* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
A função **preg\_replace** é usada para substituir o texto que corresponde a uma expressão regular. É semelhante à função **str\_replace**, mas permite que você use expressões regulares para encontrar o texto a ser substituído. A sintaxe básica é a seguinte:
-`$pattern` é a expressão regular a ser usada para encontrar o texto a ser substituído.
-`$replacement` é o texto que será usado para substituir o texto encontrado.
-`$subject` é o texto no qual a substituição será feita.
A função **preg\_replace** também pode ser usada com modos de expressão regular, que alteram o comportamento da expressão regular. Por exemplo, o modo `i` torna a expressão regular insensível a maiúsculas e minúsculas.
**mail / mb\_send\_mail** - Esta função é usada para enviar e-mails, mas também pode ser abusada para injetar comandos arbitrários dentro do parâmetro `$options`. Isso ocorre porque a **função `mail` do PHP** geralmente chama o binário `sendmail` dentro do sistema e permite que você **coloque opções extras**. No entanto, você não poderá ver a saída do comando executado, portanto, é recomendável criar um script shell que escreva a saída em um arquivo, executá-lo usando o mail e imprimir a saída:
**dl** - Esta função pode ser usada para carregar dinamicamente uma extensão PHP. Esta função nem sempre estará presente, portanto, você deve verificar se ela está disponível antes de tentar explorá-la. Leia [esta página para aprender como explorar esta função](disable\_functions-bypass-dl-function.md).
Além do eval, existem outras maneiras de executar código PHP: include/require pode ser usado para execução remota de código na forma de vulnerabilidades de Local File Include e Remote File Include.\
**${\<código php>}** - Se a sua entrada for refletida em qualquer string PHP, ela será executada.\
**Funções desabilitadas** é a configuração que pode ser configurada em arquivos `.ini` no PHP que **proibirá** o uso das **funções** indicadas. **Open basedir** é a configuração que indica ao PHP a pasta que ele pode acessar.\
A configuração do PHP costumava ser configurada no caminho _/etc/php7/conf.d_ ou similar.
`open_basedir` configurará as pastas que o PHP pode acessar, você **não poderá escrever/ler/executar nenhum arquivo fora** dessas pastas, mas também **não poderá listar** outros diretórios.\
No entanto, se de alguma forma você conseguir executar código PHP arbitrário, pode **tentar** o seguinte trecho de **códigos** para tentar **burlar** a restrição.
Observe que a primeira coisa que você precisa fazer é encontrar onde está o **socket unix do php-fpm**. Geralmente fica em `/var/run`, então você pode **usar o código anterior para listar o diretório e encontrá-lo**.\
Código de [aqui](https://balsn.tw/ctf\_writeup/20190323-0ctf\_tctf2019quals/#wallbreaker-easy).
Este script se comunicará com o **socket Unix do php-fpm** (geralmente localizado em /var/run se o fpm for usado) para executar código arbitrário. As configurações de `open_basedir` serão sobrescritas pelo atributo **PHP\_VALUE** que é enviado.\
Observe como `eval` é usado para executar o código PHP que você envia dentro do parâmetro **cmd**.\
Observe também a **linha 324 comentada**, você pode descomentá-la e o **payload se conectará automaticamente ao URL fornecido e executará o código PHP** contido lá.\
Acesse `http://vulnerable.com:1337/l.php?cmd=echo file_get_contents('/etc/passwd');` para obter o conteúdo do arquivo `/etc/passwd`.
Você pode estar pensando que da mesma forma que sobrescrevemos a configuração de `open_basedir`, podemos **sobrescrever `disable_functions`**. Bem, tente, mas não funcionará, aparentemente **`disable_functions` só pode ser configurado em um arquivo de configuração php `.ini`** e as alterações que você fizer usando PHP\_VALUE não serão efetivas nessa configuração específica.
Se você conseguir executar código PHP dentro de uma máquina, provavelmente desejará ir para o próximo nível e **executar comandos do sistema arbitrários**. Nessa situação, é comum descobrir que a maioria ou todas as **funções PHP que permitem executar comandos do sistema foram desativadas** em **`disable_functions`.**\
Então, vamos ver como você pode contornar essa restrição (se puder)
Você pode usar a ferramenta [https://github.com/teambi0s/dfunc-bypasser](https://github.com/teambi0s/dfunc-bypasser) e ela indicará qual função (se houver) você pode usar para **burlar****`disable_functions`**.
Volte ao início desta página e **verifique se alguma das funções de execução de comando não está desativada e disponível no ambiente**. Se você encontrar apenas uma delas, poderá usá-la para executar comandos do sistema arbitrários.
É bem conhecido que algumas funções em PHP, como `mail()`, vão **executar binários dentro do sistema**. Portanto, você pode abusar delas usando a variável de ambiente `LD_PRELOAD` para fazê-las carregar uma biblioteca arbitrária que pode executar qualquer coisa.
2.`mb_send_mail`: Se o seu sistema tiver o módulo `php-mbstring` instalado, essa função poderá ser usada para burlar as `disable_functions` do php.
3.`imap_mail`: Se o seu sistema tiver o módulo `php-imap` instalado, essa função também poderá ser usada para burlar as `disable_functions` do php.
4.`libvirt_connect`: Se o seu sistema tiver o módulo `php-libvirt-php` instalado, essa função também poderá ser usada para burlar as `disable_functions`.
