php 验证码(倾斜,正弦干扰线,...-浅谈web上存漏洞及原理分析、...-探讨:web上存漏洞及原理分析、防范方法

当前位置: 编程技术>php

本页文章导读:

▪php 验证码(倾斜,正弦干扰线,黏贴,旋转) 好久没有写帖子了。一直忙着新的项目。最近，做验证码程序，一直想做一个简洁大方，自动识别比较困难的。通过这些时候整理搜集，发现一般做法有以下几种方案：1、字体变型（一.........

▪浅谈web上存漏洞及原理分析、防范方法（文件名检测漏洞）我们通过前篇：<浅谈web上存漏洞及原理分析、防范方法（安全文件上存方法）>，已经知道后端获取服务器变量，很多来自客户端传入的。跟普通的get,post没有什么不同。下面我们看看.........

▪探讨:web上存漏洞及原理分析、防范方法网站提供上存功能，是很多站点经常会有功能，商城，论坛还有常见一些网盘站点。常见互联网上面，我们也是经常听说，某某站点出现上存漏洞，某某开源项目有上存漏洞。从互联网开.........

[1]php 验证码(倾斜,正弦干扰线,黏贴,旋转)

来源: 互联网发布时间: 2013-11-30

好久没有写帖子了。一直忙着新的项目。最近，做验证码程序，一直想做一个简洁大方，自动识别比较困难的。通过这些时候整理搜集，发现一般做法有以下几种方案：
1、字体变型（一般通过算法，进行扭曲，比较有代表性就是：http://code.google.com/p/cool-php-captcha/

2、字体黏贴（这里面以qq验证码为代表了，目前网上还是很难找到，破解qq验证码的)

3、干扰线，噪点 (这种识别起来相当容易，很容易被程序自动化识别）
对于上面提到，第1,2 二种方法，在识别时候，是比较困难的。个人比较喜欢第二种方法，感觉看起来不是很费力。而扭曲的文字，总觉得怪怪的。哈哈，纯粹个人喜好了。
实现代码：

代码如下:

<?php
/**
*带文字旋转，倾斜，黏贴，加正弦干扰线验证码*
*@version 0.1
*@author http://www.cnblogs.com/chengmo
*@copyright 程默 QQ:8292669
*/
class Utils_Caption
{
var $Width      = 60;           //图片宽
var $Height     = 30;           //图片高
var $Length     = 4;            //验证码位数
var $BgColor    = "#FFFFFF";    //背景色
var $TFonts = array("font.ttf");
var $TFontSize=array(17,20); //字体大小范围
var $TFontAngle=array(-20,20); //旋转角度
var $Chars   = "0123456789";         //验证码范围（字母数字）
var $Code    = array();              //验证码
var $Image   = "";              //图形对象
var $FontColors=array('#f36161','#6bc146','#5368bd'); //字体颜色,红绿蓝
var $TPadden = 0.75;///字符间距,多少个字符
var $Txbase = 5;///x轴两边距离
var $Tybase =5 ;///y轴两边距离
var $TLine =true; ///画干扰线
public function RandRSI() ///生成验证码
{
  $this->TFontAngle=range($this->TFontAngle[0],$this->TFontAngle[1]);
  $this->TFontSize=range($this->TFontSize[0],$this->TFontSize[1]);
  $arr=array();
  $Chars=$this->Chars;
  $TFontAngle=$this->TFontAngle;
  $TFontSize=$this->TFontSize;
  $FontColors=$this->FontColors;
  $code="";
  $font=dirname(__FILE__)."/font/".$this->TFonts[0];
  $charlen=strlen($Chars)-1;
  $anglelen=count($TFontAngle)-1; // 角度范围
  $fontsizelen=count($TFontSize)-1; // 角度范围
  $fontcolorlen=count($FontColors)-1; // 角度范围
  for($i=0;$i<$this->Length;$i++) ///得到字符与颜色
  {
   $char=$Chars[rand(0,$charlen)]; ///得到字符
   $angle=$TFontAngle[rand(0,$anglelen)]; ///旋转角度
   $fontsize=$TFontSize[rand(0,$fontsizelen)]; ///字体大小
   $fontcolor=$FontColors[rand(0,$fontcolorlen)]; ///字体大小
   $bound=$this->_calculateTextBox($fontsize,$angle,$font,$char); ///得到范围
   $arr[]=array($fontsize,$angle,$fontcolor,$char,$font,$bound); ///得到矩形框
   $code.=$char;
  }
  $this->Code=$arr; //验证码
  return $code;
}
public function Draw() ///画图
{
  if(empty($this->Code)) $this->RandRSI();
  $codes=$this->Code; ///用户验证码
  $wh=$this->_getImageWH($codes);
  $width=$wh[0];
  $height=$wh[1]; ///高度
  $this->Width=$width;
  $this->Height=$height;
  $this->Image = imageCreate( $width, $height );
  $image=$this->Image;
  $back = $this->_getColor2($this->_getColor( $this->BgColor)); ///背景颜色
  imageFilledRectangle($image, 0, 0, $width, $height, $back); ///填充背景
  $TPadden=$this->TPadden;
  $basex=$this->Txbase;
  $color=null;
  foreach ($codes as $v) ///逐个画字符
  {
   $bound=$v[5];
   $color=$this->_getColor2($this->_getColor($v[2]));
   imagettftext($image, $v[0], $v[1], $basex, $bound['height'],$color , $v[4], $v[3]);
   $basex=$basex+$bound['width']*$TPadden-$bound['left'];///计算下一个左边距
  }
  $this->TLine?$this->_wirteSinLine($color,$basex):null; ///画干扰线
  header("Content-type: image/png");
  imagepng( $image);
  imagedestroy($image);
}
/**
*通过字体角度得到字体矩形宽度*
*
* @param int $font_size 字体尺寸
* @param float $font_angle 旋转角度
* @param string $font_file 字体文件路径
* @param string $text 写入字符
* @return array 返回长宽高
*/
private function _calculateTextBox($font_size, $font_angle, $font_file, $text) {
  $box = imagettfbbox($font_size, $font_angle, $font_file, $text);
  $min_x = min(array($box[0], $box[2], $box[4], $box[6]));
  $max_x = max(array($box[0], $box[2], $box[4], $box[6]));
  $min_y = min(array($box[1], $box[3], $box[5], $box[7]));
  $max_y = max(array($box[1], $box[3], $box[5], $box[7]));
  return array(
  'left' => ($min_x >= -1) ? -abs($min_x + 1) : abs($min_x + 2),
  'top' => abs($min_y),
  'width' => $max_x - $min_x,
  'height' => $max_y - $min_y,
  'box' => $box
  );
}
private function _getColor( $color ) //#ffffff
{
  return array(hexdec($color[1].$color[2]),hexdec($color[3].$color[4]),hexdec($color[5].$color[6]));
}
private function _getColor2( $color ) //#ffffff
{
  return imagecolorallocate ($this->Image, $color[0], $color[1], $color[2]);
}
private function _getImageWH($data)
{
  $TPadden=$this->TPadden;
  $w=$this->Txbase;
  $h=0;
  foreach ($data as $v)
  {
   $w=$w+$v[5]['width']*$TPadden-$v[5]['left'];
   $h=$h>$v[5]['height']?$h:$v[5]['height'];
  }
  return array(max($w,$this->Width),max($h,$this->Height));
}
//画正弦干扰线
private function _wirteSinLine($color,$w)
{
  $img=$this->Image;
  $h=$this->Height;
  $h1=rand(-5,5);
  $h2=rand(-1,1);
  $w2=rand(10,15);
  $h3=rand(4,6);
  for($i=-$w/2;$i<$w/2;$i=$i+0.1)
  {
   $y=$h/$h3*sin($i/$w2)+$h/2+$h1;
   imagesetpixel($img,$i+$w/2,$y,$color);
   $h2!=0?imagesetpixel($img,$i+$w/2,$y+$h2,$color):null;
  }
}
}

外带字体：
font.ttf ，一个简单粗体文件。

说明：先看下运行效果吧，大家也不要忙着复制运行了。

主要特点是：旋转，然后黏贴，干扰线是线粗细可以变，然后正弦波形可以变化。
比较复杂是：calculateTextBox 这个函数，这个是得到字符旋转后的宽度高度。
demo:

代码如下:

$rsi = new Utils_Caption();
$rsi->TFontSize=array(15,17);
$rsi->Width=50;
$rsi->Height=25;
$code = $rsi->RandRSI();
session_start();
$_SESSION["CHECKCODE"] = $code;
$rsi->Draw();

好了，就写这么些了，代码还有很多不足之处。
点击下载代码

[2]浅谈web上存漏洞及原理分析、防范方法（文件名检测漏洞）

来源: 互联网发布时间: 2013-11-30

我们通过前篇：<浅谈web上存漏洞及原理分析、防范方法（安全文件上存方法）>，已经知道后端获取服务器变量，很多来自客户端传入的。跟普通的get,post没有什么不同。下面我们看看，常见出现漏洞代码。
1、检测文件类型，并且用用户上存文件名保存

代码如下:

if(isset($_FILES['img']))
{
$file = save_file($_FILES['img']);
if($file===false) exit('上存失败！');

echo "上存成功！",$file;
}
function check_file($img)
{
///读取文件
if($img['error']>0) return false;

$tmpfile = $img['tmp_name'];
$filename = $img['name'];

