框架是Web网站的主要核心之一,其中Think PHP便是一种框架,伴随着Think PHP框架的普遍使用,其安全性也引起了人们的重视。当今大多数漏洞扫描工具都是广度的,而现在针对Think PHP框架实行漏洞扫描时功效低,定位含糊。想要实现一款能够针对该框架的漏洞扫描器,基于渗透技术语言开发,并能在两种以上操作系统运行,操作简便并且用户交互方式友好,Web网站漏洞扫描器具备重要的安全运维理论意义和实际应用意义。
随着现代网络技术的飞速发展,我国在文化、经济等多方面都成功实现了明显的增长,这一趋势加剧了公众对互联网的依赖程度,使得个人数据广泛存储在电脑以及其他智能终端上,但与此同时由于计算机软件、硬件和网络设备独有的特性和一些缺陷,也给攻击者们留下可入侵的机会。本文的主要目标是完成于渗透技术的Think PHP漏洞扫描器的设计与实现,本文也将从课题涉及的相关理论技术、漏洞扫描器需求分析、漏洞扫描器概要设计、漏洞扫描器详情与实现、系统实验与评估等多个方面对该扫描器进行阐述。
Think PHP,是为了简化企业级应用开发和敏捷Web应用开发而诞生的开源轻量级PHP框架。ThinkPHP是一款免费开源的、快速的、简单地面向对象的轻量级Web框架,并且使用PHP语言进行编写的,是专门为了让程序员在做web网站开发以及简化企业网站设计而诞生的,遵循Apache2的开放许可协议。意味着你可以免费使用Think PHP,甚至允许把你基于ThinkPHP开发的应用开源或用作商业产品发布、销售。也正是这一点,因为Think PHP的普及应用,越来越多的企业、电商等网站都在采用Think PHP框架,而该框架也是完全开放,但如果Think PHP出现漏洞,就会造成用户的信息数据泄露,服务器瘫痪以及被控制等,所以Think PHP框架的安全性也变得愈发重要。
相对于传统具有防御性的安全工具,例如杀毒软件和防火墙等,Web应用漏洞扫描技术体现了一种更加主动且带有攻击性质的测试策略。它能模拟对信息系统的攻击行为,通过对系统回返的消息进行分析,获得漏洞扫描的目标。本文在基于对渗透技术的研究基础之上,实现了一种轻量级、多功能的Web应用漏洞扫描器。
本工具是基于Windows和Linux两种操作系统设计实现的漏洞扫描工具,主要是对采用了Think PHP框架的Windows和Linux操作系统中的一些常见漏洞进行检测,实现对主机系统和Web网站的漏洞扫描,并采用网页的形式提交扫描报告。设计的此款漏洞扫描器需在Windows系统的TCP/IP协议网络环境下运行,检测人员通过运行在Windows系统的扫描主机发起扫描,扫描其中需要的扫描模块和用户配置控制模块。扫描模块直接通过TCP/IP协议网络环境对目标价进行扫描,控制平台作为核心,提供了一个人机交流界面,方便用户能够流畅地调控与交流。扫描器的全面功能则是依托Python这一集成开发环境才得以构建和实现的,保证了有效性与可扩展性。基于渗透技术的Think PHP漏洞扫描工具的工作流程是当使用者通过配置控制参数发出扫描指令之后,接着向扫描模块发送扫描请求指令,漏洞扫描器的扫描模块在收到该请求后就会立即调用相对应的子功能模块,通过对目标机进行漏洞扫描。深入分析目标网站回馈的响应数据包,据此进行细致的判断与识别,随后,这些详尽的分析结果传递至漏洞报告生成模块,该模块会将扫描结果以简单明了的形式显示给使用者。漏洞扫描技术运用了传输层的TCP/UDP实现网络描主机,调用request去请求服务器,扫描工具的功能由连接,只需在代码中通过调用socket函数去连接到被扫不同的函数来实现。另外,工具采用了多线程技术加快了系统扫描的速度。
RCE 命令 / 代码执行攻击远程代码执行(RCE,即Remote Code Execution)漏洞,简称RCE,构成了一种安全威胁,它允许恶意用户远程向后台服务器注入并执行操作系统命令或代码,进而实现对后台系统的全面掌控。此漏洞的利用基础在于应用程序未能充分过滤或有效验证用户输入,使得攻击者能够借机在目标系统上执行非法代码或指令,最终获取对该系统的完全控制权,执行任意非法操作。
(一)漏洞产生成因计算机网络漏洞产生的原因主要是系统或应用程序的不合格编写引起的。随着现在科学技术的发展,计算机软件的功能逐渐强大,相对的程序结构也越来越复杂,在庞大的编程环境下,程序安全问题最容易被开发者忽视。从软件产业来说,许多商业软件的质量不能得到保证,仅仅保证功能完整却对安全性要求不重视。用户的配置策略也有可能存在漏洞问题。网络中的漏洞主要来源于协议层面的漏洞,设计者在制定协议时,通常假定协议运行的网络环境是安全的,因此主要关注网络传输效率,而较少关注网络环境的安全性。这种设计方式导致某些网络协议本身存在安全隐患,而基于这些协议的网络服务的安全性也无法得到保证,因此后续只能在应用层进行安全验证和防护。主机系统中的漏洞通常被称为系统漏洞,包括操作系统漏洞和应用软件漏洞。任何软件,包括操作系统,都不可能是完美无缺的,总会存在一些漏洞,而且随着软件的更新,这些漏洞也在不断变化,比如缓冲区溢出和SQL注入等。系统漏洞的产生与协议漏洞似,通常是由于在软件设计或开发时只注重功能实现,而忽略了安全性编程的原则。
