disable_functions bypass - dl function
Nota importante:
dl
è una funzione di PHP che può essere utilizzata per caricare estensioni di PHP. Se la funzione non è disabilitata, potrebbe essere abusata per eludere disable_functions
ed eseguire comandi arbitrari.
Tuttavia, ha alcune limitazioni rigide:
La funzione
dl
deve essere presente nell'ambiente e non disabilitataL'estensione di PHP deve essere compilata con la stessa versione principale (versione API di PHP) che il server sta utilizzando (puoi vedere queste informazioni nell'output di phpinfo)
L'estensione di PHP deve essere posizionata nella directory definita dalla direttiva
extension_dir
(puoi vederla nell'output di phpinfo). È molto improbabile che un attaccante che cerca di abusare del server abbia accesso in scrittura su questa directory, quindi questo requisito probabilmente ti impedirà di abusare di questa tecnica).
Se soddisfi questi requisiti, continua a leggere il post https://antichat.com/threads/70763/ per imparare come eludere disable_functions
. Ecco un riassunto:
La funzione dl viene utilizzata per caricare estensioni di PHP in modo dinamico durante l'esecuzione dello script. Le estensioni di PHP, tipicamente scritte in C/C++, migliorano la funzionalità di PHP. L'attaccante, notando che la funzione dl
non è disabilitata, decide di creare un'estensione di PHP personalizzata per eseguire comandi di sistema.
Passaggi eseguiti dall'attaccante:
Identificazione della versione di PHP:
L'attaccante determina la versione di PHP utilizzando uno script (
<?php echo 'La versione di PHP è '.PHP_VERSION; ?>
).
Acquisizione del codice sorgente di PHP:
Configurazione di PHP locale:
Estrae e installa la versione specifica di PHP sul proprio sistema.
Creazione dell'estensione:
Studia la creazione di estensioni di PHP e ispeziona il codice sorgente di PHP.
Si concentra sulla duplicazione della funzionalità della funzione exec situata in
ext/standard/exec.c
.
Note per la compilazione dell'estensione personalizzata:
ZEND_MODULE_API_NO:
Il
ZEND_MODULE_API_NO
inbypass.c
deve corrispondere alla versione corrente di Zend Extension Build, recuperabile con:
Modifica di PHP_FUNCTION:
Per le versioni recenti di PHP (5, 7, 8), potrebbe essere necessaria un'aggiustamento di
PHP_FUNCTION(bypass_exec)
. Il frammento di codice fornito dettaglia questa modifica.
File dell'estensione personalizzata:
bypass.c:
Implementa la funzionalità principale dell'estensione personalizzata.
php_bypass.h:
File di intestazione, definisce le proprietà dell'estensione.
config.m4:
Utilizzato da
phpize
per configurare l'ambiente di compilazione per l'estensione personalizzata.
Compilazione dell'estensione:
Comandi di compilazione:
Utilizza
phpize
,./configure
emake
per compilare l'estensione.L'estensione risultante
bypass.so
si trova nella sottodirectory modules.
Pulizia:
Esegue
make clean
ephpize --clean
dopo la compilazione.
Caricamento ed esecuzione sull'host vittima:
Compatibilità delle versioni:
Assicura che le versioni dell'API di PHP corrispondano tra il sistema dell'attaccante e quello della vittima.
Caricamento dell'estensione:
Utilizza la funzione
dl
, eludendo le restrizioni utilizzando percorsi relativi o uno script per automatizzare il processo.
Esecuzione dello script:
L'attaccante carica
bypass.so
e uno script PHP sul server della vittima.Lo script utilizza la funzione
dl_local
per caricare dinamicamentebypass.so
e quindi chiamabypass_exec
con un comando passato tramite il parametro di querycmd
.
Esecuzione di comandi:
L'attaccante può ora eseguire comandi accedendo a:
http://www.example.com/script.php?cmd=<comando>
Questa guida dettagliata illustra il processo di creazione e distribuzione di un'estensione di PHP per eseguire comandi di sistema, sfruttando la funzione dl
, che idealmente dovrebbe essere disabilitata per prevenire tali violazioni della sicurezza.
Last updated