php伪协议绕过限制写shell

栏目: PHP · 发布时间: 5年前

内容简介:这是在整个代码逻辑很简单,需要关注的点就两个。一个是

这是在 code-breaking 中遇到的一道题目,名为:easy - phpmagic。题目地址: http://51.158.75.42:8082

php伪协议绕过限制写shell

整个代码逻辑很简单,需要关注的点就两个。一个是 第17-18行 处存在命令字符串格式化,而这里的格式化变量 $domain 经过了 escapeshellarg 函数的处理,没有其他攻击点结合,很难绕过。另外一个点是 第25行 的文件操作,我们会发现文件名 $log_name 变量完全可控,而文件内容 $output 也是部分可控(文件内容还经过了 htmlspecialchars 函数处理)。由于写入内容是部分可控,而文件名是完全可控,这就很容易让人联想到 PHP伪协议 的使用。举个例子,如果有下面这么一段代码,请问要如何利用该代码进行 getshell

<?php file_put_contents($_GET['filename'], '<?php exit;?>' . $_GET['content']);

我们可以看到这个问题和上面的题目本质上是一样的,文件名完全可控,而写入内容前存在不可控部分,这部分甚至会影响我们 webshell 的时候用,然而我们却可以利用 PHP伪协议 轻松绕过,达到 getshell 目的。 payload 如下:

php伪协议绕过限制写shell

这里假设我们要写入的内容是 <?php phpinfo(); 字符串,该字符串的 base64 编码为: PD9waHAgcGhwaW5mbygpOw== ,但是我们上面的payload中前面却多了一个A,这个A是我随意输入的,目的是为了和前面的字符凑成4的倍数进行 base64 解码而不影响我们 shell 本身。这里有个知识点,php的 base64_decode 函数在遇到除了 [a-zA-Z0-9+/] 之外的字符时会自动跳过,而且会将每4个字符作为一个单位进行解码。上面写入的内容前面拼接了 <?php exit;?> 字符串,真正被解码的,只有 phpexit 7个字符。为了不影响后续解码出来的 <?php phpinfo(); 所以我们要再在前面填充一个字符。这里特性之前也被用在过狗一句话中:

<?php
$a = base64_decode('JF9___QT1N____UWyd____hJ10='); ## 当中的下划线并不会被解码,只是起混淆作用
assert($a);
//assert($_POST[a]);
?>

进过上述例子的讲解,相信大家应该都明白了原理,那我们就继续来看题目。首先文件名变量 $log_name$_SERVER[‘SERVER_NAME’]$_POST[‘log’] 决定。 $_POST[‘log’] 自不必说,我们来看 PHP 手册中对 $_SERVER[‘SERVER_NAME’] 的说明:

php伪协议绕过限制写shell

可以看到,如果在 apache2 环境下,没有设置 UseCanonicalName = OnServerName$_SERVER[‘SERVER_NAME’] 的值可以由客户端控制。简单测试如下:

php伪协议绕过限制写shell

在看明白上述内容后,我们最后还需要绕过题目 第23行 处的 pathinfo 函数对文件后缀名的判断,这里用了 in_array 的强判断(第3个参数为true),就不用考虑弱类型绕过了,关注点应该放在 pathinfo 函数上。在PHP手册的 User Contributed Notes 部分,我们还是看到了该函数获取结果不准确的问题。如下:

php伪协议绕过限制写shell

其中第二种写法 /var/www/html/1.php/./file_put_contents 函数中,会被处理成 /var/www/html/1.php (具体原因可以参考: php & apache2 &操作系统之间的一些黑魔法 ),而在 pathinfo 函数中,返回的结果为空字符串,这样也绕过了题目中黑名单的检测,所以最终的解题 payload 如下:

php伪协议绕过限制写shell

http://......./xx.php?cmd=var_dump(scandir('../../../'));highlight_file('../../../flag_phpmag1c_ur1');

php伪协议绕过限制写shell

参考

php & apache2 &操作系统之间的一些黑魔法


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

机器学习系统设计

机器学习系统设计

[德] Willi Richert、Luis Pedro Coelho / 刘峰 / 人民邮电出版社 / 2014-7-1 / CNY 49.00

如今,机器学习正在互联网上下掀起热潮,而Python则是非常适合开发机器学习系统的一门优秀语言。作为动态语言,它支持快速探索和实验,并且针对Python的机器学习算法库的数量也与日俱增。本书最大的特色,就是结合实例分析教会读者如何通过机器学习解决实际问题。 本书将向读者展示如何从原始数据中发现模式,首先从Python与机器学习的关系讲起,再介绍一些库,然后就开始基于数据集进行比较正式的项目开......一起来看看 《机器学习系统设计》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器