php伪协议绕过限制写shell

「爱情、让人受尽委屈。」 2022-01-16 22:25 755阅读 1赞

原文链接：[https://mochazz.github.io/2019/01/14/php伪协议绕过限制写shell/][https_mochazz.github.io_2019_01_14_php_shell]

这是在 [**code-breaking**][code-breaking] 中遇到的一道题目，名为：easy - phpmagic。题目地址：[http://51.158.75.42:8082][http_51.158.75.42_8082]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70]

整个代码逻辑很简单，需要关注的点就两个。一个是 **第17-18行** 处存在命令字符串格式化，而这里的格式化变量  **d o m a i n ∗ ∗ 经 过 了 ∗ ∗ e s c a p e s h e l l a r g ∗ ∗ 函 数 的 处 理 ， 没 有 其 他 攻 击 点 结 合 ， 很 难 绕 过 。 另 外 一 个 点 是 ∗ ∗ 第 25 行 ∗ ∗ 的 文 件 操 作 ， 我 们 会 发 现 文 件 名 ∗ ∗ domain\*\* 经过了 \*\*escapeshellarg\*\* 函数的处理，没有其他攻击点结合，很难绕过。另外一个点是 \*\*第25行\*\* 的文件操作，我们会发现文件名 \*\* domain∗∗经过了∗∗escapeshellarg∗∗函数的处理，没有其他攻击点结合，很难绕过。另外一个点是∗∗第25行∗∗的文件操作，我们会发现文件名∗∗log\_name** 变量完全可控，而文件内容 **$output** 也是部分可控（文件内容还经过了 **htmlspecialchars** 函数处理）。由于写入内容是部分可控，而文件名是完全可控，这就很容易让人联想到 **PHP伪协议** 的使用。举个例子，如果有下面这么一段代码，请问要如何利用该代码进行 **getshell** ？

<?php file_put_contents($_GET['filename'], '<?php exit;?>' . $_GET['content']);

我们可以看到这个问题和上面的题目本质上是一样的，文件名完全可控，而写入内容前存在不可控部分，这部分甚至会影响我们 **webshell** 的时候用，然而我们却可以利用 **PHP伪协议** 轻松绕过，达到 **getshell** 目的。 **payload** 如下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 1]

这里假设我们要写入的内容是 **<?php phpinfo();\*\* 字符串，该字符串的 \*\*base64\*\* 编码为：\*\*PD9waHAgcGhwaW5mbygpOw==\*\* ，但是我们上面的payload中前面却多了一个A，这个A是我随意输入的，目的是为了和前面的字符凑成4的倍数进行 \*\*base64\*\* 解码而不影响我们shell本身。这里有个知识点，php的 \*\*base64\_decode\*\* 函数在遇到除了 \*\*\[a-zA-Z0-9+/\]\*\* 之外的字符时会自动跳过，而且会将每4个字符作为一个单位进行解码。上面写入的内容前面拼接了 \*\*<?php exit;?>** 字符串，真正被解码的，只有 **phpexit** 7个字符。为了不影响后续解码出来的 **<?php phpinfo();** 所以我们要再在前面填充一个字符。这里特性之前也被用在过狗一句话中：

<?php
        $a = base64_decode('JF9___QT1N____UWyd____hJ10='); ## 当中的下划线并不会被解码，只是起混淆作用
        assert($a);
        //assert($_POST[a]);
        ?>

进过上述例子的讲解，相信大家应该都明白了原理，那我们就继续来看题目。首先文件名变量  **l o g n a m e ∗ ∗ 由 ∗ ∗ log\_name\*\* 由 \*\* logname∗∗由∗∗\_SERVER\[‘SERVER\_NAME’\]** 和  **P O S T \[ ‘ l o g ’ \] ∗ ∗ 决 定 。 ∗ ∗ \_POST\[‘log’\]\*\* 决定。 \*\* POST\[‘log’\]∗∗决定。∗∗\_POST\[‘log’\]** 自不必说，我们来看PHP手册中对 **$\_SERVER\[‘SERVER\_NAME’\]** 的说明：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 2]

可以看到，如果在 **apache2** 环境下，没有设置 **UseCanonicalName = On** 和 **ServerName** ， **$\_SERVER\[‘SERVER\_NAME’\]** 的值可以由客户端控制。简单测试如下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 3]

在看明白上述内容后，我们最后还需要绕过题目 **第23行** 处的 **pathinfo** 函数对文件后缀名的判断，这里用了 **in\_array** 的强判断（第3个参数为true），就不用考虑弱类型绕过了，关注点应该放在 **pathinfo** 函数上。在PHP手册的 [**User Contributed Notes**][User Contributed Notes] 部分，我们还是看到了该函数获取结果不准确的问题。如下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 4]

其中第二种写法 **/var/www/html/1.php/./** 在 **file\_put\_contents** 函数中，会被处理成 **/var/www/html/1.php** （具体原因可以参考： [php & apache2 &操作系统之间的一些黑魔法][php _ apache2] ），而在 **pathinfo** 函数中，返回的结果为空字符串，这样也绕过了题目中黑名单的检测，所以最终的解题 **payload** 如下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 5]

http://......./xx.php?cmd=var_dump(scandir('../../../'));highlight_file('../../../flag_phpmag1c_ur1');

![在这里插入图片描述][20190612154449395.png]

**参考**

[php & apache2 &操作系统之间的一些黑魔法][php _ apache2]

[https_mochazz.github.io_2019_01_14_php_shell]: https://mochazz.github.io/2019/01/14/php%E4%BC%AA%E5%8D%8F%E8%AE%AE%E7%BB%95%E8%BF%87%E9%99%90%E5%88%B6%E5%86%99shell/
[code-breaking]: https://code-breaking.com/
[http_51.158.75.42_8082]: http://51.158.75.42:8082
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70]: /images/20220117/ba26ee18a88141598b5cd92d1317ee0d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 1]: /images/20220117/8921a916b9a44b778136cfe15fdf8238.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 2]: /images/20220117/458969474208491596dc1f56fd67c9e9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 3]: /images/20220117/a68de92ace5d4214b0c1a859763940b9.png
[User Contributed Notes]: http://php.net/manual/en/function.pathinfo.php
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 4]: /images/20220117/cae238ac28c64f36894ac3b321fd2212.png
[php _ apache2]: http://wonderkun.cc/index.html/?p=626
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 5]: /images/20220117/506ba9c473e9479e8767093c6875ceae.png
[20190612154449395.png]: /images/20220117/d772d4792889415a9eafd8f828dec87a.png