声明：本文揭露的 *** 和脚本仅供学习和研讨运用，任何团队和个人不得运用本文发表的相关内容从事违法 *** 进犯活动，不然形成的全部结果由运用者自己承当，与本文作者无关。
一、为什么要bypass disable functions
为了安全起见，许多运维人员会禁用PHP的一些“风险”函数，例如eval、exec、system等，将其写在php.ini装备文件中，便是咱们所说的disable functions了，特别是虚拟主机运营商，为了完全阻隔同服务器的客户，以及防止呈现大面积的安全问题，在disable functions的设置中也一般较为严厉。
攻与防是敌对的，也是相互弥补的，已然有对函数的禁用 *** ，就会有人想方设法的去打破这层约束，咱们只要在把握打破 *** 以及原理的根底之上，才干更好的去防备这类进犯。
履行体系指令一般是进犯者拿到网站webshell之后想要进一步动作的必定操作，如若不能履行体系指令，接下来的更深化的进犯将很难持续，所以就有了网站管理者禁用相似exec、system之类函数的现象。可是跟着技能的不断进步，不断有新的思路呈现，单纯的禁用这些函数，某些情况下现已不能阻挠进犯者到达履行体系指令的意图了，那么进犯者用什么样的 *** 打破了disable functions呢？咱们又怎样防备这样的进犯呢？
二、 Bash缝隙导致的恣意指令履行
GNU Bash 环境变量长途指令履行缝隙（CVE-2014-6271）是GNU Bash 的一个长途代码履行缝隙，在这个CVE的介绍中，能够看到这样的描述：“GNU Bash 4.3及之前版别中存在安全缝隙，该缝隙源于程序没有正确处理环境变量值内的函数界说。长途进犯者可凭借特制的环境变量运用该缝隙履行恣意代码。以下产品和模块或许会被运用：OpenSSH sshd中的ForceCommand功用，Apache HTTP Server中的mod_cgi和mod_cgid模块，DHCP客户端等”。实际上，PHP也能够运用这个缝隙做许多工作，甚至有或许直接在80导致长途指令履行。关于这个缝隙的详细情况能够查阅CVE-2014-6271的相关材料，此处不再赘述。
下面咱们来看一下PHP究竟什么当地能用到bash的这个缝隙呢？其实能够用的当地不止一处，这儿咱们以mail函数作为比方，其他当地同理，能够自行剖析。
PHP的mail函数供给了3个必选参数和2个可选参数，这儿咱们主要看最终一个参数，PHP官方手册上对最终一个参数的阐明：
“Theadditional_parameters parameter can be used to pass an additional parameter tothe program configured to use when sending mail using the sendmail_pathconfiguration setting. For example, this can be used to set the envelope senderaddress when using sendmail with the -f sendmail option.
Theuser that the webserver runs as should be added as a trusted user to thesendmail configuration to prevent a ‘X-Warning’ header from being added to themessage when the envelope sender (-f) is set using this method. For sendmailusers, this file is /etc/mail/trusted-users. “
简略的说便是这个参数能够经过增加附加的指令作为发送邮件时分的装备，比方运用-f参数能够设置邮件发件人等，官方文档在典范Example #3也有所演示，详细能够参阅官方文档：http://php.net/manual/zh/function.mail.php。
在mail函数的源代码mail.c中，咱们能够找到如下代码片段：
       if (extra_cmd != NULL) {
              spprintf(&sendmail_cmd, 0,"%s %s", sendmail_path, extra_cmd);
       } else {
              sendmail_cmd = sendmail_path;
       }
假如传递了第五个参数（extra_cmd），则用spprintf将sendmail_path和extra_cmd拼接到sendmail_cmd中（其间sendmail_path便是php.ini中的sendmail_path装备项），随后将sendmail_cmd丢给popen履行：
 #ifdef PHP_WIN32
       sendmail = popen_ex(sendmail_cmd,"wb", NULL, NULL TSRMLS_CC);
#else
       /* Since popen() doesn't indicate if theinternal fork() doesn't work
        *(e.g. the shell can't be executed) we explicitly set it to 0 to be
        *sure we don't catch any older errno value. */
       errno = 0;
       sendmail = popen(sendmail_cmd,"w");
#endif
假如体系默许sh是bash，popen会派生bash进程，而咱们方才说到的CVE-2014-6271缝隙，直接就导致咱们能够运用mail()函数履行恣意指令，绕过disable_functions的约束。可是这儿其实有一个问题，便是extra_cmd在spprintf之前做了安全查看，我当时的PHP版别是最新的7.2.4，代码方位在mail.c的第371-375行：
       if (force_extra_parameters) {
              extra_cmd =php_escape_shell_cmd(force_extra_parameters);
       } else if (extra_cmd) {
              extra_cmd =php_escape_shell_cmd(ZSTR_VAL(extra_cmd));
       }
php_escape_shell_cmd函数会对特别字符（包括`|*?~^()[]{}$, x0A and xFF. ‘ 等）进行转义，那这样是不是就没 *** 了呢？不是的，咱们能够经过putenv函数来设置一个包括自界说函数的环境变量，然后经过mail函数来触发，网上早已有POC。
相同调用popen派生进程的php函数还有imap_mail，或许还或许有其他的咱们没有发现的函数，所以假如要防备这类进犯，更好的 *** 便是从本源上下手，修正CVE-2014-6271这个bash缝隙。

[1] [2] [3]  黑客接单网