php伪协议绕过限制写shell

这是在 code-breaking 中遇到的一道题目,名为:easy - phpmagic。题目地址:http://51.158.75.42:8082

1

整个代码逻辑很简单,需要关注的点就两个。一个是 第17-18行 处存在命令字符串格式化,而这里的格式化变量 $domain 经过了 escapeshellarg 函数的处理,没有其他攻击点结合,很难绕过。另外一个点是 第25行 的文件操作,我们会发现文件名 $log_name 变量完全可控,而文件内容 $output 也是部分可控(文件内容还经过了 htmlspecialchars 函数处理)。由于写入内容是部分可控,而文件名是完全可控,这就很容易让人联想到 PHP伪协议 的使用。举个例子,如果有下面这么一段代码,请问要如何利用该代码进行 getshell

<?php file_put_contents($_GET['filename'], '<?php exit;?>' . $_GET['content']);

我们可以看到这个问题和上面的题目本质上是一样的,文件名完全可控,而写入内容前存在不可控部分,这部分甚至会影响我们 webshell 的时候用,然而我们却可以利用 PHP伪协议 轻松绕过,达到 getshell 目的。 payload 如下:

2

这里假设我们要写入的内容是 <?php phpinfo(); 字符串,该字符串的 base64 编码为:PD9waHAgcGhwaW5mbygpOw== ,但是我们上面的payload中前面却多了一个A,这个A是我随意输入的,目的是为了和前面的字符凑成4的倍数进行 base64 解码而不影响我们shell本身。这里有个知识点,php的 base64_decode 函数在遇到除了 [a-zA-Z0-9+/] 之外的字符时会自动跳过,而且会将每4个字符作为一个单位进行解码。上面写入的内容前面拼接了 <?php exit;?> 字符串,真正被解码的,只有 phpexit 7个字符。为了不影响后续解码出来的 <?php phpinfo(); 所以我们要再在前面填充一个字符。这里特性之前也被用在过狗一句话中:

<?php
$a = base64_decode('JF9___QT1N____UWyd____hJ10='); ## 当中的下划线并不会被解码,只是起混淆作用
assert($a);
//assert($_POST[a]);
?>

进过上述例子的讲解,相信大家应该都明白了原理,那我们就继续来看题目。首先文件名变量 $log_name$_SERVER[‘SERVER_NAME’]$_POST[‘log’] 决定。 $_POST[‘log’] 自不必说,我们来看PHP手册中对 $_SERVER[‘SERVER_NAME’] 的说明:

3

可以看到,如果在 apache2 环境下,没有设置 UseCanonicalName = OnServerName$_SERVER[‘SERVER_NAME’] 的值可以由客户端控制。简单测试如下:

4

在看明白上述内容后,我们最后还需要绕过题目 第23行 处的 pathinfo 函数对文件后缀名的判断,这里用了 in_array 的强判断(第3个参数为true),就不用考虑弱类型绕过了,关注点应该放在 pathinfo 函数上。在PHP手册的 User Contributed Notes 部分,我们还是看到了该函数获取结果不准确的问题。如下:

5

其中第二种写法 /var/www/html/1.php/./file_put_contents 函数中,会被处理成 /var/www/html/1.php (具体原因可以参考: php & apache2 &操作系统之间的一些黑魔法 ),而在 pathinfo 函数中,返回的结果为空字符串,这样也绕过了题目中黑名单的检测,所以最终的解题 payload 如下:

6

http://......./xx.php?cmd=var_dump(scandir('../../../'));highlight_file('../../../flag_phpmag1c_ur1');

7

参考

php & apache2 &操作系统之间的一些黑魔法