5.`gnupg_init`: Se o seu sistema tiver o módulo `php-gnupg` instalado, essa função também poderá ser usada para burlar as `disable_functions`.
6.`new imagick()`: Você pode [**encontrar aqui um artigo**](https://blog.bi0s.in/2019/10/23/Web/BSidesDelhi19-evalme/) para aprender como abusar dessa classe.
Você pode encontrar [**aqui**](https://github.com/tarunkant/fuzzphunc/blob/master/lazyFuzzer.py) o script de fuzzing que foi usado para encontrar essas funções.
Para abusar dessa configuração incorreta, você pode usar o [**Chankro**](https://github.com/TarlogicSecurity/Chankro). Esta é uma ferramenta que irá **gerar um exploit PHP** que você precisa fazer upload para o servidor vulnerável e executá-lo (acessá-lo via web).\
O **Chankro** irá escrever no disco da vítima a **biblioteca e o shell reverso** que você deseja executar e usará o truque\*\* `LD_PRELOAD` + a função PHP `mail()`\*\* para executar o shell reverso.
Observe que, para usar o **Chankro**, `mail` e `putenv`**não podem aparecer na lista de `disable_functions`**.\
No exemplo a seguir, você pode ver como **criar um exploit chankro** para **arch 64**, que executará `whoami` e salvará a saída em _/tmp/chankro\_shell.out_, o chankro irá **escrever a biblioteca e o payload** em _/tmp_ e o **exploit final** será chamado de **bicho.php** (esse é o arquivo que você precisa fazer upload para o servidor da vítima):
# Funções Úteis do PHP para Bypass de `disable_functions` e `open_basedir`
Este documento contém algumas funções úteis do PHP que podem ser usadas para contornar as restrições de `disable_functions` e `open_basedir`.
## `escapeshellarg`
A função `escapeshellarg` é usada para escapar uma string para uso como um argumento de linha de comando. Isso é útil quando você precisa executar um comando shell a partir do PHP. No entanto, se a função `escapeshellarg` estiver desativada, você pode usar a seguinte função para contornar a restrição:
Essa função substitui todas as aspas simples (`'`) na string de entrada por uma barra invertida seguida de uma aspa simples (`\'`). Em seguida, ele adiciona aspas simples no início e no final da string. Isso garante que a string seja escapada corretamente e pode ser usada como um argumento de linha de comando.
## `file_get_contents`
A função `file_get_contents` é usada para ler o conteúdo de um arquivo em uma string. No entanto, se a restrição `open_basedir` estiver ativada, você não poderá ler arquivos fora do diretório raiz. Para contornar essa restrição, você pode usar a seguinte função:
```php
function file_get_contents_bypass($file) {
$data = '';
$fp = @fopen($file, 'r');
if ($fp) {
while (!feof($fp)) {
$data .= fread($fp, 8192);
}
fclose($fp);
}
return $data;
}
```
Essa função abre o arquivo especificado em modo de leitura e lê seu conteúdo em um buffer. Em seguida, ele retorna o conteúdo do buffer como uma string. O `@` antes da função `fopen` suprime quaisquer erros que possam ser gerados se o arquivo não puder ser aberto.
## `proc_open`
A função `proc_open` é usada para executar um comando shell e obter um ponteiro de arquivo para a entrada, saída e erro do processo. No entanto, se a restrição `disable_functions` estiver ativada, você não poderá usar essa função. Para contornar essa restrição, você pode usar a seguinte função:
Essa função executa o comando shell especificado usando a função `proc_open`. Ele substitui o primeiro descritor de arquivo (`$descriptorspec[0]`) por um pipe de leitura e os descritores de arquivo de saída (`$descriptorspec[1]` e `$descriptorspec[2]`) por pipes de gravação. Isso permite que você leia a saída do processo e escreva na entrada do processo. O comando shell é executado usando o comando `exec`, que substitui o processo atual pelo processo especificado. O `@` antes da função `proc_open` suprime quaisquer erros que possam ser gerados se a função estiver desativada.
## Conclusão
Essas funções podem ser úteis para contornar as restrições de `disable_functions` e `open_basedir` no PHP. No entanto, é importante lembrar que a execução de código malicioso em um servidor sem permissão é ilegal e pode resultar em consequências graves. Use essas técnicas apenas para fins educacionais ou com permissão explícita do proprietário do servidor.
Se você descobrir que a função **mail** está bloqueada por funções desabilitadas, ainda poderá usar a função **mb\_send\_mail**.\
Mais informações sobre essa técnica e Chankro aqui: [https://www.tarlogic.com/en/blog/how-to-bypass-disable\_functions-and-open\_basedir/](https://www.tarlogic.com/en/blog/how-to-bypass-disable\_functions-and-open\_basedir/)
Observe que, usando o **PHP**, você pode **ler e gravar arquivos, criar diretórios e alterar permissões**.\
Você pode até **despejar bancos de dados**.\
Talvez usando o **PHP** para **enumerar** a caixa, você possa encontrar uma maneira de escalar privilégios/executar comandos (por exemplo, lendo alguma chave ssh privada).
Eu criei um webshell que torna muito fácil realizar essas ações (observe que a maioria dos webshells também oferecerá essas opções): [https://github.com/carlospolop/phpwebshelllimited](https://github.com/carlospolop/phpwebshelllimited)
Existem várias maneiras de contornar as funções desabilitadas se algum módulo específico estiver sendo usado ou explorar alguma versão específica do PHP:
