intval()使用不当导致安全漏洞的分析

2009/04/29 21:12 | 鬼仔 | 技术文章 | 占个座先

author: xy7#80sec.com
from:http://www.80vul.com/pch/

一 描叙

intval函数有个特性:”直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时(\0)结束转换”,在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞.

二 分析

PHP_FUNCTION(intval)
{
        zval **num, **arg_base;
        int base;
      switch (ZEND_NUM_ARGS()) {
                case 1:
                        if (zend_get_parameters_ex(1, &num) == FAILURE) {
                                WRONG_PARAM_COUNT;
                        }
                        base = 10;
                        break;
                case 2:
                        if (zend_get_parameters_ex(2, &num, &arg_base) == FAILURE) {
                                WRONG_PARAM_COUNT;
                        }
                        convert_to_long_ex(arg_base);
                        base = Z_LVAL_PP(arg_base);
                        break;
                default:
                        WRONG_PARAM_COUNT;
        }
        RETVAL_ZVAL(*num, 1, 0);
        convert_to_long_base(return_value, base);
}

Zend/zend_operators.c->>convert_to_long_base()
……
case IS_STRING:
            strval = Z_STRVAL_P(op);
            Z_LVAL_P(op) = strtol(strval, NULL, base);
            STR_FREE(strval);
            break;

当intval函数接受到字符串型参数是调用convert_to_long_base()处理,接下来调用Z_LVAL_P(op) = strtol(strval, NULL, base);通过strtol函数来处理参数。

函数原型如下:

long int strtol(const char *nptr,char **endptr,int base);

这个函数会将参数nptr字符串根据参数base来转换成长整型数,参数base范围从2至36,或0.参数base代表采用的进制方式,如base值为10则采用10进制,若base值为16则采用16进制等。

流程为:
strtol()会扫描参数nptr字符串,跳过前面的空格字符,直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时(\0)结束转换,并将结果返回。

那么当intval用在if等的判断里面,将会导致这个判断实去意义,从而导致安全漏洞.

三 测试代码

<?
//intval.php
$var="20070601";
if (intval($var))
echo "it's safe";
echo '$var='.$var;
echo "<br>";
$var1="1 union select 1,1,1 from admin";
if (intval($var1))
echo "it's safe too";
echo '$var1='.$var1;
?>

四 实际应用

WordPress <= 2.0.6 wp-trackback.php Zend_Hash_Del_Key_Or_Index / sql injection exploit
[http://superhei.blogbus.com/logs/4255503.html]

—————-我是分割线(# 鬼仔:面属于注释)—————
# 鬼仔注:这是 Superhei 搞的 Php Codz Hacking 的第一篇,相关的介绍在这里

http://www.80vul.com近期推出[PCH]Php Codz Hacking项目,该项目主要是对一些php应用安全有影响的’特性’或者’漏洞’在php源代码的基础上进行一些分析和探讨.

对于这个项目开始我们想了一个名称:”some features of php app sec”,主要是源之80vul发表在即将面市的pstzine0x3里的一篇文章:

* 分析php源代码,发现新的漏洞函数“特性”或者漏洞。(在上一节里介绍的那些“漏洞审
计策略”里,都没有php源代码的分析,如果你要进一步找到新的字典,可以在php源代码的基础
上分析下成因,然后根据这个成因来分析寻找新的漏洞函数“特性”或者漏洞。)(我们以后会
陆续公布一些我们对php源代码的分析)

因为我们认为发现更多的php本身的特性或者漏洞,是以后php应用程序安全的主要的一个方向:).

Tags: , ,

相关日志

楼被抢了 9 层了... 抢座Rss 2.0或者 Trackback

  • Gh0u1 | 2009-04-29 23:51 | #

    php本身的特性或者漏洞,是以后php应用程序安全的主要的一个方向:).

    这个一直不都是么…

    回复该留言
  • goseaside | 2009-04-30 06:18 | #

    没见过这样用函数的。

    $var1 = intval($var1);
    作个转换并赋值有什么难的?

    回复该留言
  • war3_td | 2009-04-30 10:21 | #

    呵呵,是的,最好还是把intvar()后的结果放到一个变量里面再进行处理。
    [quote]
    $var1=”2 union select 1,1,1 from admin”;
    $var2 = intval($var1);
    if (intval($var2))
    {
    echo ‘$var2=’.$var2;
    }
    [/quote]
    这样输出为:
    [quote]
    $var2=2
    [/quote]

    回复该留言
  • 80vul | 2009-04-30 10:24 | #

    这么老的东西,还拿出来,没劲!

    回复该留言
  • 大米 | 2009-04-30 22:02 | #

    我日,好老的技术!

    回复该留言
  • 大米 | 2009-04-30 22:05 | #

    我日,很来的技术了,(*^__^*) 嘻嘻……

    回复该留言
  • 无语 | 2009-05-01 01:15 | #

    Superhei 测地对这个哥们无语了

    回复该留言
  • superhei | 2009-05-01 20:30 | #

    不用对我无语,欢迎用好东西来扎场子

    回复该留言

发表评论

51La