disable_functions bypass - dl function
Wichtiger Hinweis:
dl
ist eine PHP-Funktion, die verwendet werden kann, um PHP-Erweiterungen zu laden. Wenn die Funktion nicht deaktiviert ist, kann sie missbraucht werden, um disable_functions
zu umgehen und beliebige Befehle auszuführen.
Es gibt jedoch einige strenge Einschränkungen:
Die Funktion
dl
muss in der Umgebung vorhanden und nicht deaktiviert sein.Die PHP-Erweiterung muss mit derselben Hauptversion (PHP-API-Version) kompiliert sein, die der Server verwendet (diese Informationen finden Sie in der Ausgabe von phpinfo).
Die PHP-Erweiterung muss sich im Verzeichnis befinden, das durch die Direktive
extension_dir
definiert ist (dies können Sie in der Ausgabe von phpinfo sehen). Es ist sehr unwahrscheinlich, dass ein Angreifer, der versucht, den Server zu missbrauchen, Schreibzugriff auf dieses Verzeichnis hat. Daher wird diese Anforderung Sie wahrscheinlich daran hindern, diese Technik zu missbrauchen.
Wenn Sie diese Anforderungen erfüllen, lesen Sie den Beitrag weiter https://antichat.com/threads/70763/ , um zu erfahren, wie Sie disable_functions
umgehen können. Hier ist eine Zusammenfassung:
Die dl-Funktion wird verwendet, um PHP-Erweiterungen während der Skriptausführung dynamisch zu laden. PHP-Erweiterungen, die normalerweise in C/C++ geschrieben sind, erweitern die Funktionalität von PHP. Der Angreifer bemerkt, dass die dl
-Funktion nicht deaktiviert ist, und entscheidet sich, eine benutzerdefinierte PHP-Erweiterung zu erstellen, um Systembefehle auszuführen.
Vom Angreifer durchgeführte Schritte:
PHP-Versionsermittlung:
Der Angreifer ermittelt die PHP-Version mithilfe eines Skripts (
<?php echo 'PHP-Version ist '.PHP_VERSION; ?>
).
Beschaffung des PHP-Quellcodes:
Lädt den PHP-Quellcode von der offiziellen PHP-Website oder dem Archiv herunter, wenn es sich um eine ältere Version handelt.
Lokale PHP-Installation:
Extrahiert und installiert die spezifische PHP-Version auf ihrem System.
Erstellung der Erweiterung:
Studiert die Erstellung von PHP-Erweiterungen und inspiziert den PHP-Quellcode.
Konzentriert sich darauf, die Funktionalität der exec-Funktion zu duplizieren, die sich in
ext/standard/exec.c
befindet.
Hinweise zur Kompilierung der benutzerdefinierten Erweiterung:
ZEND_MODULE_API_NO:
Das
ZEND_MODULE_API_NO
inbypass.c
muss mit dem aktuellen Zend Extension Build übereinstimmen, der mit folgendem Befehl abgerufen werden kann:
Änderung von PHP_FUNCTION:
Für aktuelle PHP-Versionen (5, 7, 8) muss
PHP_FUNCTION(bypass_exec)
möglicherweise angepasst werden. Der bereitgestellte Codeausschnitt enthält Details zu dieser Änderung.
Dateien der benutzerdefinierten Erweiterung:
bypass.c:
Implementiert die Kernfunktionalität der benutzerdefinierten Erweiterung.
php_bypass.h:
Header-Datei, die Erweiterungseigenschaften definiert.
config.m4:
Wird von
phpize
verwendet, um die Build-Umgebung für die benutzerdefinierte Erweiterung zu konfigurieren.
Erstellung der Erweiterung:
Kompilierungsbefehle:
Verwendet
phpize
,./configure
undmake
, um die Erweiterung zu kompilieren.Die resultierende
bypass.so
befindet sich dann im Unterverzeichnis "modules".
Aufräumen:
Führt nach der Kompilierung
make clean
undphpize --clean
aus.
Hochladen und Ausführen auf dem Opferhost:
Versionskompatibilität:
Stellt sicher, dass die PHP-API-Versionen zwischen dem System des Angreifers und dem des Opfers übereinstimmen.
Erweiterungsladen:
Verwendet die
dl
-Funktion, um Einschränkungen zu umgehen, indem relative Pfade oder ein Skript zur Automatisierung des Vorgangs verwendet werden.
Skriptausführung:
Der Angreifer lädt
bypass.so
und ein PHP-Skript auf den Server des Opfers hoch.Das Skript verwendet die Funktion
dl_local
, umbypass.so
dynamisch zu laden, und ruft dannbypass_exec
mit einem über dencmd
-Abfrageparameter übergebenen Befehl auf.
Befehlsausführung:
Der Angreifer kann jetzt Befehle ausführen, indem er auf Folgendes zugreift:
http://www.example.com/script.php?cmd=<Befehl>
Diese ausführliche Anleitung beschreibt den Prozess der Erstellung und Bereitstellung einer PHP-Erweiterung zur Ausführung von Systembefehlen unter Ausnutzung der dl
-Funktion, die idealerweise deaktiviert sein sollte, um solche Sicherheitsverletzungen zu verhindern.
Last updated