0×01 概述

在https://rdot.org网站上面，有一篇俄语文章专门介绍了如何使用fopen/fread/fwrite函数来操纵内存文件/proc/self/mem。利用这种方法，人们就可以用system()函数的地址来替换GOT中open()函数的地址，这样的话，攻击者就可以通过readfile()函数来随心所欲地执行任意os命令了。

但是，这是需要一些前提条件的：

PHP 必须运行于PHP-CGI/PHP-FPM/CLI模式下。

POC只能运行于X86平台。

内核版本必须大于2.98。

open_basedir = off。

同时，它还会带来一些问题：

PHP的worker将会崩溃，因为GOT会被修改。

系统会变得不太稳定。

Good，不过这需要修改全局配置来打开“上帝模式”，即启用dl()并将extension_dir设为/tmp目录。

0×02 测试环境

ylbhz@ylbhz-Aspire-5750G:/tmp$ php -v

PHP 5.5.9-1ubuntu4.9 (cli) (built: Apr 17 2015 11:44:57) Copyright (c) 1997-2014 The PHP Group

Zend Engine v2.5.0, Copyright (c) 1998-2014 Zend Technologies

with Zend OPcache v7.0.3, Copyright (c) 1999-2014, by Zend Technologies ylbhz@ylbhz-Aspire-5750G:/tmp$ uname -a

Linux ylbhz-Aspire-5750G 3.13.0-48-generic #80-Ubuntu SMP Thu Mar 12 11:16:15 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

0×03 为什么使用dl()函数？

这个php函数看起来于dlopen()有几分相似，可以方便地加载我们想要的其他代码。当然，我们无法使用intset()函数把enabledl设为true，以及把extension_dir设为其属下的目录。不过别急，我们要一步一步来。

0×04 相关内核变量结构

zendexecutor_globals的结构如下所示：

struct _zend_executor_globals { zval **return_value_ptr_ptr;

zval uninitialized_zval;

zval *uninitialized_zval_ptr;

zval error_zval;

zval *error_zval_ptr;

zend_ptr_stack arg_types_stack;

/\* symbol table cache *\/

HashTable *symtable_cache[SYMTABLE_CACHE_SIZE]; HashTable **symtable_cache_limit;

HashTable **symtable_cache_ptr;

zend_op **opline_ptr;

HashTable *active_symbol_table;

HashTable symbol_table; /\* main symbol table *\/

HashTable included_files; /\* files already included *\/

JMP_BUF *bailout;

int error_reporting; //value of error_reporting

int orig_error_reporting; int exit_status;

zend_op_array *active_op_array;

HashTable *function_table; /\* function symbol table *\/ HashTable *class_table; /\* class table *\/ HashTable*zend_constants; /\*constantstable*\/

zend_class_entry *scope;zend_class_entry *called_scope; /\* Scope of the calling class *\/ zval *This;

long precision;

int ticks_count; //10*8

zend_bool in_execution; //typedef unsigned char zend_bool; HashTable *in_autoload;

zend_function *autoload_func;

zend_bool full_tables_cleanup;

/\* for extended information support *\/ zend_bool no_extensions;

#ifdef ZEND_WIN32

zend_bool timed_out;

OSVERSIONINFOEX windows_version_info;

#endif

HashTable regular_list; HashTable persistent_list;

zend_vm_stack argument_stack;

int user_error_handler_error_reporting;

zval *user_error_handler;

zval *user_exception_handler;

zend_stack user_error_handlers_error_reporting; zend_ptr_stack user_error_handlers; zend_ptr_stack user_exception_handlers;

zend_error_handling_t error_handling; zend_class_entry *exception_class;

/\* timeout support *\/

int timeout_seconds; //value of set_time_limit

int lambda_count;

HashTable *ini_directives; //configuration comes from php.ini

HashTable *modified_ini_directives; zend_ini_entry *error_reporting_ini_entry;

zend_objects_store objects_store; zval *exception, *prev_exception; zend_op *opline_before_exception; zend_op exception_op[3];

struct _zend_execute_data *current_execute_data; struct _zend_module_entry *current_module; zend_property_info std_property_info;

zend_bool active;

zend_op *start_op;

void *saved_fpu_cw_ptr; #if XPFPA_HAVE_CW

XPFPA_CW_DATATYPE saved_fpu_cw; #endif

void *reserved[ZEND_MAX_RESERVED_RESOURCES]; };

请注意其中名为ini_directives的成员，其数据结构如下所示：

ypedef struct _hashtable { uint nTableSize;

uint nTableMask;

uint nNumOfElements;

ulong nNextFreeElement;

Bucket *pInternalPointer;

Bucket *pListHead;

Bucket *pListTail;

Bucket **arBuckets; //Item array dtor_func_t pDestructor; //pointer zend_bool persistent;

unsigned char nApplyCount; zend_bool bApplyProtection;

#if ZEND_DEBUG int inconsistent;

#endif

} HashTable;

所有的Bucket数据结构如下所示：

typedef struct bucket {

ulong h;

uint nKeyLength;

void *pData; //value of item void *pDataPtr;

struct bucket *pListNext; struct bucket *pListLast; struct bucket *pNext;

struct bucket *pLast;

const char *arKey;

} Bucket;

实际上，pData是指向_zend_ini_entry结构体的一个指针，该结构的定义如下所示。

struct _zend_ini_entry {

int module_number;

int modifiable; //whether it can be modified char *name; //name of option