前一段时间有幸参加了由TSRC发起的一个挑战赛。目标环境运行着一个正常的discuz应用，并且存在一个上传接口，该接口允许上传任意文件, 但限制了大部分危险的PHP函数, 比如system、scandir、eval等。在服务器上放置了一个flag文件, 目标是通过上传的PHP文件找到该flag文件。

毕竟这是一场比赛，而且如果排名考前，还有丰厚的奖励。根据规则, 相同的利用方式以第一个提交的算分。正所谓先下手为强，所以在挑战刚开始后，就马上拿出自己珍藏多年的秘密武器——PHP反射，相关内容可参考：

http://cn2.php.net/manual/en/reflectionfunction.invokeargs.php。

简单使用方法如下：

<?php
	$func = new ReflectionFunction("system");
	echo $func->invokeArgs(array("$_GET[c]"));
?>

上面的php代码等价于：

<?php echo system($_GET[c]); ?>

首战告捷！第一个shell上传成功，并非常顺利的在目标服务器找到flag文件。顺利拿到5分。

大招使完以后, 后面的日子就不好过了。

最开始想到的就是利用各种变形，快追平孙猴子的72般变化了。变了几天以后，还是没有进展。

此时开始反思，危险函数的调用检测是如何实现的？如果在函数的实现层做检测，不管怎么变形，都会殊途同归，继续变下去是没有任何意义的。

回到前面ReflectionFunction的利用，成功的执行了system函数，有力的说明访问system函数并非只有一条路可走。

除了反射外, PHP提供的另外一种可间接调用函数的方法是callback。这里使用了ob_start。具体说明可参考：http://www.php.net/manual/en/function.ob-start.php

简单利用如下：

<?php
	$cb= 'system';
	ob_start($cb);
	echo $_GET[c];
	ob_end_flush();
?>

上面代码等价于：

<?php system($_GET[c]); ?>

这样，第二次成功绕过危险函数的检查，并成功执行命令。

PHP中支持callback的函数还有很多，比如：

array_map,array_filter, array_reduce

usort(),uksort()

array_walk()等

比如，@BlackYe同学就使用了支持回调的array_diff_ukey

还有xml解析相关的多个函数也支持callback,只不过传递给回调函数的第一个参数为xml解析对象, 没有合适的利用场景。

前面利用PHP中两种不同的实现达到了调用system函数执行系统命令的目的，由于没有直接使用PHP中的system函数，从而绕过防护系统的检查，成功执行系统命令。

那还有没有第三种方法可以绕过呢？

要想绕过，必须弄清楚是如何实现的（或者说要是自己实现这样的一个系统，会采用什么样的方法）。

接下来就需要通过猜想，提出假设，并逐步验证自己的想法。

1. 为了便于操作和验证，前期做了一些准备。因为每次上传后的文件名是不同的，也就是利用上传在服务器上的固定目录创建几个包含常用功能的PHP脚本。大致包括：

• copy.php 用于文件复制和移动；
• sql.php 用于数据库操作；
• read.php 用于读取文件内容，主要用于确认上传的文件内容是否正确；
• stat.php用于获取文件或目录的用户权限和读写权限；
• shell.php 用于调用其他php函数。

2. 准备完这些工具以后, 开始猜测检测原理：

疑问1：是否允许执行危险函数与文件所在目录有关呢？

因为上传后的文件所在目录是固定的, 所以首先猜想是否与目录有关。于是，利用先前上传的几个PHP工具, 在已正常运行WEB应用的目录下找到可写的目录, 并将上传的PHP文件移动到该目录, 结果以失败告终。

疑问2：是否设置了白名单，后续上传的文件都不允许执行危险的PHP函数？

将shell写入WEB应用已有的文件中。拿下后台, 并将shell写入到WEB应用已有的代码文件中. 结果还是失败了。

疑问3：某些函数禁用了，已经搭建好的应用是否受影响呢？

对应用的代码做了一番审计，找到使用了被禁用的PHP函数的代码部分，发现功能并不受影响。就是说服务器已有代码并没有经过修改且运行正常。而新上传或者被修改过的文件，危险函数就会被禁用

疑问4：区别在哪里？

用准备好的脚本stat.php列举了已有PHP文件和新上传PHP文件的文件权限，发现权限不同。

疑问5：服务器对PHP函数中的危险函数的检查，是否是判断调用这些函数的PHP文件属主？

方法一：

比如已安装WEB应用中的代码中存在b.php include a.php的代码，将shell写入a.php中，通过访问WEB应用b.php，

发现a.php中写入的shell代码并没有执行。说明判断文件的属主是直接调用危险函数的文件。

方法二：

通过上传入口，上传a.php, 在a.php中includeb.php, b.php是WEB应用已有的代码，并调用了危险函数(如system)。

利用代码如下：

<?php
	define('IN_DISCUZ', 1);
	define('IN_MODCP', 1);
	define('DISCUZ_ROOT', '/tmp/');
	chdir('../upload/');
	$_G['cache']['forums'] = 1;
	$_G['page'] = 1;
	$_GET['keyword']="xxxxxx";
	$cpscript="";

	function lang($in){
		return $in;
	}
	function multi($in1, $in2, $in3, $in4){
		return null;
	}
	function dhtmlspecialchars($in) {
		return $in;
	}

	include "source/include/modcp/modcp_log.php";
	$dir=$_GET[dir];
	$ext=$_GET[ext];
	var_dump(get_log_files($dir, $ext));
?>

执行成功，再一次拿到5分。

以上是本人参加这次挑战赛作为攻方如何绕过防御的一些经验分享，有不足的地方请见谅，如有任意疑问或建议欢迎联系TSRC白帽子“雪人”切磋交流。期待未来有更多的机会参与这种对抗赛。

原文地址：http://security.tencent.com/index.php/blog/msg/58/