点击开始按钮:
成功后蚁剑会在/var/www/html目录上传一个.antproxy.php文件。我们创建副本,并将连接的 URL shell 脚本名字改为.antproxy.php来获得新的shell:
在新的shell里面就可以成功执行命令了:
利用 GC UAF
使用条件:
Linux 操作系统
PHP 版本
7.0 - all versions to date
7.1 - all versions to date
7.2 - all versions to date
7.3 - all versions to date
原理简述此漏洞利用PHP垃圾收集器中存在三年的一个 bug,通过PHP垃圾收集器中堆溢出来绕过disable_functions并执行系统命令。
利用脚本:https://github.com/mm0r1/exploits/tree/master/php7-gc-bypass
利用方法下面,我们还是通过 这道题来演示利用GC UAF来突破disable_functions的具体方法。
此时我们已经拿到了shell:
需要下载利用脚本:https://github.com/mm0r1/exploits/tree/master/php7-gc-bypass
下载后,在pwn函数中放置你想要执行的系统命令:
这样,每当你想要执行一个命令就要修改一次pwn函数里的内容,比较麻烦,所以我们可以直接该为POST传参:
这样就方便多了。
将修改后的利用脚本exploit.php上传到目标主机有权限的目录中:
然后将exploit.php包含进来并使用POST方法提供你想要执行的命令即可:
/?Ginkgo=aW5jbHVkZSgiL3Zhci90bXAvZXhwbG9pdC5waHAiKTs= # include("/var/tmp/exploit.php"); POST: whoami=ls /如下图所示,成功执行命令:
在蚁剑中有该绕过disable_functions的插件:
点击开始按钮后,成功之后会创建一个新的虚拟终端,在这个新的虚拟终端中即可执行命令了。
利用 Backtrace UAF使用条件:
Linux 操作系统
PHP 版本
7.0 - all versions to date
7.1 - all versions to date
7.2 - all versions to date
7.3 < 7.3.15 (released 20 Feb 2020)
7.4 < 7.4.3 (released 20 Feb 2020)
原理简述