php中函数禁用绕过的原理与利用(2)

利用了ini_set的open_basedir的设计缺陷，可以用如下代码观察一下其bypass过程：

该函数的第二个参数为一个文件路径，先看代码：

可以看到当文件不存在时返回值为false，因为不支持通配符，该方法只能适用于linux下的暴力猜解文件。

同样是基于报错，但realpath在windows下可以使用通配符<和>进行列举，脚本摘自p神博客：

如命令执行事实上是不受open_basedir的影响的。

蚁剑项目仓库中有一个各种disable的测试环境可以复现，需要环境的师傅可以选用蚁剑的环境。

https://github.com/AntSwordProject/AntSword-Labs

这个应该是最简单的方式，就是寻找替代函数来执行，如system可以采用如反引号来替代执行命令。

看几种常见用于执行系统命令的函数：

当然了这些也常常出现在disable function中，那么可以寻找可以比较容易被忽略的函数，通过函数 or 函数组合拳来执行命令。

反引号：最容易被忽略的点，执行命令但回显需要配合其他函数，可以反弹shell

pcntl_exec：目标机器若存在python，可用php执行python反弹shell

本质是利用bash破壳漏洞（CVE-2014-6271）。

影响范围在于bash 1.14 – 4.3

关键在于：

目前的bash脚本是以通过导出环境变量的方式支持自定义函数，也可将自定义的bash函数传递给子相关进程。一般函数体内的代码是不会被执行，但此漏洞会错误的将“{}”花括号外的命令进行执行。

本地验证方法：

在shell中执行下面命令：

env x='() { :;}; echo Vulnerable CVE-2014-6271 ' bash -c "echo test"

执行命令后，如果显示Vulnerable CVE-2014-6271，证系统存在漏洞，可改变echo Vulnerable CVE-2014-6271为任意命令进行执行。

详见：https://www.antiy.com/response/CVE-2014-6271.html

因为是设置环境变量，而在php中存在着putenv可以设置环境变量，配合开启子进程来让其执行命令。

https://www.exploit-db.com/exploits/35146

将exp上传后即可执行系统命令bypass disable，就不做过多赘述。