(二)漏洞分析网络漏洞扫描过程中应用最为广泛的技术之一是漏洞扫描技术,漏洞扫描技术的核心要点在于:在借助网络进行数据信息传递期间,会针对传递过程中生成的TCP和UDP协议开展扫描操作,避免数据传递进程中产生安全问题。这两种协议能够凭借对网络数据传输端口的把控来破解计算机的恶意入侵,有效降低数据传输过程中存在的数据盗取事故。在总结网络漏洞扫描技术之后需要对端口扫描与弱口令漏洞扫描等技术进行再次的分析,为后续优化计算机漏洞扫描技术提供具有价值的理论基础。
(三)漏洞检测方法Think PHP的RCE主要有两种形式分别是method_contruct导致的RCE和未开启强制路由命令执行,然后method_contruct导致的RCE再分为开启debug和关闭debug的情况,针对这些不同的场景使用不同的payload进行验证。
三、漏洞检测技术的设计
漏洞检测能够划分为针对已存在的过往漏洞的检测以及针对0day漏洞的检测。已知漏洞的检测主要凭借对漏洞特性的扫描,探查系统是否存有互联网企业发布的安全漏洞通告;而未知漏洞的检测是依靠代码审计所发现的漏洞。即大部分工具目前只能实现对已知漏洞进行检测,而未知的0day漏洞却需要人工进行审计代码才能被发现。漏洞检测技术其实就是将历史漏洞的漏洞触发点输入payload进行验证。该漏洞扫描器是基于web的专门针对Think PHP进行的漏洞扫描。漏洞识别:通过判断不同的payload去识别是哪一个版本的漏洞,这里主要是定义一个函数去通过if和for去做判断和遍历。部分代码示例:
扫描功能的实现与设计在匹配原理上,此漏洞扫描器是采用基于规则的匹配技术,获得目标网站漏洞特征和相关信息后,在网站的功能点或者参数中代入文件事先设置好的payload集合,如果执行成功或者返回的信息中有敏感数据,则将视为漏洞存在。主要功能获取数据库配置,日志路径探测,检测debug模式是否开启以及检查主机名或域名是否合理和验证漏洞是否存在。
(一)用户配置控制模块:本漏洞扫描器是非图形化的工具,而是在命令行操作去运行python脚本,如Windows系统的DOS和POWER SHELL命令行,Linux系统的命令行,用户根据命令参数和选择自己所需的扫描方式;同时设定攻击目标系统的URL地址,另外还提供了代理以及线程的设置,漏洞扫描器就进行检测工作,检测脚本运行参数之后,利用TCP/IP, 根据python的网络编程发送到被检测服务器对Think PHP框架进行扫描。
(二)扫描模块扫描模块:主要是用于实现检测目标网站是否使用了Think PHP以及检测漏洞是否存在,对有与数据库交互的功能点和参数处进行POC验证,同时通过指纹识别技术检测出网站的操作系统类型。通过用户选择的参数命令,漏洞扫描器会根据对应的参数实现相对应的操作,从而实现工具与用户达到交互的目的。扫描过程主要有四步:连接目标主机server,向服务器发起GET、POST等请求,接收目标返回数据,根据返回数据判断文件是否存在。扫描任务在对这些流量进行扫描,其中涉及流量是否需要代理的问题。配置代理的作用有两点,第一点隐藏自己的真实IP;第二点是在访问一些国外的网站时,一般是开启代理进行访问,使用python去设计代理模块,刚好python有个socks模块,想法很简单就是Socks5代理到服务器,服务器解析Socks5包分析出http流量导。
(三)漏洞报告生成模块:Python标准库中,有个名为csv的库,专门处理csv的读写操作。python通过CSV模块将数据导入csv文件中,但是这种方式是逐行往CSV文件中写数据,所以效率会比较低。如果想批量将数据写到CSV文件中,需要用到pandas库。
开发防御性工具:# 示例:检测ThinkPHP特征(仅用于授权资产识别) import requests def check_thinkphp(url): “””检测目标是否使用ThinkPHP框架(需授权)””” try: # 检查默认路径或特征文件 response = requests.get(f”{url}/index.php?s=/index/index”) if “thinkphp” in response.text.lower(): return True # 可结合HTTP头、JS文件哈希等多维度判断 return False except: return False
目前,国内的Web网站漏洞扫描技术也已经非常顶尖,已经出现许多的关于Web应用的漏洞扫描工具,例如:有开源免费的,商业利用的,以及SaaS产品。这些漏洞扫描工具可以扫描主流的Web网站漏洞,例如SQL注入、XSS跨站脚本攻击、命令执行/代码执行漏洞、Java/PHP反序列化漏洞等。国内部分学者也对该领域进行了研究,王祖俪等人利用云平台高效的特点,设计了一个基于云环境的Web应用漏洞检测系统,该系统对URL去重进行了改进,同时提出了基于资源聚类的多QoS调度分配策略,在任务调配上缩小了资源调配的初始集合。郭文斌等人同在研究了Web应用漏洞扫描系统原理后,设计了一款针对性更强,可以自定义插件,自描述Payload,具有扩展性的Web应用漏洞扫描系统,可以针对某一漏洞,同时对多个Web应用程序进行扫描。另外国内部分安全厂商也进入了该领域并自主研发了相关的商业产品,其中比较知名的有绿盟科技的极光和启明星辰的天镜,这两款Web漏洞扫描系统都是基于传统的爬虫去主动爬取URL链接进行分析和漏洞验证
