代码审计之php.ini配置详解

一、关于php ini介绍
php.ini
apache在启动时php.ini被读取。对于服务器模块版本的php，仅在web服务器启动时读取一次。对于CGI和CLI版本，每次调用都会被读取
Apache Web服务器在启动时会把目录转到根目录，这将使得PHP尝试在根目录下读取php.ini，如果·存在的话。在php.ini中可以使用环境变量
User.ini
自php5.3.0起，PHP支持基于每个目录的.htaccess风格的INI文件。此类文件仅被CGI/Fastcgi sapi处理。
php_ini_*
模式
含义
PHP_INI_USER
可在用户脚本（例如 ini_set()）或 Windows 注册表（自 PHP 5.3 起）以及 .user.ini 中设定
PHP_INI_PERDIR
可在 php.ini，.htaccess 或 httpd.conf 中设定
PHP_INI_SYSTEM
可在 php.ini 或 httpd.conf 中设定
PHP_INI_ALL
可在任何地方设定
二、常见配置
register_globals = off
作用: 这个设置的作用是设置全局变量的自动注册。
版本特性: 本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。5.2.0中默认开启
不安全范例:
$username=$_GET['username'];
$password=$_GET['password'];
// 当用户合法的时候，赋值
if(($username==="admin") && ($password==="admin123")){
    $authorized = true;
}
// 由于并没有事先把 $authorized 初始化为 false，
// 当 register_globals 打开时，可能通过GET auth.php?authorized=1 来定义该变量值
// 所以任何人都可以绕过身份验证
if ($authorized) {
    echo "You have login";
}else{
    echo "You have login out";
}?>
验证poc:
http://127.0.0.1/test.php?&username=xxx&password=xxx&authorized=true
该特性经常引起变量覆盖漏洞，既可以成为上述绕过身份认证的方法，也可以突破其他已保护的变量产生新漏洞。如sql注入等，此时需要关注该变量被处理时所在的位置。
short_open_tag = On
作用: 这个设置决定是否允许使用PHP代码开始标志的缩写形式 
版本特性: 本特性5.2-5.3版本中测试都是默认开启的
Note:本指令也会影响到缩写形式 )
不安全范例: 过滤文件上传时对内容检测如果忽略了短标签形式，采用
    if(isset($_POST['submit'])){
        $upload1='E:/Environment/phpstudy/PHPTutorial/WWW/upload/shell.php';
        move_uploaded_file($_FILES['upload1']['tmp_name'],$upload1);
        //var_dump($content);
        $content = file_get_contents($upload1);
        if(preg_match('/,$content)){
            echo "You are hacker";
        }else{
            echo "You get shell";
        }
    }
?>
html>
    head>
        meta charset="utf-8">
    head>
    body>
    form action="test.php" method="post" enctype="multipart/form-data">
        input type="file" name="upload1" >
        input type="submit" name='submit' value="upload">
    form>
    body>
html>
上传的poc:
5.4之后版本未开启短标签可以这样：
safe_mode = Off
作用: 这个设置禁用了php的一些危险的内置函数，如system()，exec()等
版本特性: 本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。
不安全范例:
在后端该函数内传入了可变变量时，未做好过滤就会产生命令执行漏洞
    $commend=$_GET['commend'];
    system("{$commend}");  
    ?>  
实际的代码审计中如果找到可执行命令的变量，可以先检测环境的配置
Note:与此相关的配置还有safe_mode_exec_dir,disable_classes=,disable_functions=fopen,unlink
open_basedir = 
作用: 这个设置将用户访问文件的活动范围限制在指定的区域 
版本特性: 本特性在php.ini中需要自行打开配置，或者在脚本运行时动态配置
不安全范例:  采用该配置限制时目录不规范，就存在访问其他目录的可能。
比如 open_basedir=/var/wwwroot/html（此时html没有用/闭合）那么就可以访问
 /var/wwwroot/html1
    /var/wwwroot/html2
其他文件相关的常见配置
file_uploads = On   ；
    upload_max_filesize = 2M ；
    upload_tmp_dir=（需要时设置，默认放在主机临时目录）
display_error = On
作用: 这个设置将显示php产生的错误

[1] [2]  下一页