小记PHP7的disable_functions绕过以及open_basedir()跨路径访问

最新推荐文章于 2022-09-22 18:54:36 发布
最新推荐文章于 2022-09-22 18:54:36 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: CTF知识点总结 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/104356780
版权

小记PHP7的disable_functions绕过以及open_basedir()跨路径访问

主要针对PHP7版本

disable_functions绕过

一般而言,利用漏洞控制 web 启动新进程 a.bin(即便进程名无法让我随意指定),a.bin 内部调用系统函数 b(),b() 位于系统共享对象 c.so 中,所以系统为该进程加载共 c.so,想法在 c.so 前优先加载可控的 c_evil.so,c_evil.so 内含与 b() 同名的恶意函数,由于 c_evil.so 优先级较高,所以,a.bin 将调用到 c_evil.so 内 b() 而非系统的 c.so 内 b(),同时,c_evil.so 可控,达到执行恶意代码的目的。

甚至不要main()函数来劫持 getuid(),作者通过 LD_PRELOAD 劫持了启动进程:

具体链接:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

利用backtracejson反序列化gc绕过disable_functions:
在这里插入图片描述
具体链接:
https://github.com/mm0r1/exploits

open_basedir()跨路径访问

open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也可用符号.来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。
举例来说: 若open_basedir = /dir/user, 那么目录 /dir/user/dir/user1都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:
open_basedir = /dir/user/

open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。
在这里插入图片描述当限制了目录后,通过chdir()ini_set()来进行跨路径访问:

查看根目录payload:

mkdir(%22/tmp/crispr%22);chdir(%27/tmp/crispr/%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);print_r(scandir(%27.%27))

