实战中绕过disable_functions执行命令

前言

前几天看到有大佬提到一种小型贷款网站，这种贷款网站从账号的注册到借款的流程都显得很随便，仿佛巴不得直接无条件借钱给你似的，充满“诈骗”的气息。

 

任意文件上传

看着充满暗示的提示语，我们仿照受害者的思路点击借款：

随意填写借款金额后，会让我们上传身份证信息：

文件上传的时候，发现前端有检验。随手上传了图片木马，并用bp抓包分析。

值得一提的是，在bp抓取到的数据包下面。可以看到有一段base64图片加密了后的数据，经过测试这段数据并不会被后端所检验和使用，也就说可以直接删掉。这操作也是有点让我懵圈。况且后端也并未对文件内容进行校验，有点DVWA的medium难度的味道。直接修改文件内容为我们常用的shell并将后缀改为php后放包，返回文件路径。

回到前端页面，F12获取木马文件所在的完整路径(上面返回的包少了storage)：

蚁剑连接，可以看到数不胜数的图片文件夹。。

至于为什么我说这是个骗局呢，往下看就知道了。

bypass disable_funtions

也就是说压根不管你真实信息如何，我都可以‘借钱’给你。本着不能做事不管的原则，进行了下一步渗透。

竟然没有执行权限，本着不能getshell了个寂寞的原则，查看phpinfo中函数禁用的相关信息。在很多PHP网站中，出于安全防护往往会禁用一些危险函数，加大我们的渗透难度。比如危险函数：exec(),sysytem()等等。

发现禁用了绝大部分的执行函数，再往下看open_basedir的值为空。想起蚁剑插件市场上强大的一款disable_funtions绕过插件。

从插件中可以看到函数支撑的选项，禁用了我们熟悉的dll和putenv。那么LD_PRELOAD模式是肯定不能用了。

经过测试，PHP7_GC_UAF或者PHP7_Backtrace_UAF模式都可成功绕过。

现在拿到一个可执行权限的shell，为了避免破坏数据，后续操作还是留给警察叔叔吧。。。

 

END

文章转载公众号：学渣成长之路

https://mp.weixin.qq.com/s/3jAfht4urDl2kQA6NSFfSA