• LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir


    这次TCTF中一道题,给出了一个PHP一句话木马,设置了open_basedir,disable_functions包含所有执行系统命令的函数,然后目标是运行根目录下的/readflag,目标很明确,即绕过disable_functions和open_basedir,当然我还是一如既往的菜,整场比赛就会做个签到,这题也是赛后看WP才明白。

    LD_PRELOAD

    LD_PRELOAD是Unix中的一个环境变量,用于定义在程序运行前优先加载的动态链接库,LD和动态库有关,PRELOAD表示预加载,结合起来就是预先加载的动态库。通过这个环境变量,可以覆盖正常的函数库中的函数。

    写个验证密码是否正确的demo

    如果是不知道密码的情况下,就可以编写一个动态函数库来覆盖掉strcmp函数恒返回0以达到任意密码都返回Correct

    -fPIC 作用于编译阶段,告诉编译器产生与位置无关代码(Position-Independent Code), 则产生的代码中,没有绝对地址,全部使用相对地址,故而代码可以被加载器加载到内存的任意 位置,都可以正确的执行。这正是共享库所要求的,共享库被加载时,在内存的位置不是固定的

    设置环境变量后,任意密码都将返回Correct

    putenv

    PHP中putenv()函数用于设置服务器环境变量,仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态。

    putenv ( string $setting ) : bool

    putenv("LD_PRELOAD=/tmp/evil.so");

    劫持系统函数绕过disable_functions

    这种方法已经存在了几年,它基于这样的概念:当系统试图调用某函数时,该函数位于特定的共享库(xxx.so)。因此,系统在调用之前将加载xxx.so。换句话说,如果我可以创建一个evil.so有了同名的函数,就能将其覆盖之。

    所以需要找到一个php函数,它将运行一个新进程以及触发上述过程。新进程的原因就像前面提到的一样,需要重新启动服务以更改LD_PRELOAD,这里用到PHP mail() 函数

    在Linux中,进程是不能直接去访问硬件设备的,比如读取磁盘文件、接收网络数据等,但可以将用户态模式切换到内核模式,通过系统调用来访问硬件设备。这时strace就可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间、调用次数,成功和失败的次数。

    可以看到 这段PHP代码(mail()函数)使用 execve 在父进程中 fork 了一个子进程,调用了 /usr/sbin/sendmail 

    接着看下sendmail中调用了getuid()函数,(可以用readelf查看sendmail中使用了哪些函数,如readelf -Ws /usr/sbin/sendmail,但我环境似乎有问题执行不成功,所以还是用到strace)

    所以可以编写一个动态库覆盖getuid()函数

    一开始我是这么写的,虽然也能成功执行命令

    但是服务器卡顿,一堆报错,然后关了SSH后就连接不上了,最后只得在控制台重启,应该是将程序中所有的getuid()都覆盖造成某些地方严重出错,所以改为如下,在第一次运行到我的写的getuid()函数时就unsetenv这个环境变量,保证之后的正常调用

    在PHP代码中设置环境变量,并调用mail函数触发getuid(),最后成功执行命令

    劫持共享库

    __attribute__ 是 GNU C 里一种特殊的语法,语法格式为:__attribute__ ((attribute-list)),若函数被设定为constructor属性,则该函数会在main()函数执行之前被自动的执行。类似的,若函数被设定为destructor属性,则该函数会在main()函数执行之后或者exit()被调用后被自动的执行。

    Q

    1. When exactly does it run?
    2. Why are there two parentheses?
    3. Is __attribute__ a function? A macro? Syntax?
    4. Does this work in C? C++?
    5. Does the function it works with need to be static?
    6. When does __attribute__((destructor)) run?

    A

    1. It's run when a shared library is loaded, typically during program startup.
    2. That's how all GCC attributes are; presumably to distinguish them from function calls.
    3. GCC-specific syntax.
    4. Yes, this works in C and C++.
    5. No, the function does not need to be static.
    6. The destructor is run when the shared library is unloaded, typically at program exit.

    以上回答说的很清楚,__attribute__((constructor)) 在加载共享库时就会运行。于是只要编写一个含__attribute__((constructor)) 函数的共享库,然后在PHP中设置LD_PRELOAD环境变量,并且有一个能 fork 一个子进程并触发加载共享库的函数被执行,那么就能执行任意代码达到bypass disable_functions。当然mail()函数满足条件。

    编写共享库

    执行PHP

    同理,当在linux中设置了环境变量后,那么使用任意命令都将触发

     通用payload

    evil.c

    #include<stdlib.h>
    __attribute__((constructor)) void l3yx(){
        unsetenv("LD_PRELOAD");
        system(getenv("_evilcmd"));
    }

    evil.php

    <?php
    putenv("_evilcmd=echo 1>/root/tmp/222222");
    putenv("LD_PRELOAD=./evil.so");
    mail('a','a','a','a');

    gcc -shared -fPIC -o evil.so evil.c


    参考:

    警惕UNIX下的LD_PRELOAD环境变量

    如何使用GCC生成动态库和静态库

    Bypass disable_functions with LD_PRELOAD

    How exactly does __attribute__((constructor)) work?

    无需sendmail:巧用LD_PRELOAD突破disable_functions

  • 相关阅读:
    GetWindowThreadProcessId
    为什么要学制作外挂
    博客系统架构对比分析
    C# 数据库访问通用类 (ADO.NET)
    转:配置 SQL Server 2005 远程调试存储过程
    腾讯QQ空间g_tk算法
    BurstNET的linux vps 安装Kloxo面板后一切正常 今天重启导致错误Could not connect to Mysql server
    service的生命周期回调方法
    服务的生命周期回调方法
    点阵字库在JAVA中的实现
  • 原文地址:https://www.cnblogs.com/leixiao-/p/10612798.html
Copyright © 2020-2023  润新知