LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

时间:2022-03-15 10:46:56

这次TCTF中一道题,给出了一个PHP一句话木马,设置了open_basedir,disable_functions包含所有执行系统命令的函数,然后目标是运行根目录下的/readflag,目标很明确,即绕过disable_functions和open_basedir,当然我还是一如既往的菜,整场比赛就会做个签到,这题也是赛后看WP才明白。

LD_PRELOAD

LD_PRELOAD是Unix中的一个环境变量,用于定义在程序运行前优先加载的动态链接库,LD和动态库有关,PRELOAD表示预加载,结合起来就是预先加载的动态库。通过这个环境变量,可以覆盖正常的函数库中的函数。

写个验证密码是否正确的demo

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

如果是不知道密码的情况下,就可以编写一个动态函数库来覆盖掉strcmp函数恒返回0以达到任意密码都返回Correct

-fPIC 作用于编译阶段,告诉编译器产生与位置无关代码(Position-Independent Code), 则产生的代码中,没有绝对地址,全部使用相对地址,故而代码可以被加载器加载到内存的任意 位置,都可以正确的执行。这正是共享库所要求的,共享库被加载时,在内存的位置不是固定的

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

设置环境变量后,任意密码都将返回Correct

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

putenv

PHP中putenv()函数用于设置服务器环境变量,仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态。

putenv ( string $setting ) : bool

putenv("LD_PRELOAD=/tmp/evil.so");

劫持系统函数绕过disable_functions

这种方法已经存在了几年,它基于这样的概念:当系统试图调用某函数时,该函数位于特定的共享库(xxx.so)。因此,系统在调用之前将加载xxx.so。换句话说,如果我可以创建一个evil.so有了同名的函数,就能将其覆盖之。

所以需要找到一个php函数,它将运行一个新进程以及触发上述过程。新进程的原因就像前面提到的一样,需要重新启动服务以更改LD_PRELOAD,这里用到PHP mail() 函数

在Linux中,进程是不能直接去访问硬件设备的,比如读取磁盘文件、接收网络数据等,但可以将用户态模式切换到内核模式,通过系统调用来访问硬件设备。这时strace就可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间、调用次数,成功和失败的次数。

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

可以看到 这段PHP代码(mail()函数)使用 execve 在父进程中 fork 了一个子进程,调用了 /usr/sbin/sendmail

接着看下sendmail中调用了getuid()函数,(可以用readelf查看sendmail中使用了哪些函数,如readelf -Ws /usr/sbin/sendmail,但我环境似乎有问题执行不成功,所以还是用到strace)

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

所以可以编写一个动态库覆盖getuid()函数

一开始我是这么写的,虽然也能成功执行命令

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

但是服务器卡顿,一堆报错,然后关了SSH后就连接不上了,最后只得在控制台重启,应该是将程序中所有的getuid()都覆盖造成某些地方严重出错,所以改为如下,在第一次运行到我的写的getuid()函数时就unsetenv这个环境变量,保证之后的正常调用

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

在PHP代码中设置环境变量,并调用mail函数触发getuid(),最后成功执行命令

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

劫持共享库

__attribute__ 是 GNU C 里一种特殊的语法,语法格式为:__attribute__ ((attribute-list)),若函数被设定为constructor属性,则该函数会在main()函数执行之前被自动的执行。类似的,若函数被设定为destructor属性,则该函数会在main()函数执行之后或者exit()被调用后被自动的执行。

Q

  1. When exactly does it run?
  2. Why are there two parentheses?
  3. Is __attribute__ a function? A macro? Syntax?
  4. Does this work in C? C++?
  5. Does the function it works with need to be static?
  6. When does __attribute__((destructor)) run?

A

  1. It's run when a shared library is loaded, typically during program startup.
  2. That's how all GCC attributes are; presumably to distinguish them from function calls.
  3. GCC-specific syntax.
  4. Yes, this works in C and C++.
  5. No, the function does not need to be static.
  6. The destructor is run when the shared library is unloaded, typically at program exit.

以上回答说的很清楚,__attribute__((constructor)) 在加载共享库时就会运行。于是只要编写一个含__attribute__((constructor)) 函数的共享库,然后在PHP中设置LD_PRELOAD环境变量,并且有一个能 fork 一个子进程并触发加载共享库的函数被执行,那么就能执行任意代码达到bypass disable_functions。当然mail()函数满足条件。

编写共享库

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

执行PHP

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

同理,当在linux中设置了环境变量后,那么使用任意命令都将触发

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

通用payload

LD_PRELOAD & putenv() 绕过 disable_functions & open_basedir

evil.c

#include<stdlib.h>
__attribute__((constructor)) void l3yx(){
unsetenv("LD_PRELOAD");
system(getenv("_evilcmd"));
}

evil.php

<?php
putenv("_evilcmd=echo 1>/root/tmp/222222");
putenv("LD_PRELOAD=./evil.so");
mail('a','a','a','a');

gcc -shared -fPIC -o evil.so evil.c

参考:

警惕UNIX下的LD_PRELOAD环境变量

如何使用GCC生成动态库和静态库

Bypass disable_functions with LD_PRELOAD

How exactly does __attribute__((constructor)) work?

无需sendmail:巧用LD_PRELOAD突破disable_functions