///读取文件扩展名
$len=strrpos($filename,".");
if($len===false) return false;

//得到扩展名
$ext = strtolower(substr($filename,$len+1));
if(!in_array($ext,array('jpg','jpeg','png'))) return false;
return true;
}
function save_file($img)
{
if(!check_file($img)) return false;

//格式检测ok，准备移动数据
$filename = $img['name'];
$newfile = "upload/" .$filename;
if(!move_uploaded_file($img["tmp_name"],$newfile)) return false;

return $newfile;
}
?>

以上代码，对输入类型也做了判断，看了没有问题。但是问题，确恰恰出现在对获取的用户名变量检测上面。直接获取传入用户名，然后存为文件。有朋友会说：这些文件名都是我电脑里面存在的，文件名格式都受限于操作系统对文件名定义。但是，需要注意是，对于$_FILES里面获取变量，是直接来自http request请求。它跟普通获取其它get,post变量一样。因此，别有用心的人，往往会自己模拟浏览器，给服务器发送一个特殊文件名。然后，让存文件时候，能够正常保存为自己格式。

前些年，”\0” 在字符串中，保存为文件，会自动截断后面内容。如：$filename 构造为：”a.php\0.jpg” ，我们想想，将会变成怎么样？
$newfile = “upload/a.php\0.jpg” 因为，对扩展名验证，最右边”.”后面字符是jpg ，是允许图片格式。但是，我们一以该文件名，保存。发现磁盘会在upload目录下面生成a.php ，\0后面所有字符，被自动截断。

该漏洞，风靡一时。当时几乎大多数上存网站都有漏洞。一时，很多平台关闭了上存。其实，根本原因就在此。我们拿到文件名，自己作为最终生成文件名保存了。好的方法，是自己随机生成文件名+读取扩展名。这样可以组织输入特殊字符，在进行文件保存时候，被抛弃或截断了。

php4时代这个漏洞可以利用，到php5时代，生成的变量文件名值中，会自动过滤掉”\0” ，这样无论用户构造怎么样的特殊”\0”用户名，都会被截断。但是，目前这类漏洞，在asp,jsp 等站点。还经常有出现。老版本的php站点也会经常出现。
好了，今天先到这里，后面还有2种其它常见方法，后面给出！欢迎交流！

[3]探讨:web上存漏洞及原理分析、防范方法

来源: 互联网发布时间: 2013-11-30

网站提供上存功能，是很多站点经常会有功能，商城，论坛还有常见一些网盘站点。常见互联网上面，我们也是经常听说，某某站点出现上存漏洞，某某开源项目有上存漏洞。从互联网开始出现动态程序，上存漏洞像幽灵一样，频繁的出现在各种系统中。为什么，一个上存漏洞会这么频繁出现呢。而且，有些系统反复修补，多次还没有修补成功！其实主要问题，还是出现在上存原理上面。我们先看看，上存过程。
网站上存过程分析

代码如下:

<?php
header("Content-type: text/html; charset=utf-8");
if($_FILES)
{
echo '<pre>';
var_dump($_FILES);
echo '</pre>';
}
?>
<form action="" enctype="multipart/form-data" method="POST">
<input type="file" name="txt" size="50">
<input name="Submit" type="submit" value="提交" >
</form>

以上是个简单测试例子，我们看看

我们来分析下：
name来自上存时候选择文件名称
type 是文件类型，这个类型那里来的呢？呵呵，这里非常关键的。很多时候，很多同人会认为，这个是服务器自动判断生成的。如果是这样想，觉得也有可能。 php 封装了上存，它自带类库好像可以的。但是，反过来想想，你随便选择个什么格式文件，都会有格式类型。这样一想，我们推断这个值，可能也来自用户输入的。我们来抓包看看我们类型。

type值也来自，用户输入值了。
size来自程序计算上存文件大小，这个是自动计算的。相比我们都清楚的。

你说这么多有啥样呢？
想必有朋友开始问了，我上面分析上存文件格式，跟开发出现漏洞有什么关联呢。其实，我们想想，上面说的，一个文件名称name属性，以及文件类型type属性。在我们上存文件，后端处理时候，会经常用到的。作为开发者，在使用这2个变量，一定要继续执行“一切输入代码是有害的”原则。你在使用时候，要把它当作，跟其它get,post 获取变量一样处理。要检测，过滤一切输入变量。
我们经常做功能是，限定用户输入必须是某种格式文件，然后保存为该格式。分析到这里，下面有很多需要继续分析地方，今天先提出大纲。接下来会分析这样常见3类上存漏洞。
1.使用用户文件名，生成文件，特殊字符过滤不严格，导致文件生成出现漏洞
2.移动文件目录时候，由于采用用户传入的文件名拼接，生成到错误目录
3.相信用户输入type 类型，直接将用户文件名保存为文件