具体链接:
https://xz.aliyun.com/t/4720#toc-4

Crispr-bupt
关注
专栏目录
利用ld_preload方式绕过disable_functions
Jiajiajiang_的博客
08-06 1180
参考链接:https://github.com/l3m0n/Bypass_Disable_functions_Shell 连了菜刀无法执行命令系列。 去看phpinfo(别问我怎么看,你都能上传一句话了,phpinfo不是问题 好家伙!禁用了这么多函数,这可咋整 行我去找方法了, 试过了pcntl_exec的方法,没有成功,来用ld_preload绕过(mail 啥也别说了,上马 ...
突破PHP disable_functions禁用函数常用绕过姿势
白泽Sec安全实验室
01-01 3203
前言:最近拿到一个shell,被禁用了 php中能直接执行系统程序的函数,虽然最后没有绕过成功。但是也有不小的收获。 首先说下shell怎么来的 一个织梦的站,找到后台登录路径。随手输入默认账户密码:admin/admin,顺利进入后台 利用DedeCMS V5.7 SP2后台存在代码执行漏洞拿到shell 1.首先获取token。访问域名 + /dede/tpl.php?action=upload http://127.0.0.1/uploads/dede/tpl.php?action=upload 通
禁止不安全php函数(php.ini)
huike008的博客
12-29 753
为了使php程序更安全,很多站长都选择了禁用一些比较敏感的函数,那影响php安全的函数到底有哪些呢,下面我们列出了一些:1、phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中2、passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高3、exec() 功能描述:允许执行一个外部程序(如 UNI...
disable_functions绕过
qq_42307546的博客
04-18 367
这里记录一次disable_functions绕过绕过的过程,本人太菜用的是大神写的脚本 项目地址:https://github.com/mm0r1/exploits 这里我修改了一下源码将执行的代码通过get 方式传输 修改后的源码 <?php # PHP 7.0-7.3 disable_functions bypass PoC (*nix only) # # Bug: https://bugs.php.net/bug.php?id=72530 # # This exploit should w
绕过disable_function
qq_51770207的博客
09-22 4114
绕过disable_function
PHP绕过disable_function
shy的博客
12-02 1477
disable_functions 为了服务器的安全,我们可以设置PHP禁止运行一些危险的函数。 设置方法 将需要禁止运行的函数写入到php.ini当中的disable_functions中。 phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,sys
PHP绕过open_basedir限制操作文件的方法
12-20
PHPopen_basedir限制与绕过方法】 在PHP中,`open_basedir`配置项是用于增强安全性的重要工具,它限制了PHP脚本能够访问的文件系统路径。当`open_basedir`设置为例如`/home/wwwroot/home/web1/:/tmp/`时,任何...
disable_functions的绕过+目录突破+提权
fw的博客
06-23 3811
0x00 正常的操作拿到webshell,在虚拟终端里输入命令都没有反应 在phpinfo里找到disable_functions函数,发现很多命令都被禁用了。 0x01绕过disable_functions 在这里一开始使用了 LD_PRELOAD绕过,发现报错了。 然后使用蚁剑自带插件成功绕过。 然后到tmp目录查找看看,找到了.sock路径。 运行生成一个.antproxy.phpd文件。 然后连接发现这个绕过只有一会的时间就会被断开,然后想着在上传木马到靶机,进行反弹shell。 0x
浅谈绕过open_basedir 的几种用法
snowlyzz的博客
08-13 5544
简单绕过open_basedir 的几种方法
disable_functions绕过总结
遇事不决冲冲冲
11-19 6585
提要 Linux 中 PHP 环境,已知disable_functions=exec、passthru、popen、proc_open、shell_exec、system请写出两种有可能实现任意命令执行的方式 exec <?phpecho exec('whoami');?> — 执行一个外部程序 passthru <?phppassthru("whoami");?> — 执行外部程序并且显示原始输出
一些需要禁用的PHP危险函数(disable_functions)
12-18
phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中 passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高 exec() 功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。 危险等级:高 system() 功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。 危险等级:高 chroot() 功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式 PHP 时才能工作,且该函数不适用于 Windows 系统。 危险等级:高 scan
利用PHP扩展模块突破Disable_functions执行命令
09-13
利用PHP扩展模块突破Disable_functions执行命令
php.ini 启用disable_functions提高安全
09-30
如果想保证服务器的安全,请将这个函数加到disable_functions里或者将安全模式打开吧,在安全模式下dl函数是无条件禁止的
php绕过open_basedir
遇事不决冲冲冲
03-23 3294
php绕过open_basedir,简单来说就是限制一些文件的读取与执行,包括mysql的一些函数对这些指定文件的操作,ctfshow 805,绕过open_basedir扫描目录文件,绕过open_basedir读取文件
绕过disable_function总结
unexpectedthing的博客
03-27 4811
前言 有些时候,phpinfo()有disable_functions 蚁剑终端命令不起作用,就可能是df的问题 黑名单绕过 就是一些运维人员php命令执行的函数没禁用完 exec,passthru,shell_exec,eval,system,popen,proc_open(),pcntl_exec 前几种都比较简单 popen 打开进程文件指针 <?php $command=$_POST['cmd']; $handle = popen($command,"r"); while(!feof($
php7 防站,php开启open_basedir站保护及禁用函数执行disable_functions提高系统安全...
weixin_39812142的博客
03-19 269
如果你安装的本站的kangle和ep,那么默认这两个参数已经打开,如果你用的官方默认的脚本安装的。那么你需要编辑linux目录是/vhs/kangle/ext/*php*目录下的php-templete.ini文件windows是你的kangle安装目录下的/ext/*php*目录下的php-templete.ini文件把php-templete.ini文件的;open_basedir和;;dis...
PHP之如何绕过open_basedir
shy的博客
11-27 1460
open_basedir php.ini中原文的说明是: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *N...
open_basedir restriction in effect
showso2006的专栏
09-01 7610
<br />open_basedir: 将用户可操作的文件限制在某目录下;<br /> --------------------------------------------------------------------------------<br /> 如下是php.ini中的原文说明以及默认配置:<br /> ; open_basedir, if set, limits all file operations to the defined directory<br /> ; and bel
PHP扩展模块突破Disable_functions执行命令技巧
如果`enable_dl`选项被设置为`on`(默认情况下是开启的),并且管理员没有特别禁用它,攻击者就可以创建自定义的PHP扩展来绕过`disable_functions`的限制。 例如,在一个测试环境中,如RedhatLinux9搭配Apache...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值