由于开放源代码程序的本质决定的。 一些编程语言对于缓冲区溢出是具有免疫力的,例如Perl能够自动调节字节排列的大小,Ada95能够检查和阻止缓冲区溢出。 但是被广泛使用的C语言却没有建立检测机制。 标准C语言具有许多复制和添加字符串的函数,这使得标准C语言很难进行边界检查。 C++略微好一些,但是仍然存在缓冲区溢出。 一般情况下,覆盖其他数据区的数据是没有意义的,最多造成应用程序错误,但是,如果输入的数据是经过“黑客”或者病毒精心设计的,覆盖缓冲区的数据恰恰是“黑客”或者病毒的入侵程序代码,一旦多余字节被编译执行,“黑客”或者病毒就有可能为所欲为,获取系统的控制权。 溢出导致“黑客”病毒横行缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。 攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处,运行特别程序,获得优先级,指示计算机破坏文件,改变数据,泄露敏感信息,产生后门访问点,感染或者攻击其他计算机。 2000年7月,微软Outlook以及Outlook Express被发现存在漏洞能够使攻击者仅通过发送邮件就能危及目标主机安全,只要邮件头部程序被运行,就会产生缓冲区溢出,并且触发恶意代码。 2001年8月,“红色代码”利用微软IIS漏洞产生缓冲区存溢出,成为攻击企业网络的“罪魁祸首”。 2003年1月,Slammer蠕虫利用微软SQL漏洞产生缓冲区溢出对全球互联网产生冲击。 而在近几天,一种名为“冲击波”的蠕虫病毒利用微软RPC远程调用存在的缓冲区漏洞对Windows 2000/XP、Windows Server 2003进行攻击,波及全球网络系统。 据CERT安全小组称,*作系统中超过50%的安全漏洞都是由内存溢出引起的,其中大多数与微软技术有关,这些与内存溢出相关的安全漏洞正在被越来越多的蠕虫病毒所利用。 缓冲区溢出是目前导致“黑客”型病毒横行的主要原因。 从红色代码到Slammer,再到日前爆发的“冲击波”,都是利用缓冲区溢出漏洞的典型。 缓冲区溢出是一个编程问题,防止利用缓冲区溢出发起的攻击,关键在于程序开发者在开发程序时仔细检查溢出情况,不允许数据溢出缓冲区。 此外,用户需要经常登录*作系统和应用程序提供商的网站,跟踪公布的系统漏洞,及时下载补丁程序,弥补系统漏洞。
发表评论